Possível duplicata:
O computador está infectado por um vírus ou malware, o que faço agora?
Eu fui infectado com o "Checagem de sistema"Scareware não uma, mas duas vezes - depois de uma reformatação. Agora está claro que devo absolutamente descobrir como fui infectado.
Alguma informação:
- Estou na internet há 12 anos e é a primeira vez que sou infectado por algum tipo de vírus.
- Após minha reformatação, não abri nenhum executável não confiável. Na verdade, fiz muito pouco, como instalar o Firefox, o Visual Studio e alguns outros programas.
- Baixei e instalei todas as atualizações do Windows.
- Eu controlo quais portas TCP abri para conexões de entrada.
- Eu visitei muitos sites desde a reformatação.
- Meu disco rígido E:\, que contém todos os meus dados e não foi reformatado, não foi montado.
Resumindo: a infecção não poderia ter surgido (pelo menos pela segunda vez) por erro do usuário ou contaminação cruzada.
Isso deixa explorações no software que uso. E isso me deixa completamente perdido, pois tudo que instalei pessoalmente baixei novamente e, portanto, atualizei para a versão mais recente.
3 dos 4 antivírus que experimentei (incluindo o AVG) não conseguiram detectar a "Verificação do sistema", embora ainda não tenha sido removido e ainda esteja em execução. O quarto finalmente o detectou e também detectou um arquivo infectado em: C:\Users\MyName\AppData\LocalLow\Sun\Java\Development\cache\6.0\56\6a3c9ff8-68fce308.
Java não está atualizado para a versão mais recente (versão 6, atualização 21; a mais recente é a atualização 30). Eu não o instalei pessoalmente, ele deve ter vindo com outra coisa que instalei (provavelmente o NetBeans), e com certeza instalarei a versão mais recente na próxima reformatação.
No entanto, ainda estou preocupado. Esse arquivo pode ter sido um falso positivo. A versão 30 ainda pode estar vulnerável. Pode não ter nada a ver com java e apenas ser algum lugar onde o malware decidiu se instalar para ser mantido oculto. Podem ser 1000 outras coisas.
O que posso fazer?
Responder1
Os dois vetores mais comuns de infecção para o System Fix são páginas falsas de scanner on-line e através da exploração de vulnerabilidades em plug-ins de navegador, como Java, ou possivelmente em uma linguagem de script de navegador como Javascript ou VBScript (somente IE). faz sentido, pois plug-ins/scripts permitem que o invasor execute seu código em sua máquina assim que você visitar um site infectado; tudo o que ele precisa é de uma vulnerabilidade que lhe permita escapar da caixa de areia.
Dado que o malware foi detectado no cache Java, parece provável que o plugin Java desatualizado tenha servido como meio de infecção. Você só precisaria ter visitado um site malicioso ou comprometido para ser infectado. Se fosse bem feito, você provavelmente nem notaria nada de estranho acontecendo.
A melhor proteção contra ataques baseados em plugins e scripts é, obviamente, não permitir que eles sejam executados. Isso pode ser feito seletivamente com um complemento de navegador como o NoScript ou globalmente desativando plug-ins e/ou scripts.