Estoy trabajando en una computadora con Windows 7. El propietario informa que cree que la computadora ha sido infectada por malware y que una empresa extranjera intentó solucionar el problema, pero algo que hicieron hizo que la computadora no pudiera arrancar.
Encontré un archivo de controlador algo sospechoso llamado trjaaake.sys ubicado en C:\Windows\System32\Drivers. El archivo se creó/modificó recientemente, aunque me parece que se creó/modificó aproximadamente dos días después de la supuesta infección. En la pestaña de versión de este archivo veo lo siguiente:
Description: Boot Time Removal Tool
Company: Microsoft Corporation
File Version: 1.1.16.0
Internal Name: BootTimeRemoval
Original File Name: BTR.sys
Product Name: Microsoft Malware Protection
Product Version: 1.1.0016.0
El archivo parece estar firmado con una firma digital, pero no sé cómo saber si la firma es legítima/válida.
Envié el archivo a Virus Total y los 42 motores antivirus diferentes informan que el archivo está bien. Norton File Insight también dice que este archivo es utilizado por miles de usuarios de computadoras y que se le ha otorgado una calificación confiable.
Encontré un archivo en C:\Windows\Temp llamado BootClean.log. Contiene lo siguiente (he cambiado el nombre de usuario a "[redactado]"):
Boot Time Removal Tool started
Error 0xc0000034 opening (\??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\ProgramData\1yfOZG3BLWgtFb.exe) for reparse check.
Unable to strip attributes from \??\C:\ProgramData\1yfOZG3BLWgtFb.exe with error 0xc0000034
Error 0xc0000034 removing: \??\C:\ProgramData\1yfOZG3BLWgtFb.exe
Removed \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\smart hdd\
BTR Completed Successfully
Supongo que mi pregunta es: ¿alguien sabe qué es este archivo? ¿Es quizás parte de la herramienta de eliminación de software malicioso de Microsoft?
Respuesta1
Un buen punto de partida podría ser corrersigverif- esto podría ayudar a validar la firma. A partir de ahí, si está firmado por una empresa en la que confía, no es probable que sea su problema; de lo contrario, es posible que desees eliminarlo.
Por otro lado, una vez que una máquina se ve comprometida, ya no se puede confiar en ella a partir de ese momento. Sugeriría hacer una copia de seguridad de los archivos personales y cualquier otro dato no específico del sistema operativo, y reformatear/reinstalar el sistema operativo.
Respuesta2
En realidad, estos archivos los crea dinámicamente Windows Defender. El propósito es eliminar el malware que infectó su sistema al reiniciar.
Eche un vistazo a las propiedades de cada archivo y notará que los nombres son aleatorios y están firmados digitalmente por la Autoridad de certificación de Microsoft. Al reiniciar, los archivos .SYS desaparecerán una vez que hayan cumplido su propósito previsto, que es eliminar el malware al reiniciar.
¡¡¡ESTOS SON ARCHIVOS BUENOS Y NO MALOS!!!