¡Cuando los piratas MBR sonríen como una indicación de placer absoluto!

Navega tus respuestas
1

Alguien, no tengo idea de quién, realmente funcionó en mi computadora, y colocó algo de malware rootkit, que todo lo sabe, todo aplastante, y simplemente no puedo mantener el sistema operativo Windows en una configuración de arranque múltiple con Ubuntu incluso después de eliminar el MBR, eliminar todo particiones y tabla de particiones, y reinstalé Ubuntu solo con Grub y sin MBR.

Los síntomas son, para la parte de Windows, que las reglas de la política de grupo se cambian poco después de establecer la conexión a Internet y reiniciar la computadora. Sistema local se reemplaza por SISTEMA y / o SERVICIO y ya no puedo encontrar Sistema local cuando intento restaura los valores predeterminados, y así continúa con otras ubicaciones / servicios, y también encuentro muchos ejecutables desconocidos dentro de la carpeta raíz de windows, y system32 también con solo uno o dos reinicios después de una nueva instalación de windows. Cuando intento instalar software antivirus, experimento algunos retrasos y solo el firewall puede bloquear parte de la actividad inusual de la red.

Varios intentos de reinstalar Windows después de instalar Ubuntu fueron patéticos, siempre parecía que me quedaba atascado en algún punto en el que aparecía el feo rootkit de malware y empezaba a hacer su trabajo como siempre. Me siento como si me persiguieran y no tengo idea de qué hacer o si este desagradable pirata puede rastrearme e infectar mi sistema de nuevo.

Además de todo esto, hace poco noté que BIOS no podía establecer la hora con precisión, siempre está un par de horas atrás. ¿Hay algo que pueda hacer para borrar este malware o para prevenir nuevos ataques? Los he probado todos, antimalware, antivirus, software antipirato y con muy pocos resultados. Estaba pensando en volver a eliminar todos los datos en el disco duro, formatear y eliminar el nuevo MBR que quedaba de las instalaciones de Windows anteriores, y volver a empezar con un Ubuntu Live Cd. ¿O tal vez cambiar mi disco duro o qué?

This is a new entry in my post as requested by user @mgjk who asked me to describe my problem with more details

Según lo solicitado por @mgjk en su respuesta, debo describir mi problema con más detalles y, para ser específico, creo que se trata principalmente de un virus descrito en esta página , un virus / malware conocido como Trojan: Win32 / Spyeye que puede, entre otros, estar relacionado de alguna manera con el archivo Systray .exe stub que normalmente se encuentra en /windows/system32 . Dicen que la mayoría del software AV no lo detectará, y probé muchas soluciones para eliminarlo sin resultados.

Normalmente ejecuto WinXP, es compatible con mi antigua máquina Dell. En cuanto a los síntomas específicos, a veces no podía tener acceso a los comandos del menú contextual en Windows, estaban presentes pero no se activaban, o la barra de tareas no mostraba ninguna de las ventanas / aplicaciones abiertas, en vez de eso, estaban presentes en la parte superior de barra de tareas como si estuvieran reducidas, y cuando se puso muy fea, no podía tener acceso a los comandos más habituales, como detener un proceso en Administrador de tareas , usar Regedit o editar reglas del sistema y la política usando la herramienta Gpedit.msc .

Como ya dije en un comentario anterior, mi ISP me dijo que instale Kaspersky AV, la última versión, y después del primer reinicio obtuve otra cosa más en mi Windows, que se conoce como das boot virus o algo así. Gran idea, ¿qué puedo decir? Use Kaspersky para deshacerse de Spyeye. Debería haberlo sabido mejor.

    
pregunta Taz D. 26.10.2014 - 19:44
fuente

2 respuestas

5

Un ángulo totalmente diferente en esto sería dar un paso atrás y considerar su análisis.

  • Tienes la hipótesis de que tu máquina está infectada con malware.

  • Está recolectando evidencia a través de su intento de construir la máquina en una configuración de arranque dual.

Para determinar si es cierto que tienes malware, deberás hacer una prueba de esta hipótesis. La prueba podría ser demostrar un comportamiento bien documentado que no puede ser explicado por expertos en el sistema operativo, o un comportamiento bien documentado que no se puede reproducir. Yo personalmente documento esto con un bolígrafo, papel y una cámara.

Ha realizado algunas instalaciones y ha observado resultados inusuales, pero sus observaciones no están bien documentadas (al menos aquí).

  • "SO de Windows": ¿qué versión de Windows?

  • "Muchos ejecutables desconocidos": ¿tienes una lista?

  • "El sistema local es reemplazado por SISTEMA y / o SERVICIO y ya no puedo encontrar el sistema local cuando intento restablecer los valores predeterminados", ¿dónde? ¿Cómo comprobaste?

  • "Cuando intento instalar un software antivirus, experimento algunos retrasos y solo el firewall puede bloquear parte de la actividad inusual de la red". ¿Qué tráfico inusual detectó? ¿Cuánto duran los retrasos? ¿Cuándo ocurren?

  • "Parece que siempre me quedé atascado en algún punto en el que apareció algo feo del rootkit de malware y comencé a hacer su trabajo como siempre". ¿Cuándo te quedas atascado? ¿Qué te impide continuar?

Podría ser útil tener información precisa sobre cualquiera de estos comportamientos inusuales. Puede haber una explicación no malintencionada para los problemas, o puede documentar el comportamiento exclusivo de un bit de malware muy específico.

Con respecto a su reloj: restablecer el reloj unas pocas horas en el BIOS suena como el comportamiento normal de arranque múltiple. Algunos sistemas operativos almacenan la zona horaria como UTC, otros la almacenan como hora local. Por lo general, esto solo es notable en una configuración de inicio dual. Ver más adelante: enlace

Puede probar la teoría arrancando a un sistema operativo, verificando la hora, apagándola, verificando la hora en el BIOS y luego repitiendo para el otro sistema operativo. Si puede resolver el problema o influir en las horas cambiando la forma en que el sistema operativo almacena la hora o incluso la zona horaria en el sistema operativo, entonces tiene pruebas bastante claras de que ha identificado la causa.

    
respondido por el mgjk 28.10.2014 - 14:17
fuente
3

En realidad podría ser peor de lo que sugieren los comentarios. Ejemplo: Si está en su propia red doméstica, ¿es posible que otras máquinas en su red estén infectadas? Si lo son, eso explicaría la reinfección persistente después de limpiar y limpiar y limpiar y limpiar. Habiendo dicho eso. . .

Paso Uno: Aísle todas las máquinas de su red. Todos ellos. No permita que hablen entre sí o se conecten a Internet, o cualquier otra cosa.

Paso Dos: Obtenga un CD desde el que pueda arrancar.

Paso tres: inicie una máquina con su CD, conéctese con el enrutador de su casa y el firewall para desconectar todo el tráfico entrante. Todo eso.

Paso Cuatro: Arranque las máquinas con su CD de arranque, averigüe si están infectadas, limpie los discos y los MBR y comience de nuevo.

Repite el anuncio hasta que esté muerto. Molerlo en el olvido.

EDITAR: Además, es posible que desee revisar cualquier almacenamiento externo en busca de malware. Solo para estar seguro.

    
respondido por el Desthro 27.10.2014 - 15:45
fuente

Lea otras preguntas en las etiquetas

¿Se puede suplantar a cualquier sitio web protegido con TLS mediante un certificado deshonesto emitido por una CA deshonesta? ¿Qué tipo de ataque es este?