Обнаружение ущерба, нанесенного вирусом

8

Этим утром после того, как я пошел в колледж, вирус заразил мой компьютер без какого-либо взаимодействия с пользователем с моей стороны. Когда я пришел домой, мой компьютер был полностью заморожен и заражен большим количеством троянов. Я не набрал ничего важного с момента возврата, чтобы ключи не могли быть зарегистрированы. Однако я хочу точно знать, когда произошел сбой моего компьютера с момента заражения, чтобы увидеть, что потенциально может сделать хакер удаленно.

Вирус, который был диагностирован моим компьютером, был «fakespypro» в полностью обновленной установке Windows 7 с включенным брандмауэром. Мой компьютер был подключен к внутренней сети комнаты в общежитии, так что, вероятно, с этим нужно было что-то делать.

Будем весьма благодарны за любую дополнительную информацию о том, как я мог бы отследить эту вирусную инфекцию или как узнать, какие данные могут быть украдены.

user38471
источник

Ответы:

4

Если у вас не включено ведение журнала (что не по умолчанию), очень маловероятно, что вы узнаете, что было сделано.

Тем не менее, я сталкивался с этим (и подобным) вредоносным программным обеспечением, и они обычно используются только для того, чтобы люди покупали мусорное / поддельное программное обеспечение, они не являются троянами в обычном смысле слова, которые отправляют ваши файлы и информацию третьей стороне.

Я не говорю, что это невозможно, но вряд ли.

Однако, если вы хотите обнаружить ущерб, нанесенный вашей действительной системе, вы можете попробовать загрузить хороший инструмент поиска по всему (доступно на Ninite ) и отсортировать по дате - это покажет вам все, что скопировано и модифицировано на дату (есть много похожих (встроенные) инструменты, но, я думаю, это самый быстрый.

Кроме того, из командной строки вы можете ввести SFC /SCANNOW, чтобы проверить целостность и состояние системных файлов Windows.

Уильям Хилсум
источник
1

Ссылка, которую вы включили в свой вопрос, конкретно описывает, что делает вирус.

Троянец: Win32 / FakeSpypro может быть установлен с веб-сайта программы или с помощью социальной инженерии с сторонних веб-сайтов. При запуске Win32 / FakeSpypro копирует себя в «% windir% \ sysguard.exe» и устанавливает запись реестра для запуска при каждом запуске системы:

Добавляет значение: «системный инструмент»
С данными: "% windir% \ sysguard.exe"
К подразделу: HKCU \ Программное обеспечение \ Microsoft \ Windows \ CurrentVersion \ Run

Он сбрасывает компонент DLL в «\ iehelper.dll» и устанавливает следующие значения реестра для загрузки отброшенной DLL при запуске Windows и регистрации компонента DLL в качестве BHO:

Добавляет значение: "(по умолчанию)"
С данными: «бхо»
Для подраздела: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Добавляет значение: "(по умолчанию)"
С данными: «\ iehelper.dll»
Для подключа: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

Добавляет значение: "(по умолчанию)"
С данными: «0»
К подразделу: HKLM \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Вспомогательные объекты браузера \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Он также создает следующий раздел реестра:

HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite 

DLL, "\ iehelper.dll", установленная Win32 / FakeSpypro, используется для смягчения использования Интернета уязвимым пользователем. Например, он может изменить результаты поиска для следующих поисковых систем, направив пользователей на browser-security.microsoft.com:

    * yahoo.com
    * Google
    * msn.com
    * live.com

Win32 / FakeSpypro может изменить файл Hosts в каталоге \ drivers \ etc \ hosts, чтобы пользователи, посещающие browser-security.microsoft.com, были направлены на указанный IP-адрес, как показано в следующем примере:

195.245.119.131 browser-security.microsoft.com 

Нет никаких упоминаний об открытии каких-либо задних дверей, и я не слышал об этом раньше, поэтому я сомневаюсь, что хакер был «на вашем компьютере». Я предлагаю вам взглянуть на учетные записи пользователей, чтобы убедиться, что кто-то не создал учетную запись, которую он может использовать на досуге. Этот конкретный троян чаще всего выбирается для скачиванияЭто означает, что вы сразу же не понимаете, что получили его. Это может произойти, даже если вы посещаете авторитетный сайт, если сайт был взломан. Самое страшное, если вы точно не знаете, когда были заражены, любая информация, введенная в ваш браузер, могла быть перехвачена. Хорошей новостью является то, что этот вирус не лежит спокойно, но мешает вам купить его. Я считаю, что это также обнаруживается большинством антивирусных программ. Мне нравится предложение Уилла о поиске на вашем жестком диске недавно измененных файлов, но у меня есть сомнения относительно того, какая помощь будет на самом деле.

Бинер
источник
Я уже искал на своем жестком диске измененные файлы. По сути, этот вирус был частью ряда других вирусов, которые были загружены в одну и ту же минуту «11:49». Большинство из них - трояны или трояны-загрузчики. Но этот fakespypro очень активно высказывался о его существовании.
user38471
0

я бы посоветовал не зависеть от зараженной машины для сканирования; есть два варианта, которые я бы выбрал

[1.] подключил этот жесткий диск к другой системе ... и сканировал его, загружаясь с незараженного компьютера

если нет доступа к другой машине

[2.] сделайте загрузочный USB-накопитель с помощью Unetbootin и любого другого дистрибутива Linux, установите на него хорошее бесплатное аудио / видео и отсканируйте загрузочный жесткий диск с этого USB

AbhishekKr
источник
0

Наихудший сценарий здесь заключается в том, что любые сохраненные / кэшированные пароли, хранящиеся на машине, были взломаны, и ваш номер социального страхования был украден. Вряд ли что-то еще было взято. Помимо кражи этой конкретной информации, другая мотивация для вредоносных программ включает показ рекламы и использование процессорного времени вашего компьютера и сетевого времени для увековечивания атак ddos ​​и других действий зомби. В наши дни все сводится к деньгам, и слишком сложно собирать платежи с частных лиц, чтобы оправдать удаление файлов данных из вашей системы.

Чтобы защитить себя, я бы пошел на чистую машину и изменил бы любые пароли, которые вам приходили на ум: электронная почта, онлайн-банкинг, Facebook / социальные сети, World of Warcraft / Steam / Gaming, vpn и т. Д. Вы также можете поставить предупреждение о мошенничестве в вашем кредитном отчете.

Затем используйте флэш-накопитель USB или записываемые DVD-диски для резервного копирования всех ваших данных - любых файлов и настроек на компьютере или любых программ, которые вы не можете легко установить в новой системе. Когда это будет сделано, отформатируйте жесткий диск, переустановите операционную систему и приложения (и на этот раз не забудьте включить обновления Windows) и, наконец, восстановите свои данные.

Ключевым моментом здесь является то, что, как только ваша система заражена, вы никогда не сможете быть уверены , что она снова полностью очищена. Раньше он был достаточно хорош, чтобы быть уверенным, что любое вредоносное ПО больше не беспокоит вас, но в наши дни лучшее (читай: худшее) вредоносное ПО хочет оставаться скрытым, а тот тип данных, который имеется в вашей системе, делает его более не стоящим риска. попытаться почистить компьютер. Вы должны стереть это и начать все сначала.

Джоэл Коухорн
источник