Làm thế nào để tôi biết nếu tôi quản lý để loại bỏ hoàn toàn một trojan không bị phát hiện?

3

Tôi đã bắt một trojan sử dụng explorer.exe để sao chép chính nó trong trường hợp xóa mục nhập tự khởi động hoặc tệp exe chính của nó Programs/x.

Nó đã cố gắng liên lạc với một máy chủ đáng ngờ qua explorer.exe, đã chặn nó thông qua tường lửa của tôi.

TÔI:

Đã xóa các mục tự khởi động khỏi sổ đăng ký
Đã xem qua các dịch vụ của tôi nếu có bất cứ điều gì đáng ngờ
Đã xóa trojan khỏi Programs/
Đã đi qua Thông tin khối lượng hệ thống để tìm một explorer.exe 2 tháng tuổi và thay thế thông tin có thể bị nhiễm.

Không có quy trình đáng ngờ nào đang chạy nữa (không có explorer.exe trùng lặp) và không có gì muốn kết nối với chủ sở hữu trojan này.

Tôi cũng đã kiểm tra hệ thống của mình bằng một số chương trình chống phần mềm độc hại.

Những gì trojan đã làm:

Bắt đầu một explorer.exe thứ hai
Luôn luôn khi tôi xóa tệp trojan exe chính, nó đã được sao chép (bởi explorer.exe thứ hai)
Luôn luôn khi tôi xóa mục tự khởi động, nó cũng được sao chép bởi explorer.exe.

Khi tôi chấm dứt explorer.exe đáng ngờ, chỉ sử dụng một nửa bộ nhớ so với bộ nhớ ít nghi ngờ hơn từ Windows, một điều kỳ lạ mà tôi biết từ các máy tính trong lớp Tin học của tôi đã xảy ra:

Một cửa sổ bật lên ở phía trên bên trái của máy tính để bàn không có trình thám hiểm của tôi, có tiêu đề "Cài đặt cá nhân cho ... là ..." rõ ràng đã sao chép một số tệp. Sau đó, cả explorer.exes lại bắt đầu và trojan ở khắp mọi nơi một lần nữa.

Trojan thực sự đã làm gì để có được nhà thám hiểm giải cứu nó?
PC của tôi đã sạch trojan mới này chưa?
Các vị trí khác tôi nên kiểm tra trojan là gì?
Trjoan không có vẻ rất cao cấp, nó có thể thay đổi các tệp hệ thống khác hay là mục tự khởi động quan trọng đối với nó?

— Arjan
nguồn

2

Bạn không bao giờ có thể hoàn toàn chắc chắn 100% rằng bạn đã loại bỏ hoàn toàn một con ngựa trojan. Khi bảo mật của bạn bị xâm phạm, bạn không biết chính xác chuyện gì đã xảy ra.

Bạn dường như đã tìm ra nó khá tốt như những gì nó đã làm cho hệ thống của bạn. Nhưng điều gì sẽ xảy ra nếu nó cài đặt một rootkit mà bạn không tìm thấy và vô hình đối với phần mềm chống vi-rút của bạn?

Có rất nhiều điều để suy nghĩ như ví dụ trên. Cách duy nhất và duy nhất để hoàn toàn chắc chắn là cài đặt lại hệ thống hoàn chỉnh .

Nếu bạn không làm như vậy, hãy chạy một vài gói phần mềm chống vi-rút, v.v. kiểm tra tất cả các cài đặt khởi động của bạn (registry, msconfig, v.v.) tìm các quy trình chạy "lạ" và tiêu diệt chúng để xem điều gì sẽ xảy ra.

— S.Hoekstra
nguồn

1

Như đã nói, nếu không cài đặt lại đầy đủ, bạn không thể hoàn toàn chắc chắn ... Tuy nhiên, nếu bạn dành thời gian để kiểm tra sâu hệ thống của mình (thường mất nhiều thời gian hơn so với áp dụng chiến lược sao lưu / cài đặt lại tốt ...) bạn có thể có cơ hội bên ngoài đó là một cái gì đó vẫn còn. Vì vậy, đây là một số công cụ miễn phí để làm điều đó. (theo thứ tự sở thích cá nhân)

Bắt đầu và kết thúc bằng sfc /scannowdấu nhắc lệnh của quản trị viên để xác minh tất cả các tệp hệ thống

Máy quét chống sốt rét

Avira
Công cụ diệt virus của Kaspersky
Malwarebytes Anti-Malware
Thanh USB khẩn cấp a-Squared
SpyBot - Tìm kiếm & Tiêu diệt
PrevX (Một máy quét heuristic rất tốt. Nó có một số kết quả dương tính giả và không loại bỏ tất cả phần mềm độc hại với phiên bản miễn phí nhưng có thể hữu ích để phát hiện một số điều xấu ...)

Để bảo mật hơn, hãy sử dụng nhiều công cụ và sử dụng chúng từ phương tiện khởi động (như ubcd4win ) hoặc máy tính khác (được bảo vệ tốt).

Máy dò Rootkit

RootkitRevealer
RootRepeal
Sophos Anti-rootkit
Gmer (có thể là loại mạnh hơn nhưng cũng khó sử dụng hơn ...)

Công cụ kiểm tra hệ thống sâu

System Explorer liệt kê các quy trình, khởi động, dịch vụ, trình điều khiển ... Và kiểm tra điều đáng ngờ bằng cơ sở dữ liệu, dịch vụ VirusTotal hoặc Jotti của chính nó.
Sysiternals Autorun
Sysiternals ProcessExplorer
Máy phân tích Svchost

Phần thưởng: Một video thú vị với Mark Russinovich (người tạo ra ProcessExplorer & Autorun) về Malware Cleaning

— thông lượng
nguồn

Câu trả lời tuyệt vời. Nếu tôi còn phiếu, tôi sẽ ủng hộ điều này. Cú Google đẹp btw :)

— Alex

0

Sử dụng Lavasoft_Ad_Aware_Annlahoma_2009_Prof Profession_8.0.7, tìm kiếm & phá hủy spybot hoặc SUPERAntiSpyware

— Armen Mkrtchyan
nguồn

Muốn giải thích thêm một chút? Giống như: tại sao các công cụ này và tại sao số phiên bản 8.0.7 chính xác?

— Arjan

-1

(1) Nếu nó hoàn toàn không bị phát hiện, bạn không bao giờ có thể hoàn toàn chắc chắn rằng mình đã có tất cả.

(2) Tôi muốn giới thiệu một máy Mac thay thế.

— Alex
nguồn

+1 cho điểm đầu tiên, -1 cho nhận xét fanboy của Mac. Anh ấy thậm chí còn nói rằng anh ấy sẽ nhận được Linux trong một tuần.

— Sasha Chedygov

Đó không phải là một điều fanboy; Tôi là một chuyên gia Windows trong 15 năm trước khi cuối cùng tôi dùng thử máy Mac. Tôi đã mất vài tháng để học hỏi thói quen của mình, nhưng sau đó tôi hoàn toàn bị bán trên ý tưởng và việc thực hiện. Linux trên máy tính để bàn chưa có. Tôi hiện đang sử dụng nó trong phòng máy chủ, điều không may thực sự là vị trí của nó trong cuộc sống hiện tại. Mac OS có nền tảng UNIX tương tự, nhưng với giao diện người dùng chu đáo, chu đáo hơn nhiều.

— Alex

2

Tôi thích linux hơn mac vì chức năng quan trọng với tôi hơn UI đẹp. Tôi cũng thích mã nguồn mở cho địa ngục DRM của Apple. Nó hoàn toàn không bị phát hiện bởi các chương trình chống vi-rút, không có nghĩa là tôi chưa phát hiện ra nó. Xin lỗi nhưng câu trả lời này không giúp tôi nhiều, đặc biệt là đối với phần Mac.

@ubfoxvdetter, bạn mong đợi điều gì khi sử dụng tên "ubfoxvdetter" và tự ký tên cho câu hỏi của bạn với "Nhận linux trong một tuần" ...?

— Arjan

Một câu trả lời có chứa một cái gì đó hữu ích, tôi sẽ không quan tâm đến các khuyến nghị của fanboy.