Ho un virus (e cosa fare)? [chiuso]

1

Sfondo: Windows 8, non un'edizione speciale. Windows Defender e Webroot sono entrambi installati e sono stati installati per oltre un mese. Ieri ho ricevuto uno strano errore che non avevo mai visto prima che Windows Defender non potesse essere caricato perché era installato "un altro antivirus". Non avevo mai visto questo errore prima o ho riscontrato questo problema e sfortunatamente le soluzioni che ho cercato non funzionano per risolverlo .

Comportamento anomalo: ricevo un avviso nel centro di messaggistica che improvvisamente la protezione antivirus è disattivata, sia Webroot che Windows Defender. Ora, ogni volta che avvio il mio computer, Webroot si avvierà, ma non sarà in grado di eseguire la scansione del sistema (lo scanner carica, ma esegue la scansione di 0 file). Tieni presente che tutto ciò accade mentre non sono connesso a Internet, che per impostazione predefinita non si connette a Internet . Il client VPN di Cisco inizia a caricare più volte e prova ad accedere; questo non è impostato come predefinito per il caricamento, quindi non ho idea del perché questo si sta improvvisamente caricando. Disinstallo l'app Successivamente, all'improvviso, vedo che questo inizia a comparire in Task Manager e, dopo un riavvio, rivederlo:

Service Host: Local System (16)
-Microsoft Account Sign-in Assistant
-Windows Management Instrumentation
-Themes
-Shell Hardware Detection
-Remote Desktop Configuration
-System Event Notification Service
-Task Scheduler
-User Profile Service
-Multimedia Class Scheduler
-Server
-IP Helper
-Group Policy Client
-Device Setup Manager
-Certificate Propagation
-Background Intelligent Transfer Service
-Application Information

Ricorda, a questo punto non sono connesso a Internet, tuttavia il mio computer funziona come se lo fossi. Inoltre, è molto lento, anche se sto facendo molto poco per quanto riguarda l'utilizzo delle applicazioni. Nota che quando ho terminato alcuni dei servizi sopra elencati, come la Configurazione Desktop remoto (non ricordo di averlo visto prima di questa settimana), inizia un nuovo Service Host: Local System (16) .

Il problema è dopo un riavvio due volte, Webroot verrà caricato, ma non è ancora possibile eseguire la scansione. Dopo dieci minuti, ha ancora la pagina di scansione caricata, ma non può scansionare alcun file. Non so quanto posso fidarmi di Webroot, specialmente dal momento che il centro di messaggistica di Windows dichiarerà in seguito che Webroot è disattivato (non l'ho fatto, quindi come è successo?).

Ricorda che non mi sto collegando a Internet mentre sta accadendo tutto questo. Cosa sta succedendo e cosa posso fare?

Aggiorna

Correndo netstat -ano , ottengo parecchie connessioni TCP e connessioni UDP (internet è disabilitato). La maggior parte di questi sono 0.0.0.0 con varie porte, come 135, 445, 27019, 49152-7. Alcuni hanno 127.0.0.1 e gli altri sei hanno [::] e poi una porta.

Gli UDP, che sono peculiari quando eseguo ulteriori dettagli con netstat =a -p UDP -b mostrano sqlbrower.exe e SSDPSRV (svchost.exe) due volte.

    
posta user541852587 26.12.2015 - 11:47
fonte

1 risposta

2

Risposta breve:

L'opzione migliore è semplicemente ricominciare da capo. Se hai salvato un punto di backup / ripristino dove sei assolutamente sicuro che non ci sia malware, puoi provarlo, ma molti virus in questi giorni disabiliteranno il backup / ripristino. In tal caso, reinstallare il sistema operativo (si consiglia di farlo comunque solo per essere certi). Una volta fatto, ottieni un antivirus migliore come Avast! (gratuito) o ESET (se sei disposto a spendere soldi).

Risposta lunga:

Se vuoi triage il malware, la prima cosa che dovresti fare è ricontrollare che non sei connesso a nulla. Potrebbe essere possibile che il malware abbia attivato la tua connessione Internet. Esegui cmd e digita netstat -ano e verifica se hai stabilito connessioni con host stranieri.

La prossima cosa che dovresti fare è scaricare Sysinternals e Wireshark se non li hai già. Dal momento che non sei connesso a Internet, la soluzione migliore è probabilmente scaricarli su una pen drive su un altro computer e portarli qui. Dovrai formattare quella chiavetta prima di collegarla a un altro computer quando hai finito.

Una volta ottenuto ciò, esegui Wireshark e cerca qualsiasi attività di rete proveniente dal o dal tuo computer. Dato che non sei connesso, probabilmente non vedrai nulla, ma è un passo facile e metterà in evidenza ciò che il virus sta facendo se funziona.

Per i dettagli sull'utilizzo di Sysinternals per rilevare malware, guarda questo video: link

In pratica, il video dice di utilizzare Procexp per identificare eventuali binari fuori posto e utilizzare Autoruns per vedere se alcune delle voci del Registro di sistema sono state modificate per avviare un eseguibile che non dovrebbe essere presente. Utilizza Procmon per ottenere una lista dettagliata di ciò che stanno facendo tutti i tuoi processi (come nel tuo caso, avviando RDP).

Ma alla fine di tutto questo, vorrai comunque rimuovere il virus (facendo riferimento alla mia risposta breve).

Spero che questo aiuti, e buona fortuna!

    
risposta data 26.12.2015 - 13:42
fonte

Leggi altre domande sui tag