Отслеживание выполнения данных

Question

У меня дома есть какое-то вредоносное ПО, заражающее одну из наших машин. Сначала он появился как winulty.exe. После исследования я считаю, что winulty.exe сам по себе является неинфицированным файлом, но изменяется после загрузки в память. Включение предотвращения выполнения данных для всех процессов и сервисов подтвердило это.

Как отследить процесс, ответственный за это? Я использовал File Monitor с sysinternals.com, чтобы отслеживать winulty.exe и видеть, что к нему обращается экземпляр svchost.exe, содержащий большинство системных служб, а также dfrgntfs.exe. Как мне узнать, какая служба или какая DLL была заражена?

Answer 1

Вы уверены, что это правильный экземпляр SVCHOST.EXE? Как вы это определили? Какая версия Windows это?

Повторите то, что вы делали раньше, но на этот раз посмотрите PID экземпляра SVCHOST.EXE который записал в WINULTY.EXE , затем запустите Process Explorer - также из Sysinternals - (обязательно запустите его от имени администратора), и дважды щелкните на экземпляре SVCHOST.EXE который имеет указанный вами PID. Теперь посмотрите на вкладку «Службы», чтобы увидеть, какие службы размещает этот экземпляр. Надеюсь, в этом случае не будет слишком много сервисов (в идеале, только один). В зависимости от того, какие сервисы размещены им, вы можете попытаться остановить их, чтобы посмотреть, будет ли это продолжаться. Если WINULTY.EXE только после загрузки, то, опять же, в зависимости от того, какие службы размещены (вы можете опубликовать их в комментарии для получения совета или обратиться к руководствам Black Viper ), вы можете попытаться отключить их, чтобы проверить, продолжается ли оно после перезагрузки.

Answer 2

winulty не обнаруживается рекламодателями, шпионами, AVG. Лучший способ избавиться от него - использовать троянский детектор, такой как Trojan-Remover, который позволяет тестировать его в течение 30 дней. Я столкнулся с этим вирусом на этой неделе и в октябре прошлого года, и моя жена получила один на прошлой неделе, и сегодня я нашел другой на ее машине.

Answer 3

Лучше всего использовать загрузочный AV-CD, загрузиться с него и сканировать диск, пока ОС находится в автономном режиме, а затем использовать MBAM или другой сканер после загрузки в Windows, чтобы завершить очистку.

Загрузочный AV CD http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

MBAM http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

,

Answer 4

Самый простой способ - просто запустить антивирусную проверку; Вы не можете точно знать, сколько файлов было заражено, поэтому их удаление может быть проблематичным. Следует забрать и изолировать все зараженные файлы.

Вы можете найти немало хороших бесплатных антивирусных приложений, таких как Microsoft Security Essentials или avast!

Answer 5

Альтернативой установке нескольких антивирусов является онлайн-сканирование.

Некоторые из них мне нравятся:Trend Micro House Call, бесплатное антивирусное сканирование Лаборатории Касперского и Panda. Обратите внимание, что для завершения каждого из них требуется несколько часов, и для этого может потребоваться использование Internet Explorer в качестве браузера.

Также могут быть полезны некоторые антивирусные программы, такие как ad -ware и spybot.