Ссылка, которую вы включили в свой вопрос, конкретно описывает, что делает вирус.
Троянец: Win32 / FakeSpypro может быть установлен с веб-сайта программы или с помощью социальной инженерии с сторонних веб-сайтов. При запуске Win32 / FakeSpypro копирует себя в «% windir% \ sysguard.exe» и устанавливает запись реестра для запуска при каждом запуске системы:
Добавляет значение: «системный инструмент»
С данными: "% windir% \ sysguard.exe"
К подразделу: HKCU \ Программное обеспечение \ Microsoft \ Windows \ CurrentVersion \ Run
Он сбрасывает компонент DLL в «\ iehelper.dll» и устанавливает следующие значения реестра для загрузки отброшенной DLL при запуске Windows и регистрации компонента DLL в качестве BHO:
Добавляет значение: "(по умолчанию)"
С данными: «бхо»
Для подраздела: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}
Добавляет значение: "(по умолчанию)"
С данными: «\ iehelper.dll»
Для подключа: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32
Добавляет значение: "(по умолчанию)"
С данными: «0»
К подразделу: HKLM \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Вспомогательные объекты браузера \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}
Он также создает следующий раздел реестра:
HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite
DLL, "\ iehelper.dll", установленная Win32 / FakeSpypro, используется для смягчения использования Интернета уязвимым пользователем. Например, он может изменить результаты поиска для следующих поисковых систем, направив пользователей на browser-security.microsoft.com:
* yahoo.com
* Google
* msn.com
* live.com
Win32 / FakeSpypro может изменить файл Hosts в каталоге \ drivers \ etc \ hosts, чтобы пользователи, посещающие browser-security.microsoft.com, были направлены на указанный IP-адрес, как показано в следующем примере:
195.245.119.131 browser-security.microsoft.com
Нет никаких упоминаний об открытии каких-либо задних дверей, и я не слышал об этом раньше, поэтому я сомневаюсь, что хакер был «на вашем компьютере». Я предлагаю вам взглянуть на учетные записи пользователей, чтобы убедиться, что кто-то не создал учетную запись, которую он может использовать на досуге. Этот конкретный троян чаще всего выбирается для скачиванияЭто означает, что вы сразу же не понимаете, что получили его. Это может произойти, даже если вы посещаете авторитетный сайт, если сайт был взломан. Самое страшное, если вы точно не знаете, когда были заражены, любая информация, введенная в ваш браузер, могла быть перехвачена. Хорошей новостью является то, что этот вирус не лежит спокойно, но мешает вам купить его. Я считаю, что это также обнаруживается большинством антивирусных программ. Мне нравится предложение Уилла о поиске на вашем жестком диске недавно измененных файлов, но у меня есть сомнения относительно того, какая помощь будет на самом деле.
я бы посоветовал не зависеть от зараженной машины для сканирования; есть два варианта, которые я бы выбрал
если нет доступа к другой машине
источник
Наихудший сценарий здесь заключается в том, что любые сохраненные / кэшированные пароли, хранящиеся на машине, были взломаны, и ваш номер социального страхования был украден. Вряд ли что-то еще было взято. Помимо кражи этой конкретной информации, другая мотивация для вредоносных программ включает показ рекламы и использование процессорного времени вашего компьютера и сетевого времени для увековечивания атак ddos и других действий зомби. В наши дни все сводится к деньгам, и слишком сложно собирать платежи с частных лиц, чтобы оправдать удаление файлов данных из вашей системы.
Чтобы защитить себя, я бы пошел на чистую машину и изменил бы любые пароли, которые вам приходили на ум: электронная почта, онлайн-банкинг, Facebook / социальные сети, World of Warcraft / Steam / Gaming, vpn и т. Д. Вы также можете поставить предупреждение о мошенничестве в вашем кредитном отчете.
Затем используйте флэш-накопитель USB или записываемые DVD-диски для резервного копирования всех ваших данных - любых файлов и настроек на компьютере или любых программ, которые вы не можете легко установить в новой системе. Когда это будет сделано, отформатируйте жесткий диск, переустановите операционную систему и приложения (и на этот раз не забудьте включить обновления Windows) и, наконец, восстановите свои данные.
Ключевым моментом здесь является то, что, как только ваша система заражена, вы никогда не сможете быть уверены , что она снова полностью очищена. Раньше он был достаточно хорош, чтобы быть уверенным, что любое вредоносное ПО больше не беспокоит вас, но в наши дни лучшее (читай: худшее) вредоносное ПО хочет оставаться скрытым, а тот тип данных, который имеется в вашей системе, делает его более не стоящим риска. попытаться почистить компьютер. Вы должны стереть это и начать все сначала.
источник