Notas de eliminación de software malintencionado
- digitalMedia
- a.k.a. dM
- Registrado: Dic 29, 2003
- Mensajes: 5169
- Loc: SC-USA
- Status: Offline
Agosto 7th, 2009, 8:31 am
VOLVER HISTORIA
Recientemente he contratado algún software malicioso en mi equipo. Fue la primera en una Ive tenía poco más de 7 años. Im publicar información aquí mi resolución con la esperanza de que podría ayudar a alguien que se encuentra con el mismo problema.
El bummer de todo esto es que creo que la carga inicial fue entregado mientras yo estaba investigando iglesia sitios web (de propiedad incorporados reproductor de vídeo o supuesta códec). Im 95% seguro de ello.
Los únicos otros candidatos...
- Software para un mouse de Microsoft - muy muy poco probable o imposible
- GoDaddy (el registro de un dominio) y mi propio servidor web que está ejecutando Red Hat Apache (la creación de una cuenta de alojamiento) - posible, pero poco probable
- Un sitio web de análisis que hice para mi hermano en la ley - es posible, pero poco probable
- Una bomba de tiempo que he descargado desde hace algún tiempo y sólo ahora se convirtió en activo - Im esta dando el otro 5%
ARCHIVOS
El archivo en todo esto parece ser "wshost32.exe". Al parecer, la persistencia en system32 y se repiten varias entradas del Registro que se asociaron a ese lugar.
En la pestaña de aplicaciones del administrador de tareas que aparece como múltiples casos de "browseit". En la pestaña de procesos que se ha mostrado como wshost32.exe y por executeables nombre al azar, siguiendo el formato de 3 dígitos punto exe (por ejemplo, 529.exe, 071.exe, etc.) También dio lugar a varios archivos de basura, sobre todo archivos de texto.
Otro sospechoso era el archivo "sbootn.exe". Esto apareció en Temp, Windows y system32 carpetas, incoherente.
La criatura puede tener también trataron de aprovechar ftp.exe en system32.
Internet información sobre estos archivos parecen estar limitadas a las dos últimas semanas, por lo que asumir su nuevo, o una nueva variante.
Conductas
Los procesos se mantuvo en suspenso mientras no hay conexión a Internet. Siempre que una conexión se ha logrado, que entró en acción y abrió varias visibles e invisibles que dirigen las sesiones del navegador a la publicación de anuncios. Sobre todo un anuncio de un juego en línea llamado Evony. El anuncio se compone de un buxom mujer rubia elfish buscando.
Aunque yo no muy a fondo los procesos de seguimiento, al parecer para buscar todo tipo de puertos de comunicación, especialmente de FTP.
Manual básico de eliminación de archivos y entradas del Registro sólo se efectiva durante el actual período de sesiones de Windows. Reiniciando causado a todo ser re-desplegado.
PROCEDIMIENTOS DE REMOCIÓN
*** Lo primero que siempre debe hacer cuando usted sospecha que su ordenador ha sido infectado es desconectar todas las conexiones de red (Internet y redes locales). Hay dos razones para ello: en primer lugar, para detener la descarga de software malicioso más cosas. En segundo lugar, para prevenir las infecciones se propaguen a otros equipos. Esto se puede lograr el arranque en modo seguro, pero para una buena medida (...y para que sea a prueba de st00pid) desconecte el cable y / o eliminar los adaptadores inalámbricos. Encontrar una máquina de limpieza con una quemadora de CD y obtener todos los recursos que necesita para la máquina de esa manera sucia.
Así que, como todo buen equipo de bajo nivel operador, he seguido los procedimientos habituales para este tipo de situación. http://www.elephantboycomputers.com/pag ... ng_Malware (esta serie fue sugerido por mi CTO)
Lo he hecho 3 veces y cada vez que el software malintencionado tiene más agresivo. Así que, por supuesto, tengo más agresivo. Los siguientes pasos (algunos de los cuales pueden haber sido demasiado) tuvieron éxito en la limpieza de la máquina.
- Primero discapacitados Restaurar sistema
- Una vez más, he seguido las instrucciones de arriba para una T
- Entonces, yo manualmente desgrasado Temp, Windows y las carpetas System32 hay una serie de archivos que los programas automatizados no eliminar
- Por último, he reinstalado Windows a sí misma con la esperanza de que podría sobrescribir los archivos de sistema que se había dañado y se preserva el programa (por ejemplo, "svchost.exe", "*. dll", etc )
El único problema fue cuando volvió a ser operativo, Internet Explorer no puede decidir qué versión es y me impidieron obtener actualizaciones de Windows. Así que vuelve manualmente el navegador a un puro IE6 - De una línea de comandos: "% windir% \ ie8 \ spuninst \ spuninst.exe" y "windir% \ ie7 \ spuninst \ spuninst.exe" (Gracias Brian! )
Entonces me golpeó el sitio de Windows Update y estaba de vuelta en la silla de montar, sin la pérdida de los datos - para guardar los archivos temporales de Internet, cookies, contraseñas guardadas, etc
Eso fue todo! La mala cosa mala que parece ser ha ido.
¡BUENA SUERTE - NAVEGAR SEGURO!
Espero que ayude a alguien.
Recientemente he contratado algún software malicioso en mi equipo. Fue la primera en una Ive tenía poco más de 7 años. Im publicar información aquí mi resolución con la esperanza de que podría ayudar a alguien que se encuentra con el mismo problema.
El bummer de todo esto es que creo que la carga inicial fue entregado mientras yo estaba investigando iglesia sitios web (de propiedad incorporados reproductor de vídeo o supuesta códec). Im 95% seguro de ello.
Los únicos otros candidatos...
- Software para un mouse de Microsoft - muy muy poco probable o imposible
- GoDaddy (el registro de un dominio) y mi propio servidor web que está ejecutando Red Hat Apache (la creación de una cuenta de alojamiento) - posible, pero poco probable
- Un sitio web de análisis que hice para mi hermano en la ley - es posible, pero poco probable
- Una bomba de tiempo que he descargado desde hace algún tiempo y sólo ahora se convirtió en activo - Im esta dando el otro 5%
ARCHIVOS
El archivo en todo esto parece ser "wshost32.exe". Al parecer, la persistencia en system32 y se repiten varias entradas del Registro que se asociaron a ese lugar.
En la pestaña de aplicaciones del administrador de tareas que aparece como múltiples casos de "browseit". En la pestaña de procesos que se ha mostrado como wshost32.exe y por executeables nombre al azar, siguiendo el formato de 3 dígitos punto exe (por ejemplo, 529.exe, 071.exe, etc.) También dio lugar a varios archivos de basura, sobre todo archivos de texto.
Otro sospechoso era el archivo "sbootn.exe". Esto apareció en Temp, Windows y system32 carpetas, incoherente.
La criatura puede tener también trataron de aprovechar ftp.exe en system32.
Internet información sobre estos archivos parecen estar limitadas a las dos últimas semanas, por lo que asumir su nuevo, o una nueva variante.
Conductas
Los procesos se mantuvo en suspenso mientras no hay conexión a Internet. Siempre que una conexión se ha logrado, que entró en acción y abrió varias visibles e invisibles que dirigen las sesiones del navegador a la publicación de anuncios. Sobre todo un anuncio de un juego en línea llamado Evony. El anuncio se compone de un buxom mujer rubia elfish buscando.
Aunque yo no muy a fondo los procesos de seguimiento, al parecer para buscar todo tipo de puertos de comunicación, especialmente de FTP.
Manual básico de eliminación de archivos y entradas del Registro sólo se efectiva durante el actual período de sesiones de Windows. Reiniciando causado a todo ser re-desplegado.
PROCEDIMIENTOS DE REMOCIÓN
*** Lo primero que siempre debe hacer cuando usted sospecha que su ordenador ha sido infectado es desconectar todas las conexiones de red (Internet y redes locales). Hay dos razones para ello: en primer lugar, para detener la descarga de software malicioso más cosas. En segundo lugar, para prevenir las infecciones se propaguen a otros equipos. Esto se puede lograr el arranque en modo seguro, pero para una buena medida (...y para que sea a prueba de st00pid) desconecte el cable y / o eliminar los adaptadores inalámbricos. Encontrar una máquina de limpieza con una quemadora de CD y obtener todos los recursos que necesita para la máquina de esa manera sucia.
Así que, como todo buen equipo de bajo nivel operador, he seguido los procedimientos habituales para este tipo de situación. http://www.elephantboycomputers.com/pag ... ng_Malware (esta serie fue sugerido por mi CTO)
Lo he hecho 3 veces y cada vez que el software malintencionado tiene más agresivo. Así que, por supuesto, tengo más agresivo. Los siguientes pasos (algunos de los cuales pueden haber sido demasiado) tuvieron éxito en la limpieza de la máquina.
- Primero discapacitados Restaurar sistema
- Una vez más, he seguido las instrucciones de arriba para una T
- Entonces, yo manualmente desgrasado Temp, Windows y las carpetas System32 hay una serie de archivos que los programas automatizados no eliminar
- Por último, he reinstalado Windows a sí misma con la esperanza de que podría sobrescribir los archivos de sistema que se había dañado y se preserva el programa (por ejemplo, "svchost.exe", "*. dll", etc )
El único problema fue cuando volvió a ser operativo, Internet Explorer no puede decidir qué versión es y me impidieron obtener actualizaciones de Windows. Así que vuelve manualmente el navegador a un puro IE6 - De una línea de comandos: "% windir% \ ie8 \ spuninst \ spuninst.exe" y "windir% \ ie7 \ spuninst \ spuninst.exe" (Gracias Brian! )
Entonces me golpeó el sitio de Windows Update y estaba de vuelta en la silla de montar, sin la pérdida de los datos - para guardar los archivos temporales de Internet, cookies, contraseñas guardadas, etc
Eso fue todo! La mala cosa mala que parece ser ha ido.
¡BUENA SUERTE - NAVEGAR SEGURO!
Espero que ayude a alguien.
- dM
- Anonymous
- Bot
- Registrado: 25 Feb 2008
- Mensajes: ?
- Loc: Ozzuland
- Status: Online
Agosto 7th, 2009, 8:31 am
- blindedfox
- Born
- Registrado: Ago 24, 2009
- Mensajes: 1
- Status: Offline
Agosto 24th, 2009, 8:12 pm
He sido infectado con el mismo malware desde la semana pasada y me las arreglé para eliminar anoche. Espero que a otros, también.
Su rápido de verdad.
1. Instalar Malwarebytes Anti-Malware.
2. Ir a C: \ Recycler. Usted verá 1 o más carpetas de allí con su icono como el de la Papelera de reciclaje. Eliminar todos ellos. Al hacer esto, Windows le dice que no puede eliminar una de esas carpetas ya que un archivo está en uso. QUE culpable es su. Tome nota del nombre de la carpeta.
3. Utilice Malwarebytes FileASSASSIN en la carpeta en la que tomó nota en el paso anterior. Su sobre las herramientas de otros si no soy equivocado.
4. Navegue a C: \ Recycler. Usted notará que el icono ya no es como el de la Papelera de reciclaje, sino un icono de la carpeta simple. Dentro de ella es la culpable. Utilice FileASSASSIN en él. Es posible que tenga que reiniciar para FileASSASSIN para poder eliminarlo.
5. Después de reiniciar, ejecute un análisis rápido de Malwarebytes para eliminar archivos y entradas del Registro del malware puede haber dejado.
Al principio, pensé que la causa fue wshost32.exe y msdrive32.exe. He quitado las entradas del Registro correspondientes a los dos, pero persisten. La raíz de todo en mi caso fue csvcs.exe en la carpeta C: \ Recyler. Se desencadena todos los otros ejecutables incluidos los dos que he mencionado y el ###. EXE.
Eso es todo. Que trabajó para mí. Espero que así sea para usted también.
¡Salud!!
Su rápido de verdad.
1. Instalar Malwarebytes Anti-Malware.
2. Ir a C: \ Recycler. Usted verá 1 o más carpetas de allí con su icono como el de la Papelera de reciclaje. Eliminar todos ellos. Al hacer esto, Windows le dice que no puede eliminar una de esas carpetas ya que un archivo está en uso. QUE culpable es su. Tome nota del nombre de la carpeta.
3. Utilice Malwarebytes FileASSASSIN en la carpeta en la que tomó nota en el paso anterior. Su sobre las herramientas de otros si no soy equivocado.
4. Navegue a C: \ Recycler. Usted notará que el icono ya no es como el de la Papelera de reciclaje, sino un icono de la carpeta simple. Dentro de ella es la culpable. Utilice FileASSASSIN en él. Es posible que tenga que reiniciar para FileASSASSIN para poder eliminarlo.
5. Después de reiniciar, ejecute un análisis rápido de Malwarebytes para eliminar archivos y entradas del Registro del malware puede haber dejado.
Al principio, pensé que la causa fue wshost32.exe y msdrive32.exe. He quitado las entradas del Registro correspondientes a los dos, pero persisten. La raíz de todo en mi caso fue csvcs.exe en la carpeta C: \ Recyler. Se desencadena todos los otros ejecutables incluidos los dos que he mencionado y el ###. EXE.
Eso es todo. Que trabajó para mí. Espero que así sea para usted también.
¡Salud!!
Página 1 de 1
Para responder a este tema que necesita para ingresar o registrarse. Es gratis.
Publicar Información
- Total de mensajes en este tema: 2 mensajes
- Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 86 invitados
- No puede abrir nuevos temas en este Foro
- No puede responder a temas en este Foro
- No puede editar sus mensajes en este Foro
- No puede borrar sus mensajes en este Foro
- No puede enviar adjuntos en este Foro
