A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Todos os produtos Trellix para desktops e servidores de área de trabalho para Microsoft Windows
Resumo
Este artigo descreve procedimentos e locais para ajudá-lo a encontrar arquivos suspeitos quando uma infecção não for detectada por seus produtos antivírus.
Os possíveis sintomas incluem:
Comportamento suspeito do computador, como o alto nível de utilização da CPU em processos não reconhecidos
Aumento significativo de tráfego de rede ou uso de largura de banda
Novos serviços adicionados ou serviços existentes removidos
Não foi possível acessar os recursos da rede, como unidades compartilhadas
Os aplicativos não funcionam nem os arquivos não podem ser acessados
Chaves de registro inesperadas adicionadas
Página inicial do Internet Explorer alterada sem permissão
IMPORTANTE: Devido à ampla variedade de malware e outras ameaças, não podemos fornecer uma lista de todos os sintomas possíveis de infecção. Se você suspeitar que o seu sistema está infectado e que os sintomas específicos não estão listados, ainda assim tomem todas as precauções disponíveis. Certifique-se de que seus arquivos DAT estejam atualizados e execute uma varredura por solicitação ou varredura de linha de comando seu sistema. Se a infecção não for detectada, siga os procedimentos deste artigo para coletar amostras de arquivo suspeitas e enviá-las para o Trellix Labs.
Este artigo inclui referências a algumas ferramentas de terceiros. Para obter instruções sobre como usá-las, recomendamos que você use os arquivos de ajuda para os produtos de terceiros.
Conteúdo:
Clique para expandir a seção que você deseja exibir:
Certifique-se de usar os arquivos DAT e de mecanismo mais recentes
Faça o download do DAT e do mecanismo atuais no site de atualizações de segurança:
Determine qual atualização ou hotfix está instalado. A maneira de determinar varia de acordo com o produto, mas os métodos típicos incluem:
Clique com o botão direito do mouse no ícone do produto na área de notificação e selecione sobre.
Abra o console do produto e selecione ajuda, sobre.
Alguns produtos requerem um comando de console para determinar se um atualização está instalado. Consulte a documentação do produto relevante.
Faça o download e instale a versão mais recente atualização do produto. Uma combinação de um produto atualização, um DAT e atualização de mecanismo pode ser necessária para remover um vírus.
O software, os upgrades, as versões de manutenção e a documentação do produto estão disponíveis no site de downloads de produtos.
Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
Se você não for um usuário registrado, clique em registrar e preencha os campos para ter sua senha e suas instruções enviadas por e-mail para você.
Instalar atualizações de segurança Microsoft
Instale as atualizações de segurança mais recentes do Microsoft para evitar explorações de vulnerabilidades de segurança. Verifique se as atualizações e correções mais recentes foram obtidas por download e instaladas. Você pode configurar Windows para executar essas ações automaticamente.
Configurar produtos para varredura
Verifique se você configurou os mecanismos de varredura ao acessar e por solicitação para:
Fazer varredura para spyware
Fazer varredura de programas potencialmente indesejados
Nota: Algumas dessas opções estão disponíveis somente no VirusScan Enterprise. Consulte o guia de produto do seu produto para obter detalhes e instruções.
Executar uma varredura por solicitação com todas as configurações de varredura ativadas
Execute uma varredura por solicitação completa de todos os arquivos com a ação principal definida como limpar. Consulte o guia de produto do seu produto para obter detalhes sobre como configurar uma varredura por solicitação. Para obter VirusScan Enterprise, clique em Iniciar, Programas, McAfee, Varredura por solicitação, Iniciar.
Executar varredura .exe com os arquivos dat beta mais recentes
Se a varredura por solicitação e os arquivos DAT padrão não detectarem a infecção, eles poderão ser detectados com as assinaturas adicionais nos arquivos DAT beta.
Automaticamente (usando o mais recente SuperDAT arquivo executável):
Inicie avvwin_xdatbeta.exe o computador infectado. O executável atualiza todos os produtos que usam arquivos DAT.
Depois que a atualização for concluída, execute uma varredura por solicitação em todas as unidades ou bancos de dados, dependendo produto.
Manualmente (usando o DAT mais recente arquivo):
Para atualização manualmente os arquivos DAT do seu produto, consulte o artigo relevante para obter instruções.
Se a varredura por solicitação ainda não detectar nenhuma ameaça:
Pesquise Windows arquivos de configuração para verificar se há entradas suspeitas.
Pesquise o grupo de programas de inicialização em busca de itens ou aplicativos que não sejam reconhecidos.
Verifique se há entradas suspeitas nos locais de registro comuns.
Use Windows Explorer para verificar locais comuns de diretórios em busca de arquivos maliciosos.
Verifique o Agendador de Windows para entradas que você não reconhece.
Use outras ferramentas de Trellix e de terceiros para descobrir atividades mal-intencionadas.
Localizar arquivos suspeitos
As pastas de inicialização e os locais de registro provavelmente contêm entradas suspeitas. Examine os locais a seguir.
Cuidado Este artigo contém informações sobre como abrir ou modificar o registro.
As informações a seguir destinam-se a Administradores de Sistema. As modificações no registro são irreversíveis e podem causar falhas do sistema caso sejam executadas de forma incorreta.
Não execute um arquivo REG que não esteja confirmado como um arquivo de importação de registro genuíno.
Arquivos de configuração do sistema:
Win.ini
Este arquivo foi usado por versões anteriores do Windows e usado durante a inicialização do sistema. Com o Windows 7 e versões posteriores, os detalhes armazenados nesse arquivo agora são inseridos no registro.
System.ini
Esse arquivo é uma inicialização Windows arquivo usada principalmente com versões anteriores do Windows. No entanto, essa arquivo de INI ainda é usada para compatibilidade com versões posteriores do Windows.
Autoexec.bat
Esse arquivo é usado durante a inicialização do sistema e retido em versões posteriores do Windows para compatibilidade com versões anteriores. Ela é armazenada na raiz da unidade do sistema. Esse arquivo de lote executa comandos na inicialização.
Config.sys Este arquivo é um texto Windows ASCII herdado arquivo que continha as diretivas de configuração que podem ser acessadas usando msconfig o.
Para exibir a configuração dos sistemas usando msconfig :
Pressione Windows + R, digite msconfig e pressione Enter.
Examine o Itens de inicialização na.
Examine o win.inie system.inientradas.
Grupo de inicialização
Ao examinar as pastas, altere a exibição para Detalhes, e use o Data de criação coluna para organizar os arquivos:
\documents and settings\all users\Start Menu\Programs\Startup
Use IceSword o detector de rootkit para analisar o registro.
Clique em Iniciar, McAfee, varredura por solicitação, Iniciar a execução de uma varredura por solicitação.
Se a varredura por solicitação não detectar uma ameaça, use o FPorte Visão utilitáriopara monitor atividade. NOTA: Os utilitários de terceiros a seguir também podem ser úteis para registrar atividades de arquivo maliciosas:
Process Explorer
TCPView
ProcMon
Autoruns
RootkitRevealer
Reúna amostras suspeitas. Colete em um único local os arquivos ou métodos listados acima que você achar que indicam que um arquivo é suspeito. Certifique-se de que todos os arquivos de amostra estejam incluídos em uma única arquivo protegida por .zip senha. Defina a senha como infectada. Envie amostras para o Trellix Labs. Faça upload da amostra por meio do ServicePortal ou do Platinum Portal. Para obter instruções, consulte KB68030-envie amostras para a Trellix Labs para falha na detecção de malware suspeitas. Colete e envie os resultados da ferramenta Minimum Escalation Requirements (MER) para seus produtos: execute a ferramenta MER para seus produtos. Para obter detalhes sobre a lista de ferramentas do MER para produtos de segurança, consulte KB59385-como usar as ferramentas do Mer com produtos compatíveis. Forneça os resultados .tgz arquivo quando você entrar em contato com o suporte técnico.
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.