Виявлення шкоди, завданої вірусом

Сьогодні вранці після того, як я пішов до коледжу, вірус заразив мій ПК без будь-якої взаємодії з користувачем у моєму кінці. Коли я прийшов додому, мій комп'ютер повністю замерз і заразився великою кількістю троянів. Я не набрав нічого важливого з моменту повернення, тому ключі не можна реєструвати. Однак я хочу точно знати, коли мій комп'ютер зазнав аварії з моменту зараження, щоб побачити, що потенційно може зробити віддалений хакер віддалено.

Діагностували мій ПК вірус "fakespypro" на повністю оновленій установці Windows 7 з включеним брандмауером. Мій комп'ютер був підключений до внутрішньої мережі гуртожитків, так що, мабуть, з цим щось доводилося робити.

Будемо дуже вдячні за будь-яку додаткову інформацію про те, як я міг відстежити цю вірусну інфекцію, або способи виявити, які дані можуть бути викрадені.

Якщо ви не увімкнули журнал (що за замовчуванням не є), навряд чи ви дізнаєтесь, що зроблено.

Однак я натрапив на цю (і подібну) шкідливу програму, і вони, як правило, використовуються лише для того, щоб люди купували сміття / підроблене програмне забезпечення, вони не троянці в типовому сенсі, які надсилають ваші файли та інформацію третій стороні.

Я не кажу, що це неможливо, але це малоймовірно.

Якщо ви хочете виявити шкоду, заподіяну вашій фактичній системі, ви можете спробувати завантажити з хорошого інструменту пошуку все (доступне на Ninite ) і сортувати за порядком дати - це покаже вам все скопійоване та змінене на дату (є багато подібних (вбудовані) інструменти, але, я думаю, це найшвидше.

Також у командному рядку ви можете ввести SFC /SCANNOW, щоб перевірити цілісність та стан системних файлів Windows.

Посилання, яке ви включили у своє запитання, конкретно описує, що робить вірус.

Trojan: Win32 / FakeSpypro може бути встановлений з веб-сайту програми або за допомогою соціальної інженерії з сторонніх веб-сайтів. При виконанні Win32 / FakeSpypro копіює себе у "% windir% \ sysguard.exe" і встановлює запис реєстру для запуску самостійно при кожному запуску системи:

Додає значення: "системний інструмент"
З даними: "% windir% \ sysguard.exe"
Для підрозділу: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Він скидає компонент DLL на "\ iehelper.dll" і встановлює такі значення реєстру для завантаження викинутої DLL при запуску Windows та для реєстрації компонента DLL як BHO:

Додає значення: "(за замовчуванням)"
З даними: "bho"
Для підрозділу: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Додає значення: "(за замовчуванням)"
З даними: "\ iehelper.dll"
Для підрозділу: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

Додає значення: "(за замовчуванням)"
З даними: "0"
Для підрозділу: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Він також створює такий підрозділ реєстру:

HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite 

DLL, "\ iehelper.dll", встановлений Win32 / FakeSpypro, використовується для модерування використання Інтернету. Наприклад, він може змінювати результати пошуку для таких пошукових систем, з'являючись перед прямими користувачами на browser-security.microsoft.com:

    * yahoo.com
    * google
    * msn.com
    * live.com

Win32 / FakeSpypro може змінювати файл хостів у розділі \ drivers \ etc \ hosts, щоб гарантувати, що користувачі, які відвідують 'browser-security.microsoft.com', будуть спрямовані на перелічену IP-адресу як у наведеному нижче прикладі:

195.245.119.131 браузер-security.microsoft.com 

Я не згадую про відкриття будь-яких задніх дверей, і це не те, про що я чув раніше, тому сумніваюся, що хакер був у вашому комп'ютері. Я пропоную вам переглянути облікові записи користувачів, щоб переконатися, що хтось не створив обліковий запис, яким він може користуватися у вільний час. Цей троян найчастіше сприймається як завантажувальний привідЦе означає, що ви відразу ж не усвідомлюєте, що отримали. Це може статися навіть під час відвідування авторитетного сайту, якщо сайт був зламаний. Страшна частина - якщо ви точно не знаєте, коли ви заразилися, будь-яка інформація, внесена у ваш браузер, могла бути перехоплена. Хороша новина в тому, що цей вірус не лежить спокійно, але заважає придбати його. Я вважаю, що це також виявлено більшістю антивірусних програм. Мені подобається пропозиція Віла щодо пошуку вашого жорсткого диска за нещодавно зміненими файлами, але я сумніваюся, наскільки допомога буде насправді.

я б запропонував не залежати від зараженої машини для сканування; я б обрав два варіанти

[1.] приєднав цей жорсткий диск до іншої системи ... і відсканував його при завантаженні з незараженої машини

якщо у вас немає доступу до іншої машини

[2.] зробіть завантажувач USB-накопичувача за допомогою Unetbootin та будь-якого Linux Distro u, встановіть хороший безкоштовний останній A / V над ним та скануйте завантаження жорсткого диска з цього USB

Найгірший сценарій тут полягає в тому, що будь-які збережені / кешовані паролі, збережені на машині, були порушені, а ваш номер соціального страхування був викрадений. Навряд чи щось інше було взято. Окрім крадіжки цієї конкретної інформації, інша мотивація зловмисного програмного забезпечення включає показ оголошень та використання процесора та часу на вашому комп’ютері для увічнення ddos-атак та інших заходів зомбі. У наші дні все зводиться до грошей, і надто важко збирати плату від людей, щоб зробити видалення файлів даних зі своєї системи вартим.

Щоб захистити себе, я б зайшов до чистої машини та змінив усі паролі, які вам спадають на думку: електронна пошта, інтернет-банкінг, facebook / соціальні мережі, World of Warcraft / Steam / Gaming, vpn тощо. Ви також можете поставити попередження про шахрайство у вашому кредитному звіті.

Потім скористайтеся флеш-накопичувачем USB або DVD-дисками, що записуються, щоб створити резервну копію всіх своїх даних - будь-яких файлів і налаштувань на комп’ютері чи будь-яких програм, які неможливо легко встановити в новій системі. Після цього відформатуйте ваш жорсткий диск, перевстановіть операційну систему та додатки (і цього разу пам’ятайте, щоб увімкнути оновлення Windows) і, нарешті, відновити ваші дані.

Ключовим моментом тут є те, що коли ваша система заражена, ви ніколи не можете бути впевнені, що отримаєте її повністю повністю очищеною. Раніше це було досить добре, щоб бути впевненим, що будь-яке зловмисне програмне забезпечення більше не турбує вас, але в наші дні найкраще (читайте: найгірше) шкідливе програмне забезпечення хоче залишатися прихованим, а той тип даних, який ви маєте у вашій системі, робить його більше не вартим ризику спробувати очистити комп’ютер. Вам потрібно витерти його і почати спочатку.