Podejrzane EXE [duplikat]

1

Możliwy duplikat:
Komputer jest zainfekowany wirusem lub złośliwym oprogramowaniem, co mam teraz zrobić?

Wczoraj złapałem dość paskudnego wirusa i jestem w końcu w stanie usiąść i zacząć sobie z tym radzić. Po zalogowaniu (Windows 7) w trybie normalnym dosłownie nie mogę uzyskać dostępu / wymusić startu każdy typowych zabezpieczeń:

  • Menadżer zadań
  • Wiersz poleceń
  • Microsoft Forefront Endpoint (mój AV)

Ponownie uruchomiłem komputer w trybie awaryjnym z obsługą sieci i uruchomiłem skanowanie mojego systemu w poszukiwaniu plików EXE lub bibliotek DLL, które zmieniły się od wczoraj. Oto, co powrócił:

enter image description here

Oczywiście zaciemniłem moją nazwę użytkownika (tylko ze względów bezpieczeństwa). Czy któreś z nich wyskakują na SU jako oczywiste wirusy? W każdym razie, aby dowiedzieć się, które z nich można bezpiecznie usunąć? Co zrobiłoby z nimi SU? Z góry dziękuję.

pnongrata
źródło
W AppData lub Temp nie powinno być nic wykonywalnego. Zabij wszystkie pliki .exe.
LawrenceC
Losowy plik .exe wygląda dziwnie. Jeśli nie wiesz, czego się pozbędzie jnaxxx, ale nie będziesz w stanie usunąć żadnego pliku, jeśli nadal jesteś zainfekowany. Użyj Malwarebyes.
Ramhound
„radzenie sobie z tym” ma w tym przypadku tylko dwa znaczenia: ponownie zastosować obraz dysku na dysku lub ponownie zainstalować od podstaw! W jakikolwiek inny sposób i narażasz się na wyzysk.
Shadok

Odpowiedzi:

2

Prawdopodobnie będziesz chciał uzyskać jakieś narzędzie mieszające w tym systemie lub innym bezpiecznym systemie, do którego możesz skopiować te pliki. Po uzyskaniu skrótu MD5 / SHA1 / SHA256 pliku można wyszukiwać VirusTotal dla tego skrótu, który powie ci, czy są to zainfekowane pliki.

Agrajag9
źródło
2

Nie dotknąłbym żadnego z nich bezpośrednio.

Posługiwać się autoruns aby je wyłączyć podczas uruchamiania.

Potem będziesz miał cały czas na sprawdzanie podejrzanych elementów. Ale co najważniejsze, jeśli złośliwe oprogramowanie nigdy nie zostanie załadowane, powinieneś móc ponownie skorzystać z Forefront, aby wszystko wyczyścić.

Der Hochstapler
źródło
0

Zwykle najpierw sprawdzam właściwości plików EXE i DLL, aby sprawdzić, czy zostały podpisane przez kogokolwiek - lub czy w ogóle zawierają jakiekolwiek informacje o wersji / firmie.

Twórcom szkodliwego oprogramowania zbyt łatwo jest wywoływać pliki wykonywalne svchost.exe, co (tymczasowo) pozwala uniknąć podejrzeń.

Kliknij plik prawym przyciskiem myszy, wybierz właściwości i sprawdź, czy istnieje karta „wersja”. Na przykład plik „calc.exe” na komputerze, na który teraz patrzę, zawiera następujące informacje:

Wersja pliku: 5.2.3790.1830 Opis: plik aplikacji kalkulatora systemu Windows Prawa autorskie (c) Microsoft Corporation. Wszelkie prawa zastrzeżone.

A potem jest pod nim informacja o innych wersjach (np. Język, Nazwa wewnętrzna).

Jeśli znajdę EXE bez tych informacji, traktuję go jako podejrzany, nawet jeśli testuje się czysto za pomocą skanera antywirusowego. Jeszcze go nie spotkałem - ale możliwe jest, że plik z podpisem cyfrowym nie będzie ważny. W zakładce „podpisy cyfrowe” we właściwościach pliku (która jest obecna tylko, jeśli podpis jest), kliknij przycisk Szczegóły, aby zweryfikować certyfikat.

Moja siostra wydaje się mieć szczególny talent do zbierania złośliwego oprogramowania, które jest jeszcze nieznane producentom AV - więc takie podejście jest często przydatne. Kiedyś miałem przyjemność przesłać trzy wcześniej niewykryte próbki w tym samym miesiącu (okazało się, że były to wszystkie warianty już istniejącego szkodliwego oprogramowania - ale zostały zmienione na tyle, by uniknąć ich pobrania).

Adam Thompson
źródło
1
Link, który pomoże ci zrozumieć, dlaczego istnieje tak wiele wariantów złośliwego oprogramowania: reddit.com/r/IAmA/comments/mmecu/iama_malware_developer_ama/… Antywirus nigdy nie będzie konkurencyjny wobec złośliwego oprogramowania ze względu na ich nieodłączny sposób wykrywania (na podstawie podpisu ze zbyt małą ilością heurystyki).
Shadok
Kiedyś pracowałem dla programisty AV (cóż, technicznie dwóch z nich, odkąd został przejęty przez rywala) i mieliśmy pewną heurystykę wbudowaną, aby pomóc zidentyfikować kod wirusa polimorficznego. Wydaje mi się, że sztuczka dla dostawców szkodliwego oprogramowania polega na tym, że wystarczy zmienić binarne pliki, aby heurystyka nie dorównała znanemu wzorowi lub podpisowi.
Adam Thompson
Głównym powodem, dla którego szkodliwe oprogramowanie jest zawsze o jeden krok do przodu, jest to, że mogą (i robią) sprawdzać swoje złośliwe oprogramowanie pod kątem różnych AV, a tym samym mogą iteracyjnie zmniejszać wskaźnik wykrywalności. W tej chwili główne AV nie rozpoznają swojego nowego pliku binarnego, mogą przestać na nim pracować, ograniczając tym samym ilość wykonanej pracy, ponieważ nie działają „ślepo”.
Shadok