Remoção de malware - preparação para remoção

Os malwares se ligam a programas e são transmitidos para outros programas, fazendo uso de alguns eventos. Eles precisam que esses eventos aconteçam porque não podem iniciar sozinhos, se transmitir usando arquivos não executáveis ​​e infectar outras redes ou um computador.

Para se preparar para a fase de remoção, devemos primeiro entender quais processos de computador estão sendo usados ​​pelo malware para eliminá-los. Quais portas de tráfego estão sendo usadas por eles para bloqueá-los? Quais são os arquivos relacionados a esses malwares, para que possamos ter a chance de repará-los ou excluí-los. Tudo isso inclui um conjunto de ferramentas que nos ajudarão a coletar essas informações.

Processo de Investigação

A partir das conclusões acima mencionadas, devemos saber que quando alguns processos ou serviços incomuns são executados por si próprios, devemos investigar mais a fundo suas relações com um possível vírus. O processo de investigação é o seguinte -

Para investigar os processos, devemos começar usando as seguintes ferramentas -

  • fport.exe
  • pslist.exe
  • handle.exe
  • netstat.exe

o Listdll.exe mostra todo o dll filesque estão sendo usados. onetstat.execom suas variáveis ​​mostra todos os processos em execução com suas respectivas portas. O exemplo a seguir mostra como um processo deKaspersky Antivirusé mapeado para um comando netstat-ano para ver os números do processo. Para verificar a qual número de processo ele pertence, usaremos o gerenciador de tarefas.

Para Listdll.exe, podemos baixá-lo no seguinte link - https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx e podemos executá-lo para verificar quais processos estão conectados com a DLL que está sendo usada.

Abrimos o CMD e vamos para o caminho de Listdll.exe conforme mostrado na imagem a seguir e, em seguida, o executamos.

Obteremos o resultado conforme mostrado na imagem a seguir.

Por exemplo, PID 16320 está sendo usado pelo dllhost.exe, que tem uma descrição COM Surrogatee à esquerda. Ele mostrou toda a DLL sendo mostrada por este processo, que podemos pesquisar no Google e verificar.

Agora vamos usar o Fport, que pode ser baixado no seguinte link - https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# para mapear os serviços e PID com as portas.

Outra ferramenta para monitorar os serviços e ver quantos recursos eles estão consumindo é chamada de “Process Explorer”, que pode ser baixada no seguinte link - https://download.sysinternals.com/files/ProcessExplorer.zip e depois de baixá-lo, você deve executar o arquivo exe e verá o seguinte resultado -