Hoje tenho uma regra de firewall que permite o tráfego de entrada para um programa chamado kmss.exe no Firewall do Windows em um dos meus computadores e tenho 100% de certeza de que não a adicionei, nem nunca fui solicitado a permitir que esse programa se conectasse à Internet através do Firewall do Windows.
Portanto, a regra do firewall diz que o programa deve estar em C:/Windows/Temp/Files/Bin/kmss.exe mas quando abri C:/Windows/Temp/ no explorador de arquivos, não havia nenhum diretório chamado "Arquivos". Tentei usar o prompt de comando para encontrá-lo, mas falhei novamente. E minhas configurações já permitem que pastas ocultas sejam mostradas no explorador de arquivos.
Então, suspeito que C:/Windows/Temp/Files/Bin/kmss.exe exista, mas de alguma forma ele conseguiu modificar ou enganar o Windows fazendo-o pensar que não. Isso é possível? Se sim, o que posso fazer para acessar esse arquivo e removê-lo?
Responder1
Sim, é possível ocultar arquivos do Windows com um root kit. Você pode usarRevelador de Rootkitpara tentar descobrir se isso está acontecendo. Ele verifica seu sistema e tenta encontrar discrepâncias entre o que as APIs do kernel relatam e o que as APIs do Windows relatam. Esse link tem uma explicação muito melhor de como funcionam os root kits.
Responder2
Esse arquivo,kmss.exe, parece fazer parte de umferramenta de hack, AutoKMS, usado para ignorarAtivação do Windows ou Microsoft Office. Pode ser que alguém tenha tentado instalar esse hack e um aplicativo antimalware tenha movido o arquivo para quarentena ou excluído.