Quando MBR pirata sorride come un'indicazione di piacere assoluto!

Naviga le tue risposte
1

Qualcuno, non ho idea di chi, ha davvero funzionato il mio computer e ha inserito qualcosa come rootkit, onnisciente e all-frash e semplicemente non riesco a mantenere pulito il sistema operativo Windows in una configurazione multiboot con Ubuntu anche dopo aver rimosso MBR, cancellato tutto partizioni e tabella delle partizioni e reinstallato Ubuntu solo con Grub e nessun MBR.

I sintomi sono, per la parte Windows, che le regole dei criteri di gruppo vengono modificate subito dopo aver stabilito la connessione Internet e riavviare il computer. Sistema locale viene sostituito da SISTEMA e / o SERVICE e non riesco più a trovare Sistema locale quando provo a ripristinare i valori predefiniti, e continua così con altre posizioni / servizi, e trovo anche molti eseguibili sconosciuti all'interno della cartella radice di Windows, e system32 anche con solo uno o due riavvii dopo una nuova installazione di Windows. Quando provo a installare un software antivirus, ho riscontrato alcuni ritardi e solo il firewall è in grado di bloccare parte dell'attività di rete insolita.

Diversi tentativi di reinstallare Windows dopo aver installato Ubuntu sono stati patetici, mi è sempre sembrato di rimanere bloccato fino al punto in cui il brutto rootkit del malware si è presentato e ha iniziato a fare i suoi affari come al solito. Mi sento come essere perseguitato e non ho idea di cosa fare o se questo malvagio pirata è in grado di rintracciarmi e in qualche modo infettare nuovamente il mio sistema.

Oltre a tutto ciò, recentemente ho notato che il BIOS non è in grado di impostare il tempo con precisione, è sempre un paio di ore indietro. C'è qualcosa che posso fare per cancellare questo malware o per prevenire ulteriori attacchi? Ho provato tutti loro, antimalware, antivirus, software antipirato e con pochissimi risultati. Stavo pensando di cancellare di nuovo tutti i dati sul disco rigido, formattare ed eliminare il nuovo MBR lasciato dalle precedenti installazioni di Windows, e avviarlo usando un po 'di Ubuntu Live Cd. O forse cambia il mio hard disk o cosa?

This is a new entry in my post as requested by user @mgjk who asked me to describe my problem with more details

Come richiesto da @mgjk nella sua risposta, devo descrivere il mio problema usando più dettagli, e per essere specifico penso che si tratti principalmente di un virus descritto in questa pagina , un virus / malware noto come Trojan: Win32 / Spyeye che può essere, tra gli altri, correlato in qualche modo al file Systray .exe stub di solito situato in /windows/system32 . Dicono che la maggior parte del software AV non lo rileverà e ho provato molte soluzioni per eliminarlo senza risultati.

Di solito eseguo WinXP, è compatibile con la mia antica macchina Dell. Per quanto riguarda i sintomi specifici, a volte non potevo accedere ai comandi del menu con il tasto destro del mouse in Windows, erano presenti ma non si attivavano, o la barra delle applicazioni non mostrava nessuna delle finestre / app aperte, invece erano presenti sopra barra delle applicazioni come se fossero ridotte, e quando è diventato davvero brutto non ho potuto accedere ai comandi più comuni come arrestare un processo in Task Manager , utilizzare Regedit o modificare le regole di sistema e criteri che utilizzano lo strumento Gpedit.msc .

Come già detto in un precedente commento, il mio ISP mi ha detto di installare Kaspersky AV, l'ultima versione, e dopo il primo riavvio ho ottenuto ancora un altro coso sul mio Windows, che è noto come das boot virus o qualcosa del genere. Ottima idea, cosa posso dire, usa Kaspersky per sbarazzarti di Spyeye. Avrei dovuto saperlo meglio.

    
posta Taz D. 26.10.2014 - 19:44
fonte

2 risposte

5

Un angolo completamente diverso su questo sarebbe di fare un passo indietro e prendere in considerazione la tua analisi.

  • Hai un'ipotesi che il tuo computer sia stato infettato da malware.

  • Stai raccogliendo prove attraverso il tuo tentativo di costruire la macchina in una configurazione a doppio avvio.

Per determinare se è vero che hai malware, dovrai trovare un test di questa ipotesi. Il test potrebbe essere quello di dimostrare un comportamento ben documentato che non può essere spiegato da esperti del sistema operativo, o un comportamento ben documentato che non può essere riprodotto. Io personalmente documenta questa roba con penna, carta e una macchina fotografica.

Hai eseguito alcune installazioni e hai osservato risultati insoliti, ma le tue osservazioni non sono ben documentate (almeno qui).

  • "Sistema operativo Windows" - Quale versione di Windows?

  • "Un sacco di eseguibili sconosciuti" - Hai una lista?

  • "Il sistema locale viene sostituito da SYSTEM e / o SERVICE e non riesco più a trovare il sistema locale quando tento di ripristinare i valori predefiniti" - dove? come hai controllato?

  • "Quando provo a installare un software antivirus, ho riscontrato alcuni ritardi e solo il firewall è in grado di bloccare parte dell'attività di rete insolita". Che traffico insolito hai rilevato? Quanto durano i ritardi? quando si verificano?

  • "Mi è sempre sembrato di rimanere bloccato fino al punto in cui il brutto rootkit del malware si è presentato e ha iniziato a fare i suoi affari come al solito" - Quando ti blocchi? Cosa ti impedisce di continuare?

Avere informazioni precise su uno di questi comportamenti insoliti potrebbe aiutare. Potrebbe esserci una spiegazione non-malware per i problemi, oppure potresti documentare un comportamento unico per un particolare bit di malware.

Per quanto riguarda il tuo orologio: L'impostazione dell'orologio indietro di qualche ora nel BIOS sembra un normale comportamento di avvio multiplo. Alcuni sistemi operativi memorizzano il fuso orario come UTC, alcuni lo memorizzano come ora locale. Questo è solitamente visibile solo in una configurazione dual-boot. Vedi oltre: link

È possibile testare la teoria avviando a un sistema operativo, controllando l'ora, spegnendo, controllando l'ora nel BIOS, quindi ripetendo per l'altro sistema operativo. Se è possibile risolvere il problema o influenzare le ore cambiando il modo in cui il sistema operativo memorizza il tempo o persino il fuso orario nel sistema operativo, allora si hanno prove abbastanza buone che hai identificato la causa.

    
risposta data 28.10.2014 - 14:17
fonte
3

Potrebbe essere effettivamente peggio di quanto suggeriscano i commenti. Esempio: se ci si trova sulla propria rete domestica, è possibile che altre macchine della rete siano infette? Se lo sono, ciò spiegherebbe la re-infezione persistente dopo aver asciugato e asciugato, asciugato e asciugato. Detto ciò. . .

Primo passo: Isolare tutte le macchine sulla tua rete. Tutti loro. Non lasciarli parlare tra loro o connettersi a Internet o altro.

Passaggio due: Ottieni un CD da cui partire.

Terzo passo: avvia una macchina con il tuo CD, connettiti al router di casa e al firewall da tutto il traffico in entrata. Tutto.

Passaggio 4: Avvia le macchine con il tuo CD di avvio, verifica se sono infette, cancella i dischi e gli MBR e inizia fresco.

Ripeti la nausione fino alla morte. Smerigliarlo nel dimenticatoio.

EDIT: Inoltre, potresti voler controllare qualsiasi archivio esterno per malware. Giusto per essere al sicuro.

    
risposta data 27.10.2014 - 15:45
fonte

Leggi altre domande sui tag

Come un trojan consente a un utente malintenzionato di connettersi al computer remoto dietro un router È possibile impersonare qualsiasi sito Web protetto tramite TLS utilizzando un certificato canaglia emesso da una CA canaglia?