¿Cómo elimino el virus disorderstatus.ru? ¿Prevenir la reinfección? Asegúrate de que no queda ningún rootkit (BIOS)?

Question

¿Cómo elimino el virus disorderstatus.ru? ¿Prevenir la reinfección? Asegúrate de que no queda ningún rootkit (BIOS)?

#1 de StackzOfZtuff (3 votos)
#2 de Oleg (1 votos)
#3 de Josh Ross (0 votos)

3

Recientemente he tenido dos PC infectadas con disorderstatus.ru / differentia.ru, al conectar un dispositivo colgante infectado. De las búsquedas de Google, parece que se trata de un virus reciente, o al menos con una propagación reciente.

PC1 tiene Win Vista y PC2 tiene Win 8. Ambos tienen Avast, que detectó las infecciones.

En la PC1 (con las particiones C para SO / programas y D para los datos), recuperé una imagen Ghost anterior en la partición C. La Partición D se analizó con Avast y se informó que estaba limpia.

En PC2 (nuevamente con particiones C para SO / programas y D para datos), reinstalé el SO.

Mis dos pendrives (uno infectado y uno ... quizás también) fueron reformateados a FAT16 y FAT32, en un arranque de Linux desde un CD.

Además tengo un HD externo.

¿Hay alguna manera de saber con seguridad si la infección desaparece para siempre?

Mi preocupación se debe al hecho de que hay rootkits de BIOS y quizás otras bestias que son maestros del disfraz.

Apreciaría recibir información específica sobre la infección que recibí, además del posible comentario genérico que pueda aplicarse.

virus virus-removal

pregunta sancho.s 16.09.2015 - 17:05

fuente

3 respuestas

Lea otras preguntas en las etiquetas virus virus-removal

¿Cuál sería el enfoque válido al manejar enlaces cortos [duplicado] ¿Están vinculando todos los servicios privados a la dirección 127.0.0.1 y luego accediendo a ellos a través de SSH usando un par de claves RSA de 4096 bits seguro?

score 3 · Answer 1

Nuke from Orbit (TM)

Reemplaza tu hardware no. Limpia y vuelve a instalar todo. Eso se encarga de cualquier rootkits de software.

Use una buena higiene general para prevenir la reinfección. (Por ejemplo, instale actualizaciones, solo instale desde fuentes confiables, ejecute antivirus. Deje un espacio en su red si tiene que hacerlo).

(Hardware) rootkits: no te preocupes.

La respuesta corta es: estos rootkits de hardware hechos a la medida son demasiado caros como para desperdiciarlos a usted oa la población en general.

También: defenderse de este tipo de ataques TAMBIÉN es muy costoso y engorroso. Te recomiendo que gastes tu presupuesto infosec en otro lugar primero.

Reflexiones generales

Los rootkits de hardware son de alta tecnología, espionaje del estado nacional, cosas espía.

Son valiosos para el atacante. Para continuar trabajando, deben usarse con moderación. Cada uso de estos tiene riesgo de detección para el atacante. Ahora esto significa: ningún estilo de escopeta "golpea a todos" ataques. Pero ataques muy específicos, dirigidos directamente.

Si eres un objetivo lo suficientemente valioso como para justificar el uso de una de estas cosas en ti, supongo que también deberás reemplazar tu hardware .

Si, por ejemplo, estás trabajando en investigación nuclear. Estoy pensando en ataques tipo Stuxnet en instalaciones nucleares de Irán aquí. Probablemente este no eres tú.

Lectura adicional:

Wikipedia: Rootkit , sección Firmware y hardware

Addendum: rootkits de hardware no hechos a medida.

"WPBT" suena aterrador. No tengo idea si puede ser subvertido.
Ars Technica: Lenovo utilizó Windows anti -la función de robo para instalar crapware persistente (archivado aquí .)
Hay un rootkit de hardware filtrado del hack del equipo de hacking. Está en el público ahora. Así que esto podría ser usado por cualquiera. Y no solo las agencias de espionaje. Pero: requiere acceso físico a la computadora.
Trend Micro: Hacking Team utiliza el UEFI BIOS Rootkit para mantener al agente RCS 9 en los sistemas de destino (archivado aquí .)

score 1 · Answer 2

He buscado información sobre el malware que describiste. Parece que Avast debería manejarlo sin problemas. Pero por si acaso están las instrucciones de eliminación .

Para verificar si hay rootkits en sus computadoras, le recomiendo que use una utilidad gratuita desarrollada por Kaspersky lab llamada TDSSKiller . Detecta y elimina algunos rootkits y bootkits muy extendidos.

También hay Kaspersky Virus Removal Tool . Detecta y elimina otros tipos de malware.

Herramientas muy útiles, realmente me salvaron varias veces.

Estoy seguro de que otros proveedores tienen herramientas similares, pero solo utilicé estas. Pero creo que nadie puede darle el 100% de seguridad de que su computadora no está infectada con un malware muy nuevo o muy posterior.

score 0 · Answer 3

Debo aceptar que Kaspersky o un antivirus similar es un programa que debe usarse primero. Sin embargo, no olvide la segunda solución de opción porque la mayoría de los últimos virus se propagan en un paquete con diferentes componentes como secuestradores de navegador, BHO, etc. En este caso, le recomendaría que intente Malwarebytes . Si no está dispuesto a instalar ningún software, utilice esta guía de eliminación para los desórdenes .