Phát hiện thiệt hại do virus

Sáng nay sau khi tôi đi học đại học, một con virus đã lây nhiễm PC của tôi mà không có bất kỳ sự tương tác nào của người dùng. Khi tôi trở về nhà, máy tính của tôi đã bị đóng băng hoàn toàn và bị nhiễm rất nhiều trojan. Tôi đã không gõ bất cứ điều gì quan trọng kể từ khi trở về để các khóa không thể được ghi lại. Tuy nhiên tôi muốn biết chính xác khi nào máy tính của tôi bị sập từ lúc bị nhiễm để xem những gì có thể được thực hiện từ xa bởi một tin tặc.

Virus mà máy tính của tôi được chẩn đoán là "fakespypro" trên bản cài đặt Windows 7 được cập nhật đầy đủ với tường lửa được kích hoạt. Máy tính của tôi đã được kết nối với một mạng phòng ký túc xá nội bộ, vì vậy có lẽ điều đó đã phải làm một cái gì đó với nó.

Bất kỳ thông tin nào khác về cách tôi có thể theo dõi sự lây nhiễm vi-rút này hoặc các cách để khám phá dữ liệu nào có thể bị đánh cắp sẽ được đánh giá rất cao.

Trừ khi bạn đã đăng nhập (không phải mặc định), rất có thể bạn sẽ không biết những gì đã được thực hiện.

Tuy nhiên, tôi đã bắt gặp phần mềm độc hại này (và tương tự) và chúng thường được sử dụng chỉ để khiến mọi người mua phần mềm rác / giả, chúng không phải là trojan theo nghĩa thông thường gửi tệp và thông tin của bạn cho bên thứ ba.

Tôi không nói là không thể, nhưng điều đó là không thể.

Tuy nhiên, nếu bạn muốn phát hiện thiệt hại cho hệ thống thực tế của mình, bạn có thể thử tải xuống công cụ tìm kiếm tốt mọi thứ (có sẵn trên Ninite ) và sắp xếp theo thứ tự ngày - điều này sẽ hiển thị cho bạn mọi thứ được sao chép và sửa đổi vào ngày (có nhiều điểm tương tự (tích hợp) các công cụ, nhưng, tôi nghĩ rằng đây là cách nhanh nhất.

Ngoài ra, từ dấu nhắc lệnh, bạn có thể nhập SFC /SCANNOWđể kiểm tra tính toàn vẹn và trạng thái của Tệp hệ thống Windows.

Liên kết bạn đưa vào câu hỏi của bạn mô tả cụ thể những gì virus gây ra.

Trojan: Win32 / FakeSpypro có thể được cài đặt từ trang web của chương trình hoặc bằng kỹ thuật xã hội từ các trang web của bên thứ ba. Khi được thực thi, Win32 / FakeSpypro tự sao chép thành "% Windir% \ sysguard.exe" và đặt mục đăng ký để tự chạy ở mỗi lần khởi động hệ thống:

Thêm giá trị: "công cụ hệ thống"
Với dữ liệu: "% Windir% \ sysguard.exe"
Để khóa con: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Nó thả một thành phần DLL xuống "\ iehelper.dll" và đặt các giá trị đăng ký sau để tải DLL bị rớt khi bắt đầu Windows và đăng ký thành phần DLL dưới dạng BHO:

Thêm giá trị: "(mặc định)"
Với dữ liệu:
Để khóa con: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Thêm giá trị: "(mặc định)"
Với dữ liệu: xông \ iehelper.dll
Để khóa con: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

Thêm giá trị: "(mặc định)"
Với dữ liệu: "0 QUAN
Để khóa con: HKLM \ PHẦN MỀM \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Đối tượng trợ giúp trình duyệt \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Nó cũng tạo ra khoá con đăng ký sau:

HKCU \ Phần mềm \ AvScan
HKCU \ Phần mềm \ AVSuite 

DLL, "\ iehelper.dll", được cài đặt bởi Win32 / FakeSpypro được sử dụng để kiểm duyệt việc sử dụng Internet của người dùng bị ảnh hưởng. Ví dụ: nó có thể sửa đổi kết quả tìm kiếm cho các công cụ tìm kiếm sau, bằng cách xuất hiện để hướng người dùng đến browser-security.microsoft.com:

    * yahoo.com
    * Google
    * msn.com
    * trực tuyến.com

Win32 / FakeSpypro có thể sửa đổi tệp Máy chủ trong \ driver \ etc \ hosts, để đảm bảo rằng người dùng truy cập 'browser-security.microsoft.com' được chuyển đến địa chỉ IP được liệt kê như trong ví dụ sau:

195.245.119.131 trình duyệt-security.microsoft.com 

Không có đề cập đến việc mở bất kỳ cửa sau nào và đó không phải là điều tôi đã nghe thấy trước đây vì vậy tôi nghi ngờ rằng một hacker đã 'vào' máy tính của bạn. Tôi khuyên bạn nên xem xét các tài khoản người dùng để xác minh rằng ai đó chưa tạo tài khoản mà họ có thể sử dụng khi rảnh rỗi. Trojan đặc biệt này thường được chọn là tải xuống theo ổ đĩacó nghĩa là bạn làm ngay lập tức không nhận ra bạn đã nhận nó. Nó có thể xảy ra ngay cả khi bạn truy cập một trang web có uy tín nếu trang web đó đã bị hack. Điều đáng sợ là nếu bạn không biết chính xác khi nào bạn bị nhiễm bất kỳ thông tin nào được nhập vào trình duyệt của bạn có thể đã bị chặn. Tin tốt là virus này không nằm yên mà làm phiền bạn khi mua nó. Tôi tin rằng nó cũng được phát hiện bởi hầu hết các chương trình chống vi-rút. Tôi thích đề xuất của Wil về việc tìm kiếm ổ cứng của bạn cho các tệp được sửa đổi gần đây, nhưng tôi nghi ngờ về việc sẽ thực sự giúp được bao nhiêu.

Tôi khuyên bạn không nên phụ thuộc vào máy bị nhiễm để quét; có hai lựa chọn tôi đã chọn

[1.] gắn ổ cứng này vào hệ thống khác ... và quét nó khởi động từ máy chưa bị nhiễm

nếu không có quyền truy cập vào máy khác

[2.

Trường hợp xấu nhất ở đây là mọi mật khẩu đã lưu / lưu trong bộ nhớ cache được lưu trên máy đều bị xâm phạm và số an sinh xã hội của bạn đã bị đánh cắp. Không có gì khác được thực hiện. Ngoài việc đánh cắp thông tin cụ thể đó, động lực khác cho phần mềm độc hại bao gồm hiển thị cho bạn quảng cáo và sử dụng bộ xử lý và thời gian mạng của máy tính để duy trì các cuộc tấn công ddos ​​và các hoạt động zombie khác. Ngày nay, tất cả đều liên quan đến tiền và thật khó để thu tiền thanh toán từ các cá nhân để khiến việc xóa các tệp dữ liệu khỏi hệ thống của bạn trở nên đáng giá.

Để tự bảo vệ mình, tôi sẽ đến một máy sạch và thay đổi bất kỳ mật khẩu nào xuất hiện trong tâm trí: e-mail, ngân hàng trực tuyến, facebook / mạng xã hội, World of Warcraft / Steam / Gaming, vpn, v.v. Bạn cũng có thể muốn đặt một cảnh báo gian lận trên báo cáo tín dụng của bạn.

Sau đó, sử dụng ổ đĩa flash USB hoặc DVD có thể ghi để sao lưu tất cả dữ liệu của bạn - mọi tệp và cài đặt trên máy tính hoặc bất kỳ chương trình nào bạn không thể dễ dàng cài đặt trên hệ thống mới. Khi đã xong, định dạng ổ cứng của bạn, cài đặt lại hệ điều hành và ứng dụng của bạn (và lần này hãy nhớ bật cập nhật Windows) và cuối cùng khôi phục dữ liệu của bạn.

Điểm mấu chốt ở đây là một khi hệ thống của bạn bị nhiễm, bạn không bao giờ có thể chắc chắn rằng mình đã hoàn toàn sạch lại. Nó đã đủ tốt để đảm bảo rằng bất kỳ phần mềm độc hại nào không còn làm phiền bạn nữa, nhưng ngày nay, phần mềm độc hại tốt nhất (đọc: tệ nhất) muốn được ẩn và loại dữ liệu bạn có trên hệ thống của mình khiến nó không còn rủi ro để cố gắng làm sạch máy tính. Bạn cần phải lau nó và bắt đầu lại.