Hoy tengo una regla de firewall que permite el tráfico entrante para un programa llamado kmss.exe en el Firewall de Windows en una de mis computadoras y estoy 100% seguro de que no lo agregué, ni nunca me pidieron que permitiera que ese programa se conectara. a Internet a través del Firewall de Windows.
Entonces, la regla del firewall dice que el programa debe estar en C:/Windows/Temp/Files/Bin/kmss.exe pero cuando abrí C:/Windows/Temp/ en el explorador de archivos, no había ningún directorio llamado "Archivos". Intenté utilizar el símbolo del sistema para encontrarlo, pero volví a fallar. Y mi configuración ya permite que se muestren carpetas ocultas en el explorador de archivos.
Entonces, sospecho que C:/Windows/Temp/Files/Bin/kmss.exe existe, pero de alguna manera ha logrado modificar o engañar a Windows haciéndole creer que no existe. ¿Es eso posible? En caso afirmativo, ¿qué puedo hacer para acceder a ese archivo y eliminarlo?
Respuesta1
Sí, es posible ocultar archivos de Windows con un kit de raíz. Puedes usarRevelador de rootkitspara intentar descubrir si eso está sucediendo. Escanea su sistema e intenta encontrar discrepancias entre lo que informan las API del kernel y lo que informan las API de Windows. Ese enlace tiene una explicación mucho mejor de cómo funcionan los rootkits.
Respuesta2
Ese archivo,kmss.exe, parece ser parte de unherramienta de pirateo, AutoKMS, utilizado para evitarActivación de Windows o Microsoft Office. Podría ser que alguien haya intentado instalar ese truco y una aplicación antimalware haya movido el archivo a cuarentena o lo haya eliminado.