Estou trabalhando em um computador com Windows 7. O proprietário relata que acredita que o computador foi infectado por malware e que uma empresa estrangeira tentou consertar o problema, mas algo que eles fizeram impossibilitou a inicialização do computador.
Encontrei um arquivo de driver um tanto suspeito chamado trjaaake.sys localizado em C:\Windows\System32\Drivers. O arquivo foi criado/modificado recentemente, embora me pareça que foi criado/modificado cerca de dois dias após a suposta infecção. Na guia de versão deste arquivo, vejo o seguinte:
Description: Boot Time Removal Tool
Company: Microsoft Corporation
File Version: 1.1.16.0
Internal Name: BootTimeRemoval
Original File Name: BTR.sys
Product Name: Microsoft Malware Protection
Product Version: 1.1.0016.0
O arquivo parece estar assinado com uma assinatura digital, mas não sei como saber se a assinatura é legítima/válida.
Enviei o arquivo para o Virus Total e todos os 42 mecanismos antivírus diferentes relataram que o arquivo está OK. O Norton File Insight também afirma que este arquivo é usado por milhares de usuários de computador e que recebeu uma classificação de confiança.
Encontrei um arquivo em C:\Windows\Temp chamado BootClean.log. Ele contém o seguinte (alterei o nome de usuário para "[redigido]"):
Boot Time Removal Tool started
Error 0xc0000034 opening (\??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\ProgramData\1yfOZG3BLWgtFb.exe) for reparse check.
Unable to strip attributes from \??\C:\ProgramData\1yfOZG3BLWgtFb.exe with error 0xc0000034
Error 0xc0000034 removing: \??\C:\ProgramData\1yfOZG3BLWgtFb.exe
Removed \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\smart hdd\
BTR Completed Successfully
Acho que minha pergunta é: alguém sabe o que é esse arquivo? Talvez faça parte da Ferramenta de Remoção de Software Malicioso da Microsoft?
Responder1
Um bom lugar para começar pode ser correrverificar se- isso pode ajudar a validar a assinatura. A partir daí, se for assinado por uma empresa em que você confia, provavelmente não será problema seu; caso contrário, você pode querer excluí-lo.
Por outro lado, uma vez que uma máquina é comprometida, não é mais confiável a partir desse momento. Eu sugiro fazer backup de arquivos pessoais e quaisquer outros dados não específicos do sistema operacional e reformatar/reinstalar o sistema operacional.
Responder2
Na verdade, esses arquivos são criados dinamicamente pelo Windows Defender. O objetivo é remover o malware na reinicialização que infectou seu sistema.
Dê uma olhada nas propriedades de cada arquivo e você notará que os nomes são aleatórios e são assinados digitalmente pela Autoridade de Certificação da Microsoft. Após a reinicialização, os arquivos .SYS desaparecerão, uma vez que tenham cumprido o propósito pretendido, que é remover malware na reinicialização.
ESTES SÃO BONS ARQUIVOS E NÃO RUIM!!!