¿Métodos para identificar comportamientos extraños cuando falla la detección de virus?

Navega tus respuestas
3

No estoy seguro de si es relevante, pero la computadora en cuestión es un DELL Optiplex 3040.

SO: Windows 10

Síntomas:

  • Las pestañas se abren automáticamente en el navegador Chrome que es file: // , al igual que la carpeta de documentos.
  • La página cambiará por sí misma y la unidad de DVD se abrirá

Lo que he hecho:

  1. Restablecer Chrome, páginas de inicio verificadas, configuraciones, etc.
  2. AVG instalado, definiciones actualizadas, ejecutó todas las pruebas. (Luego desinstalado)
  3. Kaspersky instalado, definiciones actualizadas, ejecutó todas las pruebas. (Aún instalado)
  4. Firewall comprobado (actualmente utiliza la configuración de seguridad predeterminada de Windows y el defensor)
  5. Se verificaron las aplicaciones sospechosas que se ejecutan a través del administrador de tareas.
  6. Se verificaron los programas sospechosos instalados a través de Agregar o quitar programas

Todas las pruebas pasaron con gran éxito. ¿Hay una lista de pasos que puedo tomar para tomar medidas para identificar el problema? Nunca he visto esto antes.

    
pregunta user1447679 10.04.2017 - 19:33
fuente

1 respuesta

2

Si yo fuera tú, simplemente lo reimaginaría.

Si necesita saber qué podría estar ejecutándose, haga un volcado de memoria antes de apagarlo y tome una copia del disco (utilizando un ISO de Linux en vivo y dd ) para su análisis.

Verifique los registros de firewall que pueda tener y verifique si hay conexiones salientes extrañas.

No mencionas tu entorno, pero si tienes administradores de dominio, podrían estar jugando contigo.

Actualizado :

Un hack que tenía síntomas tan "obvios" no sería necesariamente tan preocupante como uno que no tenía (por lo que pregunté por tus administradores).

El problema real es que si crees que has perdido el control de tu PC (y eso suena como si fuera el caso), entonces es muy poco lo que puedes hacer para asegurarte de haber solucionado el problema, si no re-imagen.

Un atacante con privilegios suficientemente altos puede hacer mucho para enmascarar y ofuscar sus acciones, y eso significa que la mayoría de las herramientas de diagnóstico se vuelven menos confiables: si ve algo, eso generalmente es prometedor. pero si no ves nada sospechoso, entonces no tienes forma de saber lo que eso significa.

Entonces, si bien puedo entender que no quieres volver a crear una imagen, hacerlo es la única forma en la que puedes esperar tener algo de tranquilidad y seguridad sobre tu sistema.

Eso no significa que debas o debas hacer algo en particular, aparte de lo que crees que es mejor.

    
respondido por el iwaseatenbyagrue 10.04.2017 - 19:50
fuente

Lea otras preguntas en las etiquetas

Rompiendo un hash MD5 desde una entrada numérica crear una estación base GMS con dispositivos móviles [cerrado]