Wykrywanie szkód wyrządzonych przez wirusa


8

Dziś rano, kiedy poszedłem na studia, wirus zainfekował mój komputer bez żadnej interakcji użytkownika na moim końcu. Kiedy wróciłem do domu, mój komputer został całkowicie zamrożony i zainfekowany dużą ilością trojanów. Nie wpisałem nic ważnego, ponieważ zwracam, aby klucze nie mogły zostać zarejestrowane. Chcę jednak dokładnie wiedzieć, kiedy mój komputer uległ awarii od czasu infekcji, aby zobaczyć, co może potencjalnie zrobić zdalnie haker.

Wirus, na którym zdiagnozowano mój komputer, to „fakespypro” w pełni zaktualizowanej instalacji systemu Windows 7 z włączoną zaporą ogniową. Mój komputer był podłączony do wewnętrznej sieci pokoju w akademiku, więc prawdopodobnie to musiało coś z tym zrobić.

Wszelkie dodatkowe informacje na temat tego, w jaki sposób mogę przywrócić tę infekcję wirusową lub sposoby wykrycia, jakie dane mogą zostać skradzione, będą bardzo mile widziane.

Odpowiedzi:


4

Jeśli logowanie nie jest włączone (co nie jest domyślnie), jest bardzo mało prawdopodobne, że będziesz wiedział, co zostało zrobione.

Jednak natknąłem się na to (i podobne) złośliwe oprogramowanie i są one na ogół używane tylko po to, aby ludzie kupowali śmieci / fałszywe oprogramowanie, nie są to zwykłe programy, które wysyłają twoje pliki i informacje osobom trzecim.

Nie twierdzę, że nie jest to możliwe, ale jest mało prawdopodobne.

Jeśli jednak chcesz wykryć szkody wyrządzone rzeczywistemu systemowi, możesz spróbować pobrać dobre narzędzie wyszukiwania wszystko (dostępne w Ninite ) i posortować według kolejności dat - to pokaże wszystko skopiowane i zmodyfikowane na dzień (istnieje wiele podobnych (wbudowane) narzędzia, ale myślę, że jest to najszybszy.

Ponadto w wierszu polecenia możesz pisać SFC /SCANNOW, aby sprawdzić integralność i status plików systemowych Windows.


1

Link, który podałeś w swoim pytaniu, opisuje w szczególności działanie wirusa.

Trojan: Win32 / FakeSpypro może być zainstalowany ze strony internetowej programu lub przez socjotechnikę ze stron internetowych osób trzecich. Po uruchomieniu Win32 / FakeSpypro kopiuje się do „% windir% \ sysguard.exe” i ustawia wpis rejestru, aby uruchamiał się przy każdym uruchomieniu systemu:

Wartość dodana: „narzędzie systemowe”
Z danymi: „% windir% \ sysguard.exe”
Do podklucza: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Upuszcza składnik DLL do „\ iehelper.dll” i ustawia następujące wartości rejestru, aby załadować upuszczoną bibliotekę DLL podczas uruchamiania systemu Windows i zarejestrować składnik DLL jako BHO:

Dodaje wartość: „(domyślnie)”
Z danymi: „bho”
Do podklucza: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Dodaje wartość: „(domyślnie)”
Z danymi: „\ iehelper.dll”
Do podklucza: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

Dodaje wartość: „(domyślnie)”
Z danymi: „0”
Do podklucza: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Tworzy również następujący podklucz rejestru:

HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite 

Biblioteka DLL „\ iehelper.dll”, zainstalowana przez Win32 / FakeSpypro, służy do moderowania korzystania z Internetu przez użytkownika, którego dotyczy problem. Na przykład może modyfikować wyniki wyszukiwania dla następujących wyszukiwarek, wyświetlając skierowane użytkowników do browser-security.microsoft.com:

    * yahoo.com
    * Google
    * msn.com
    * live.com

Win32 / FakeSpypro może modyfikować plik Hosts pod \ drivers \ etc \ hosts, aby zapewnić, że użytkownicy odwiedzający 'browser-security.microsoft.com' są kierowani na podany adres IP, jak w poniższym przykładzie:

195.245.119.131 browser-security.microsoft.com 

Nie ma wzmianki o otwieraniu tylnych drzwi i o tym wcześniej nie słyszałem, więc wątpię, aby haker był w twoim komputerze. Sugeruję jednak, aby spojrzeć na konta użytkowników, aby sprawdzić, czy ktoś nie utworzył konta, z którego mógłby korzystać w wolnym czasie. Ten konkretny trojan jest najczęściej wybierany jako narzędzie do pobieraniaco oznacza, że ​​natychmiast nie zdajesz sobie sprawy, że go masz. Może się to zdarzyć nawet podczas odwiedzania renomowanej witryny, jeśli witryna została zhakowana. Przerażające jest to, że jeśli nie wiesz dokładnie, kiedy zostałeś zainfekowany, wszelkie informacje wprowadzone do przeglądarki mogły zostać przechwycone. Dobra wiadomość jest taka, że ​​ten wirus nie leży spokojnie, ale przeszkadza ci go kupić. Wierzę, że wykrył to także większość programów antywirusowych. Podoba mi się sugestia Wila dotycząca przeszukiwania twojego dysku twardego w poszukiwaniu ostatnio zmodyfikowanych plików, ale mam wątpliwości co do tego, jak bardzo to pomoże.


Przeszukałem już dysk twardy w poszukiwaniu zmodyfikowanych plików. Zasadniczo ten wirus był częścią wielu innych wirusów, które wszystkie pobrano dokładnie w tej samej minucie „11:49”. Większość z nich to trojany lub trojany pobierające. Ale to fakespypro głośno mówiło o swoim istnieniu.
user38471

0

sugerowałbym, aby nie polegać na zainfekowanym komputerze podczas skanowania; są dwie opcje, które wybrałbym

[1.] podłączył ten dysk twardy do innego systemu ... i zeskanował go podczas uruchamiania z niezainfekowanego komputera

jeśli nie masz dostępu do innego komputera

[2.] wykonaj rozruch z napędu USB za pomocą Unetbootin i dowolnej innej dystrybucji Linuxa, zainstaluj na nim dobre, bezpłatne najnowsze A / V i skanuj dysk twardy z tego USB


0

Najgorszym scenariuszem jest to, że wszelkie zapisane / buforowane hasła przechowywane na komputerze zostały naruszone, a Twój numer ubezpieczenia społecznego został skradziony. Jest mało prawdopodobne, aby coś innego zostało zrobione. Oprócz kradzieży tych konkretnych informacji, inne motywacje do złośliwego oprogramowania obejmują wyświetlanie reklam oraz wykorzystywanie procesora komputera i czasu sieciowego do utrwalania ataków DDos i innych działań zombie. Obecnie wszystko sprowadza się do pieniędzy i zbyt trudno jest pobierać płatności od osób fizycznych, aby opłacalne było usuwanie plików danych z systemu.

Aby się zabezpieczyć, poszedłbym na czystą maszynę i zmieniłbym wszelkie hasła, które przychodzą na myśl: e-mail, bankowość internetowa, facebook / sieci społecznościowe, World of Warcraft / Steam / Gaming, VPN itp. Możesz także chcieć umieścić ostrzeżenie o oszustwie w raporcie kredytowym.

Następnie użyj dysku flash USB lub zapisywalnego dysku DVD, aby wykonać kopię zapasową wszystkich danych - dowolnych plików i ustawień na komputerze lub programów, których nie można łatwo zainstalować w nowym systemie. Po zakończeniu sformatuj dysk twardy, ponownie zainstaluj system operacyjny i aplikacje (i tym razem pamiętaj, aby włączyć aktualizacje systemu Windows), a na koniec przywróć dane.

Kluczową kwestią jest to, że po zainfekowaniu systemu nigdy nie będziesz mieć pewności , że jest on w pełni czysty. Kiedyś było wystarczająco dobre, aby mieć pewność, że żadne złośliwe oprogramowanie nie przeszkadza, ale obecnie najlepsze (czytaj: najgorsze) złośliwe oprogramowanie chce pozostać ukryte, a rodzaj danych, które masz w systemie, sprawia, że ​​nie jest już wart ryzyka spróbować wyczyścić komputer. Musisz go wytrzeć i zacząć od nowa.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.