Rilevamento del danno causato dal virus


8

Questa mattina dopo essere andato al college, un virus ha infettato il mio PC senza alcuna interazione da parte dell'utente. Quando sono tornato a casa, il mio computer era completamente bloccato e infettato da molti trojan. Non ho digitato nulla di importante da quando sono tornato, quindi le chiavi non possono essere registrate. Tuttavia, voglio sapere esattamente quando il mio computer si è arrestato in modo anomalo dal momento dell'infezione per vedere cosa potrebbe potenzialmente essere fatto in remoto da un hacker.

Il virus con cui è stato diagnosticato il mio PC era "fakespypro" su un'installazione di Windows 7 completamente aggiornata con firewall abilitato. Il mio computer era collegato a una rete interna di dormitori, quindi probabilmente ha dovuto farci qualcosa.

Qualsiasi ulteriore informazione su come potrei tornare indietro su questa infezione da virus o sui modi per scoprire quali dati potrebbero essere rubati sarebbe molto apprezzata.

Risposte:


4

A meno che tu non abbia attivato la registrazione (che non è di default) è molto improbabile che tu sappia cosa è stato preso.

Tuttavia, mi sono imbattuto in questo (e analogo) malware e vengono generalmente utilizzati solo per fare in modo che le persone acquistino immondizia / software falso, non sono trojan nel senso tipico che inviano file e informazioni a terzi.

Non sto dicendo che non è possibile, ma è improbabile.

Se invece si desidera rilevare il danno arrecato al sistema attuale, si può provare a scaricare il buon strumento di ricerca tutto (disponibile su Ninite ) e ordina per ordine di data - questo vi mostrerà tutto quello copiato e modificato alla data (ci sono molti simili (integrati), ma penso che questo sia il più veloce.

Inoltre, dal prompt dei comandi, è possibile digitare SFC /SCANNOWper verificare l'integrità e lo stato dei file di sistema di Windows.


1

Il link che hai incluso nella tua domanda descrive specificamente cosa fa il virus.

Trojan: Win32 / FakeSpypro può essere installato dal sito Web del programma o tramite social engineering da siti Web di terzi. Quando eseguito, Win32 / FakeSpypro si copia in "% windir% \ sysguard.exe" e imposta una voce di registro per eseguirsi automaticamente ad ogni avvio del sistema:

Aggiunge valore: "strumento di sistema"
Con dati: "% windir% \ sysguard.exe"
Sottochiave: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Rilascia un componente DLL su "\ iehelper.dll" e imposta i seguenti valori di registro per caricare la DLL rilasciata all'avvio di Windows e registrare il componente DLL come BHO:

Aggiunge valore: "(impostazione predefinita)"
Con dati: "bho"
Alla sottochiave: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Aggiunge valore: "(impostazione predefinita)"
Con dati: “\ iehelper.dll”
Alla sottochiave: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

Aggiunge valore: "(impostazione predefinita)"
Con dati: "0"
Alla sottochiave: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Crea inoltre la seguente sottochiave del registro:

HKCU \ Software \ avscan
HKCU \ Software \ AVSuite 

La DLL "\ iehelper.dll", installata da Win32 / FakeSpypro, viene utilizzata per moderare l'utilizzo di Internet dell'utente interessato. Ad esempio, può modificare i risultati di ricerca per i seguenti motori di ricerca, apparendo per indirizzare gli utenti a browser-security.microsoft.com:

    * yahoo.com
    * Google
    * msn.com
    * live.com

Win32 / FakeSpypro può modificare il file Hosts in \ drivers \ etc \ hosts, per garantire che gli utenti che visitano "browser-security.microsoft.com" siano indirizzati all'indirizzo IP elencato come nell'esempio seguente:

195.245.119.131 browser-security.microsoft.com 

Non si parla di aprire porte sul retro e questo non è qualcosa di cui ho sentito parlare prima, quindi dubito che un hacker fosse "nel" tuo computer. Ti suggerisco di esaminare gli account utente per verificare che qualcuno non abbia creato un account che possano usare a loro piacimento. Questo particolare trojan viene spesso raccolto come download drive-bynel senso che non ti rendi immediatamente conto di averlo ottenuto. Può succedere anche quando visiti un sito affidabile se il sito è stato violato. La parte spaventosa è se non sai esattamente quando sei stato infettato qualsiasi informazione inserita nel tuo browser avrebbe potuto essere intercettata. La buona notizia è che questo virus non risiede silenziosamente, ma ti disturba a comprarlo. Credo che sia stato rilevato anche dalla maggior parte dei programmi antivirus. Mi piace il suggerimento di Wil di cercare file modificati di recente sul tuo disco rigido, ma ho i miei dubbi su quanto aiuto sarà effettivamente.


Ho già cercato i file modificati sul mio disco rigido. Fondamentalmente questo virus faceva parte di una serie di altri virus che venivano scaricati nello stesso minuto "11:49". La maggior parte di essi sono trojan o downloader di trojan. Ma questo fasullo era molto vocale sulla sua esistenza.
user38471,

0

suggerirei di non dipendere dalla macchina infetta per la scansione; ci sono due opzioni che avrei optato per

[1.] ha collegato questo HDD a un altro sistema ... e lo ha scannerizzato avviandosi da una macchina non infetta

se non hai accesso ad altre macchine

[2.] Rendi avviabile un'unità USB utilizzando Unetbootin e qualsiasi Linux Distro che ti piace, installa un buon A / V più recente gratuito su di esso e scansiona il disco rigido che si avvia da quella USB


0

Lo scenario peggiore qui è che tutte le password salvate / memorizzate nella cache sono state compromesse e il tuo numero di previdenza sociale è stato rubato. È improbabile che sia stato preso qualcos'altro. Oltre a rubare quelle informazioni specifiche, altre motivazioni per il malware includono la visualizzazione di annunci pubblicitari e l'utilizzo del tempo del processore e della rete del computer per perpetuare attacchi ddos ​​e altre attività sugli zombi. In questi giorni tutto si riduce al denaro ed è troppo difficile raccogliere pagamenti dalle persone per rendere utile la rimozione dei file di dati dal sistema.

Per proteggerti, vorrei andare su una macchina pulita e cambiare tutte le password che mi vengono in mente: e-mail, servizi bancari online, Facebook / social network, World of Warcraft / Steam / Gaming, vpn, ecc. Potresti anche voler mettere un avviso di frode sul tuo rapporto di credito.

Quindi, utilizza un'unità flash USB o DVD scrivibili per eseguire il backup di tutti i tuoi dati, file e impostazioni sul computer o programmi che non è possibile installare facilmente su un nuovo sistema. Al termine, formatta il disco rigido, reinstalla il sistema operativo e le applicazioni (e questa volta ricordati di attivare gli aggiornamenti di Windows) e infine ripristinare i dati.

Il punto chiave qui è che una volta che il tuo sistema è infetto, non puoi mai essere sicuro di averlo nuovamente pulito. In passato era abbastanza buono da essere sicuro che qualsiasi malware non ti disturbasse più, ma al giorno d'oggi il malware migliore (leggi: peggio) vuole rimanere nascosto e il tipo di dati che hai sul tuo sistema non ne fa più la pena. per provare a pulire il computer. Devi pulirlo e ricominciare.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.