Mendeteksi kerusakan yang dilakukan oleh virus

Pagi ini setelah saya kuliah, sebuah virus menginfeksi PC saya tanpa ada interaksi pengguna pada akhirnya. Ketika saya pulang, komputer saya benar-benar beku dan terinfeksi banyak trojan. Saya belum mengetik sesuatu yang penting sejak kembali sehingga kunci tidak dapat dicatat. Namun saya ingin tahu persis kapan komputer saya crash dari saat infeksi untuk melihat apa yang berpotensi dilakukan dari jarak jauh oleh seorang hacker.

Virus yang didiagnosis oleh pc saya adalah "fakespypro" pada instalasi Windows 7 yang sepenuhnya diperbarui dengan firewall diaktifkan. Komputer saya terhubung ke jaringan kamar asrama internal, jadi mungkin itu ada hubungannya dengan itu.

Setiap informasi lebih lanjut tentang bagaimana saya dapat melacak kembali infeksi virus ini atau cara untuk menemukan data apa yang mungkin dicuri akan sangat dihargai.

Kecuali Anda telah logon dihidupkan (yang bukan secara default), sangat tidak mungkin Anda akan tahu apa yang diambil.

Namun, saya telah menemukan malware ini (dan sejenisnya) dan mereka biasanya digunakan hanya untuk membuat orang membeli sampah / perangkat lunak palsu, mereka bukan trojan dalam arti tipikal yang mengirim file dan informasi Anda ke pihak ketiga.

Saya tidak mengatakan itu tidak mungkin, tetapi tidak mungkin.

Namun jika Anda ingin mendeteksi kerusakan yang terjadi pada sistem Anda yang sebenarnya, Anda dapat mencoba mengunduh segala alat pencarian yang bagus (tersedia di Ninite ) dan mengurutkan berdasarkan urutan tanggal - ini akan menunjukkan kepada Anda segala sesuatu yang disalin dan dimodifikasi pada tanggal tersebut (ada banyak Alat (bawaan), tapi, saya pikir ini yang tercepat.

Selain itu, dari prompt perintah, Anda dapat mengetik SFC /SCANNOWuntuk memeriksa integritas dan status File Sistem Windows.

Tautan yang Anda masukkan dalam pertanyaan Anda menjelaskan secara spesifik apa yang dilakukan oleh virus.

Trojan: Win32 / FakeSpypro dapat diinstal dari situs web program atau dengan rekayasa sosial dari situs web pihak ketiga. Ketika dijalankan, Win32 / FakeSpypro menyalin dirinya sendiri ke "% windir% \ sysguard.exe" dan menetapkan entri registri untuk dijalankan sendiri di setiap sistem mulai:

Nilai tambah: "alat sistem"
Dengan data: "% windir% \ sysguard.exe"
Ke subkunci: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Ini menjatuhkan komponen DLL ke "\ iehelper.dll" dan menetapkan nilai registri berikut untuk memuat DLL yang dijatuhkan pada saat Windows mulai dan untuk mendaftarkan komponen DLL sebagai BHO:

Nilai tambah: "(standar)"
Dengan data: "bho"
Ke subkunci: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Nilai tambah: "(standar)"
Dengan data: "\ iehelper.dll"
Ke subkunci: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

Nilai tambah: "(standar)"
Dengan data: "0"
Ke subkunci: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Itu juga membuat subkunci registri berikut:

HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite 

DLL, "\ iehelper.dll", diinstal oleh Win32 / FakeSpypro digunakan untuk memoderasi penggunaan Internet pengguna yang terpengaruh. Misalnya, ini dapat mengubah hasil pencarian untuk mesin pencari berikut, dengan muncul untuk mengarahkan pengguna ke browser-security.microsoft.com:

    * yahoo.com
    * google
    * msn.com
    * live.com

Win32 / FakeSpypro dapat memodifikasi file Host di bawah \ drivers \ etc \ hosts, untuk memastikan bahwa pengguna yang mengunjungi 'browser-security.microsoft.com' diarahkan ke alamat IP yang terdaftar seperti dalam contoh berikut:

195.245.119.131 browser-security.microsoft.com 

Tidak ada menyebutkan membuka pintu belakang dan itu bukan sesuatu yang saya dengar sebelumnya, jadi saya ragu bahwa seorang hacker ada di komputer Anda. Saya sarankan Anda melihat akun pengguna untuk memverifikasi bahwa seseorang belum membuat akun yang dapat mereka gunakan sesuka mereka. Trojan khusus ini paling sering diambil sebagai unduhan drive-byyang berarti Anda segera tidak menyadari Anda mendapatkannya. Itu dapat terjadi bahkan ketika Anda mengunjungi situs terkemuka jika situs itu diretas. Bagian yang menakutkan adalah jika Anda tidak tahu persis kapan Anda terinfeksi informasi apa pun yang dimasukkan ke dalam browser Anda mungkin telah dicegat. Kabar baiknya adalah virus ini tidak berbaring diam-diam, tetapi mengganggu Anda untuk membelinya. Saya percaya itu juga terdeteksi oleh sebagian besar program anti-virus. Saya suka saran Wil tentang mencari hard drive Anda untuk file yang baru saja dimodifikasi, tapi saya ragu tentang berapa banyak bantuan yang sebenarnya akan.

saya sarankan untuk tidak bergantung pada mesin yang terinfeksi untuk memindai; ada dua opsi yang saya pilih

[1.] memasang HDD ini ke sistem lain ... dan memindai booting dari mesin yang tidak terinfeksi

jika tidak memiliki akses ke mesin lain

[2.] buat USB Drive dapat di-boot dengan menggunakan Unetbootin dan distro Linux apa pun, instal A / V terbaru gratis yang bagus di atasnya dan pindai booting HDD dari USB itu.

Skenario kasus terburuk di sini adalah bahwa kata sandi yang disimpan / di-cache yang tersimpan di mesin dikompromikan dan nomor jaminan sosial Anda dicuri. Tidak mungkin hal lain diambil. Selain mencuri info spesifik itu, motivasi lain untuk malware termasuk menampilkan iklan kepada Anda dan menggunakan prosesor komputer Anda dan waktu jaringan untuk melanggengkan serangan DDoS dan aktivitas zombie lainnya. Saat ini semuanya bergantung pada uang, dan terlalu sulit untuk mengumpulkan pembayaran dari individu untuk membuat menghapus file data dari sistem Anda berharga.

Untuk melindungi diri Anda, saya akan pergi ke mesin bersih dan mengubah kata sandi yang muncul di pikiran: e-mail, perbankan online, facebook / jejaring sosial, World of Warcraft / Steam / Gaming, vpn, dll. Anda mungkin juga ingin menempatkan peringatan penipuan pada laporan kredit Anda.

Kemudian, gunakan usb flash drive atau DVD yang dapat ditulis untuk membuat cadangan semua data Anda - semua file dan pengaturan di komputer, atau program apa pun yang tidak dapat Anda instal dengan mudah pada sistem baru. Setelah selesai, format hard drive Anda, instal ulang sistem operasi dan aplikasi Anda (dan kali ini ingat untuk mengaktifkan pembaruan windows), dan akhirnya kembalikan data Anda.

Poin kunci di sini adalah bahwa begitu sistem Anda terinfeksi, Anda tidak pernah bisa memastikan Anda telah membersihkannya sepenuhnya. Dulu cukup baik untuk memastikan malware apa pun tidak lagi mengganggu Anda, tetapi akhir-akhir ini malware terbaik (baca: terburuk) ingin tetap tersembunyi, dan jenis data yang Anda miliki di sistem Anda membuatnya tidak lagi sepadan dengan risikonya. untuk mencoba membersihkan komputer. Anda perlu menghapusnya dan memulai kembali.