¿Tengo un virus (y qué debo hacer)? [cerrado]

Question

¿Tengo un virus (y qué debo hacer)? [cerrado]

#1 de Lutefisk (2 votos)

1

Fondo: Windows 8, no una edición especial. Windows Defender y Webroot están instalados y se han instalado durante más de un mes. Ayer recibí un error extraño que nunca antes había visto que Windows Defender no podía cargar porque se instaló "algún otro antivirus". Nunca había visto este error antes o había experimentado este problema y, desafortunadamente, las soluciones que he buscado no funcionan para resolverlo .

Comportamiento extraño: recibo una alerta en el centro de mensajería de que repentinamente se desactiva la protección contra virus, tanto Webroot como Windows Defender. Ahora, cada vez que inicie mi computadora, Webroot se iniciará, pero no podrá escanear el sistema (el escáner se carga, pero escanea 0 archivos). Tenga en cuenta que todo esto está sucediendo mientras no estoy conectado a Internet, que por defecto no me conecto a Internet . El cliente VPN de Cisco comienza a cargarse varias veces e intenta iniciar sesión; esto no está configurado como predeterminado para cargar, por lo que no tengo idea de por qué se está cargando de repente. Desinstalo la aplicación. A continuación, de repente veo que esto comienza a aparecer en el Administrador de tareas, y después de reiniciarlo, lo veo nuevamente:

Service Host: Local System (16)
-Microsoft Account Sign-in Assistant
-Windows Management Instrumentation
-Themes
-Shell Hardware Detection
-Remote Desktop Configuration
-System Event Notification Service
-Task Scheduler
-User Profile Service
-Multimedia Class Scheduler
-Server
-IP Helper
-Group Policy Client
-Device Setup Manager
-Certificate Propagation
-Background Intelligent Transfer Service
-Application Information

Recuerda, no estoy conectado a Internet en este momento, pero mi computadora está actuando como si lo estuviera. Además, es muy lento, aunque estoy haciendo muy poco en cuanto al uso de la aplicación. Tenga en cuenta que cuando terminé algunos de los servicios enumerados anteriormente, como la configuración de escritorio remoto (no recuerdo haber visto esto antes de esta semana), comienza un Service Host: Local System (16) completamente nuevo.

El problema es después de reiniciar dos veces, Webroot se cargará, pero aún no puede escanear. Después de diez minutos, todavía tiene la página de escaneo cargada, pero no puede escanear ningún archivo. No sé cuánto puedo confiar en Webroot, especialmente porque el centro de mensajería de Windows declarará más adelante que Webroot está apagado (no hice esto, así que ¿cómo sucedió esto?).

Recuerde que no me estoy conectando a Internet en absoluto mientras todo esto esté sucediendo. ¿Qué está pasando y qué puedo hacer?

ACTUALIZAR

Ejecutando netstat -ano , obtengo algunas conexiones TCP y UDP (internet está deshabilitado). La mayoría de estos son 0.0.0.0 con varios puertos, como 135, 445, 27019, 49152-7. Algunos tienen 127.0.0.1 y los seis restantes tienen [::] y luego un puerto.

Los UDP, que son peculiares cuando ejecuto más detalles con netstat =a -p UDP -b show sqlbrower.exe, y SSDPSRV (svchost.exe) dos veces.

virus virus-removal

pregunta user541852587 26.12.2015 - 11:47

fuente

1 respuesta

Lea otras preguntas en las etiquetas virus virus-removal

Forzando encabezados de respuesta ¿se considera el ataque del gemelo malvado oler?

score 2 · Accepted Answer

Respuesta corta:

Tu mejor opción es simplemente comenzar de nuevo. Si tiene un punto de copia de seguridad / restauración guardado donde está absolutamente seguro de que no hay malware, puede intentarlo, pero muchos virus en estos días desactivarán la copia de seguridad / restauración. En ese caso, vuelva a instalar su sistema operativo (es posible que desee hacerlo de todas formas para estar seguro). Una vez hecho esto, obtenga un mejor antivirus como Avast! (gratis) o ESET (si estás dispuesto a gastar dinero).

Respuesta larga:

Si desea clasificar el malware, lo primero que debe hacer es verificar que no esté conectado a nada. Es posible que el malware haya activado su conexión a Internet. Ejecute cmd y escriba netstat -ano y vea si tiene alguna conexión establecida con hosts extranjeros.

Lo siguiente que debes hacer es descargar Sysinternals y Wireshark si aún no los tienes. Como no está conectado a Internet, lo mejor que puede hacer es descargarlos en una memoria USB en una computadora diferente y traerlos. Deseará formatear esa unidad de memoria USB antes de enchufarla en otra computadora cuando termine.

Una vez que tengas eso, ejecuta Wireshark y busca cualquier actividad de red que venga hacia o desde tu computadora. Dado que no está conectado, probablemente no verá nada, pero es un paso fácil y pondrá un foco en lo que el virus está haciendo si funciona.

Para obtener detalles sobre el uso de Sysinternals para detectar malware, vea este video: enlace

El video básicamente dice que debes usar Procexp para identificar cualquier binario que esté fuera de lugar, y usar Autoruns para ver si alguna de tus entradas de Registro se ha modificado para iniciar un ejecutable que no debería estar allí. Utilice Procmon para obtener una lista paso a paso de lo que están haciendo todos sus procesos (como en su caso, iniciando RDP).

Pero al final de todo esto, aún querrás eliminar el virus (refiriéndose a mi breve respuesta).

Espero que esto ayude, y buena suerte!