Ho eseguito un virus su un PC. Quali dovrebbero essere i prossimi passi?

Naviga le tue risposte
3

Volevo rimuovere un eseguibile probabilmente dannoso, ma invece, inavvertitamente, ho fatto doppio clic su di esso mentre utilizzavo un account con privilegi amministrativi. Non è successo nulla di visibile durante pochi secondi, quindi l'eseguibile si è rimosso (cosa che probabilmente un eseguibile legittimo non farebbe probabilmente).

I miei prossimi passi sono stati:

  • Garantire che le definizioni di Avast siano aggiornate.
  • Disconnessione della macchina dalla LAN per evitare di danneggiare altre macchine.
  • Esecuzione di una scansione completa con Avast; questo non ha rivelato alcun virus.
  • Controllo di voci sospette con Autoruns di Sysinternals: non vedo niente di sbagliato lì.
  • Tentativo di eseguire il RootkitRevealer di Sysinternals, ma non verrà eseguito su Windows 8 .
  • Esecuzione di Sophos Anti-Rootkit e Kaspersky TDSSKiller. Nessun rootkit trovato (Sophos Anti-Rootkit ha trovato una serie di chiavi di registro nascoste e file nascosti, ma è probabile che siano file legittimi).
  • Verifica services.msc; dato il numero di servizi, è difficile controllare se sono tutti legittimi.
  • Esecuzione di sfc /scannow . Niente di sbagliato: "Protezione risorse di Windows non ha rilevato alcuna violazione di integrità."
  • Controllo dell'utilizzo delle risorse per alcuni minuti. Sembra che non ci sia nulla di eccezionale neanche.
  • Verifica dell'elenco di estensioni di Chrome. Niente di sbagliato lì. Internet Explorer non è installato, quindi niente da controllare lì.

Sembra che il PC non sia stato infettato, ma ho ancora paura di ricollegarlo al dominio della società. Mi piacerebbe evitare di reinstallare Windows, dato che infastidirebbe molto la persona che utilizza la macchina in questione.

Cosa dovrei provare dopo?

    
posta Arseni Mourzenko 13.10.2014 - 18:40
fonte

2 risposte

2

Tutti i passaggi che hai eseguito sono passaggi validi per la rimozione del malware.

Suggerisco, per essere sicuro al 100%, che scarichi e utilizzi (tramite USB è abbastanza buono) il programma Malwarebytes (il la versione gratuita è estremamente potente, la versione "completa" aggiunge solo la protezione "24/7" se avviata.

Un altro programma che è utile possedere e utilizzare in questo caso è il nostro Hitman Pro , un potente programma "Second Opinion" che è incluso in molti dischi Rescue / boot (si pensi a Boot Disc di Hiren come esempio).

Se tutte queste luci sono verdi, non mi preoccuperei troppo, ovviamente, che un PC sia o meno infetto è sempre una domanda, ci sono sempre possibilità che tu sia infettato da malware che sfugge al software, questo è il motivo per cui dovresti sempre scansionare / rimuovere con più di un programma!

    
risposta data 14.10.2014 - 09:45
fonte
1

Va bene, se sei su Windows 8, e se hai abilitato il controllo dell'account utente, hai buone possibilità di cacciare il bastardo manualmente.

Da quello che stai dicendo, se hai il controllo dell'account utente abilitato , il virus non ha ottenuto i diritti di amministratore. In questo caso, cercare i rootkit e i servizi fuori-luogo non è molto utile (anche se hai tutti i servizi in esecuzione come dici tu, bada, alcuni di essi potrebbero dover essere ripuliti, ma non è importante) .

Che cosa ha fatto il virus se non avesse i diritti di amministratore? Bene, la risposta è ovvia: scrivi se stesso per l'avvio automatico con il tuo account utente!

Il modo più normale per farlo è creare un tasto reg in HKCU\Software\Microsoft\Windows\CurrentVersion\Run (a volte HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run o Software\Microsoft\Windows\CurrentVersion\RunOnce in HKCU o HKU\.Default se hai a che fare con un idiota). Di solito non ci sono molte chiavi, non dovresti avere grossi problemi nel trovare la nastie.

Se hai a che fare con un tipo eccezionalmente brillante di autore di malware, dai uno sguardo a C:\Users\<Your user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (o semplicemente a shell:startup in Run). Ti porterà alla cartella Esecuzione automatica.

Un altro bel posto dove guardare sarebbe (non ridere, funziona) la scheda Avvio automatico in Task Manager. Inoltre, nel task manager, visualizza l'elenco di tutti i processi in esecuzione: è molto probabile che il tuo virus sia presente nell'elenco.

Se riesci a ottenere il file originale, scommetto che molte persone qui (me compreso) possono dare un'occhiata e dire dove si è impostato per l'avvio automatico.

    
risposta data 03.03.2015 - 12:35
fonte

Leggi altre domande sui tag

Gestione dei dati HTTP non crittografati per un sistema conforme allo standard PCI - nell'ambito di PCI DSS v3 ma non v2? Modo meno precario per crittografare un campo nel database in modo che possa essere ancora incluso nelle query