Corrí un virus en una PC. ¿Cuáles deberían ser los próximos pasos?

3

Quería eliminar un ejecutable malintencionado, pero en cambio hice doble clic en él mientras utilizaba una cuenta con privilegios administrativos. No sucedió nada visible durante unos segundos, luego el ejecutable se eliminó (algo que probablemente no haría un ejecutable legítimo).

Mis siguientes pasos fueron:

  • Garantizar que las definiciones de Avast estén actualizadas.
  • Desconecte la máquina de la LAN para evitar afectar a otras máquinas.
  • Haciendo un escaneo completo con Avast; esto no reveló virus.
  • Comprobando si hay entradas sospechosas con las Autoruns de Sysinternals: No veo nada malo allí.
  • Intentando ejecutar el RootkitRevealer de Sysinternals, pero no se ejecutará en Windows 8 .
  • Ejecutando Sophos Anti-Rootkit y Kaspersky TDSSKiller. No se encontraron rootkits (Sophos Anti-Rootkit encontró un montón de claves de registro ocultas y archivos ocultos, pero es probable que sean archivos legítimos).
  • Comprobando services.msc; dada la cantidad de servicios, es difícil verificar si todos son legítimos.
  • Ejecutando sfc /scannow . No hay nada de malo allí: "La protección de recursos de Windows no encontró ninguna violación de integridad".
  • Observar el uso de los recursos durante unos minutos. Parece que tampoco hay nada excepcional.
  • Comprobando la lista de extensiones de Chrome. No hay nada malo allí. Internet Explorer no está instalado, por lo que no hay nada que revisar.

Parece que la PC no estaba infectada, pero todavía tengo miedo de volver a conectarla al dominio de la empresa. Me gustaría evitar reinstalar Windows, ya que molestaría a mucho la persona que usa la máquina en cuestión.

¿Qué debo intentar a continuación?

    
pregunta Arseni Mourzenko 13.10.2014 - 18:40
fuente

2 respuestas

2

Todos los pasos que ha seguido son válidos para eliminar el malware.

Le sugiero, para estar 100% seguro, que descargue y use (a través de un USB es suficiente) el programa Malwarebytes (el La versión gratuita es extremadamente poderosa, la versión "completa" solo agrega protección "24/7" si se inicia).

Otro programa que es útil tener en posesión y utilizar en este caso, es nuestro Hitman Pro , un programa realmente poderoso "Second Opinion" que se incluye en una gran cantidad de discos Rescue / boot (piense en Disco de Arranque de Hiren como ejemplo).

Si todas esas luces se vuelven verdes, no me preocuparía demasiado, por supuesto, si una PC está infectada o no, siempre es una pregunta, siempre hay posibilidades de que esté infectado con malware que escapa al software, esa es la por lo que siempre debe escanear / eliminar con más de un programa!

    
respondido por el Lighty 14.10.2014 - 09:45
fuente
1

De acuerdo, si estás en Windows 8, y si tienes UAC habilitado, tienes muchas posibilidades de expulsar al bastardo manualmente.

Por lo que dice, si tiene UAC habilitado , el virus no obtuvo derechos de administrador. En ese caso, buscar rootkits y servicios fuera de lugar no es muy útil (aunque si tiene tantos servicios funcionando como dice, recuerde que es posible que algunos de ellos deban eliminarse, pero eso no es importante) .

¿Qué hizo el virus si no tenía derechos de administrador? Bueno, la respuesta es obvia: ¡escríbase para iniciarse automáticamente con su cuenta de usuario!

La forma más habitual de hacerlo es crear una clave de registro en HKCU\Software\Microsoft\Windows\CurrentVersion\Run (a veces HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run o Software\Microsoft\Windows\CurrentVersion\RunOnce en HKCU o HKU\.Default si está tratando con un idiota). No suele haber tantas claves allí, no deberías tener muchos problemas para encontrar al desagradable.

Si estás tratando con un excepcionalmente brillante de un autor de malware, echa un vistazo a C:\Users\<Your user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (o simplemente pulsa shell:startup en Ejecutar). Eso te llevará a la carpeta de inicio.

Otro buen lugar para mirar sería (no te rías, funciona) la pestaña Inicio automático en el Administrador de tareas. Además, en el administrador de tareas, revise la lista de todos los procesos en ejecución; es muy probable que su virus esté en la lista.

Si puede obtener el archivo original, apuesto a que muchas personas aquí (yo incluido) pueden echar un vistazo y decir dónde se configuró para el inicio automático.

    
respondido por el Mints97 03.03.2015 - 12:35
fuente

Lea otras preguntas en las etiquetas