ตรวจจับความเสียหายที่เกิดจากไวรัส

เช้าวันนี้หลังจากฉันไปโรงเรียนไวรัสติดพีซีของฉันโดยที่ผู้ใช้ไม่ต้องทำอะไรเลย เมื่อฉันกลับถึงบ้านคอมพิวเตอร์ของฉันถูกแช่แข็งอย่างสมบูรณ์และติดเชื้อโทรจันจำนวนมาก ฉันไม่ได้พิมพ์อะไรที่สำคัญตั้งแต่กลับมาดังนั้นคีย์จึงไม่สามารถบันทึกได้ อย่างไรก็ตามฉันต้องการทราบอย่างแน่นอนว่าเมื่อคอมพิวเตอร์ของฉันทำงานผิดพลาดจากช่วงเวลาของการติดเชื้อเพื่อดูว่าแฮ็กเกอร์อาจทำอะไรจากระยะไกล

ไวรัสพีซีของฉันถูกวินิจฉัยว่าเป็น"fakespypro"ในการติดตั้ง Windows 7 ที่ได้รับการอัปเดตอย่างสมบูรณ์พร้อมเปิดใช้งานไฟร์วอลล์ คอมพิวเตอร์ของฉันเชื่อมต่อกับเครือข่ายห้องพักหอพักภายในดังนั้นอาจต้องทำอะไรกับมัน

ข้อมูลเพิ่มเติมใด ๆ เกี่ยวกับวิธีที่ฉันสามารถย้อนกลับการติดเชื้อไวรัสนี้หรือวิธีการค้นหาข้อมูลที่อาจถูกขโมยจะได้รับการชื่นชมอย่างมาก

หากคุณไม่ได้เปิดใช้งานการบันทึก (ซึ่งไม่ใช่ค่าเริ่มต้น) คุณจะไม่ทราบว่าเกิดอะไรขึ้น

อย่างไรก็ตามฉันเจอมัลแวร์นี้ (และที่คล้ายกัน) และพวกเขามักจะใช้เพื่อทำให้คนซื้อซอฟต์แวร์ขยะ / ปลอมพวกเขาไม่ใช่โทรจันในแง่ทั่วไปที่ส่งไฟล์และข้อมูลของคุณไปยังบุคคลที่สาม

ฉันไม่ได้บอกว่ามันเป็นไปไม่ได้ แต่มันไม่น่าเป็นไปได้

หากคุณต้องการตรวจสอบความเสียหายที่เกิดขึ้นกับระบบจริงของคุณคุณสามารถลองดาวน์โหลดเครื่องมือค้นหาที่ดีทุกอย่าง (มีให้ในNinite ) และเรียงลำดับตามวันที่ - สิ่งนี้จะแสดงให้คุณเห็นทุกอย่างที่คัดลอกและแก้ไข ณ วันที่ เครื่องมือ (ในตัว) แต่ฉันคิดว่านี่เป็นวิธีที่เร็วที่สุด

นอกจากนี้จากพรอมต์คำสั่งคุณสามารถพิมพ์SFC /SCANNOWเพื่อตรวจสอบความสมบูรณ์และสถานะของ Windows System Files

ลิงค์ที่คุณรวมอยู่ในคำถามของคุณอธิบายถึงสิ่งที่ไวรัสทำ

Trojan: Win32 / FakeSpypro อาจถูกติดตั้งจากเว็บไซต์ของโปรแกรมหรือวิศวกรรมสังคมจากเว็บไซต์บุคคลที่สาม เมื่อดำเนินการ Win32 / FakeSpypro จะคัดลอกตัวเองไปที่ "% windir% \ sysguard.exe" และตั้งค่ารายการรีจิสตรีเพื่อเรียกใช้ตัวเองเมื่อเริ่มต้นแต่ละระบบ:

เพิ่มมูลค่า: "เครื่องมือระบบ"
ด้วยข้อมูล: "% windir% \ sysguard.exe"
เมื่อต้องการคีย์ย่อย: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

มันจะลดองค์ประกอบ DLL ไปที่ "\ iehelper.dll" และตั้งค่ารีจิสทรีต่อไปนี้เพื่อโหลด DLL ที่ถูกปล่อยเมื่อเริ่มต้น Windows และการลงทะเบียนคอมโพเนนต์ DLL เป็น BHO:

เพิ่มค่า: "(ค่าเริ่มต้น)"
ด้วยข้อมูล:“ bho”
ถึงคีย์ย่อย: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

เพิ่มค่า: "(ค่าเริ่มต้น)"
ด้วยข้อมูล:“ \ iehelper.dll”
ถึงคีย์ย่อย: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

เพิ่มค่า: "(ค่าเริ่มต้น)"
ด้วยข้อมูล: "0"
เมื่อต้องการคีย์ย่อย: วัตถุตัวช่วยของ HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser ตัวช่วย \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

นอกจากนี้ยังสร้างคีย์ย่อยของรีจิสทรีต่อไปนี้:

HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite 

DLL, "\ iehelper.dll" ติดตั้งโดย Win32 / FakeSpypro ใช้เพื่อกลั่นกรองการใช้งานอินเทอร์เน็ตของผู้ใช้ที่ได้รับผลกระทบ ตัวอย่างเช่นมันอาจแก้ไขผลการค้นหาสำหรับเครื่องมือค้นหาต่อไปนี้โดยปรากฏแก่ผู้ใช้โดยตรงไปยังเบราว์เซอร์ -security.microsoft.com:

    * yahoo.com
    * google
    * msn.com
    * live.com

Win32 / FakeSpypro อาจแก้ไขไฟล์ Hosts ภายใต้ \ drivers \ etc \ hosts เพื่อให้แน่ใจว่าผู้ใช้ที่เข้าชม 'browser-security.microsoft.com' จะถูกนำไปยังที่อยู่ IP ที่แสดงรายการดังตัวอย่างต่อไปนี้:

195.245.119.131 browser-security.microsoft.com 

ไม่มีการกล่าวถึงการเปิดประตูหลังและนั่นไม่ใช่สิ่งที่ฉันเคยได้ยินมาก่อนดังนั้นฉันจึงสงสัยว่าแฮ็กเกอร์คือ 'ใน' คอมพิวเตอร์ของคุณ ฉันขอแนะนำให้คุณดูบัญชีผู้ใช้เพื่อยืนยันว่ามีบางคนไม่ได้สร้างบัญชีที่พวกเขาสามารถใช้งานได้ โทรจันนี้มักถูกหยิบขึ้นมาเป็นดาวน์โหลดโดยไดรฟ์หมายความว่าคุณไม่ได้ตระหนักทันทีว่าคุณได้รับมัน มันสามารถเกิดขึ้นได้แม้ว่าคุณจะเข้าเยี่ยมชมเว็บไซต์ที่มีชื่อเสียงถ้าเว็บไซต์ถูกแฮ็ค ส่วนที่น่ากลัวคือถ้าคุณไม่ทราบว่าเมื่อใดที่คุณติดเชื้อข้อมูลใด ๆ ที่ป้อนเข้าไปในเบราว์เซอร์ของคุณอาจถูกดักจับได้ ข่าวดีก็คือไวรัสนี้ไม่ได้วางอย่างเงียบ ๆ แต่รบกวนคุณซื้อ ฉันเชื่อว่ามันตรวจพบโดยโปรแกรมป้องกันไวรัสส่วนใหญ่ ฉันชอบคำแนะนำของ Wil เกี่ยวกับการค้นหาฮาร์ดไดรฟ์ของคุณสำหรับไฟล์ที่เพิ่งแก้ไข แต่ฉันมีข้อสงสัยเกี่ยวกับความช่วยเหลือที่จะเป็นจริง

ฉันขอแนะนำไม่ให้พึ่งพาเครื่องที่ติดเชื้อเพื่อสแกน; มีสองตัวเลือกที่ฉันได้เลือกไว้

[1. ] เชื่อมต่อ HDD นี้กับระบบอื่น ... และสแกนเป็นการบูทจากเครื่องที่ไม่ติดไวรัส

ถ้าไม่มีสิทธิ์เข้าถึงเครื่องอื่น

[2. ] สร้าง USB Drive ที่สามารถบู๊ตได้โดยใช้ Unetbootin และ Linux Distro ใด ๆ เช่นติดตั้ง A / V ล่าสุดฟรีที่ดีเหนือมันและสแกน HDD บูตจาก USB นั้น

สถานการณ์กรณีที่เลวร้ายที่สุดที่นี่คือรหัสผ่านที่บันทึก / แคชใด ๆ ที่เก็บไว้ในเครื่องถูกบุกรุกและหมายเลขประกันสังคมของคุณถูกขโมย มันไม่น่าเป็นไปได้ที่จะมีสิ่งอื่นเข้ามา นอกเหนือจากการขโมยข้อมูลที่เฉพาะเจาะจงแล้วแรงจูงใจมัลแวร์อื่น ๆ ยังรวมถึงการแสดงโฆษณาของคุณและการใช้หน่วยประมวลผลและเครือข่ายคอมพิวเตอร์ของคุณเพื่อยืดอายุการโจมตีของ ddos ​​และกิจกรรมซอมบี้อื่น ๆ ทุกวันนี้ทุกอย่างได้รับเงินและมันยากเกินไปที่จะรวบรวมการชำระเงินจากบุคคลที่จะทำให้การลบไฟล์ข้อมูลออกจากระบบของคุณมีค่า

เพื่อปกป้องตัวเองฉันจะไปที่เครื่องจักรที่สะอาดและเปลี่ยนรหัสผ่านที่คำนึงถึง: อีเมลธนาคารออนไลน์เฟซบุ๊ก / โซเชียลเน็ตเวิร์ก World of Warcraft / Steam / Gaming / vpn เป็นต้นคุณอาจต้องการใส่ การแจ้งเตือนการฉ้อโกงในรายงานเครดิตของคุณ

จากนั้นใช้แฟลชไดรฟ์ usb หรือดีวีดีที่เขียนได้เพื่อสำรองข้อมูลทั้งหมดของคุณ - ไฟล์และการตั้งค่าใด ๆ ในคอมพิวเตอร์หรือโปรแกรมใด ๆ ที่คุณไม่สามารถติดตั้งบนระบบใหม่ได้อย่างง่ายดาย เมื่อเสร็จแล้วให้ฟอร์แมตฮาร์ดไดรฟ์ติดตั้งระบบปฏิบัติการและแอพพลิเคชั่นของคุณอีกครั้ง (และคราวนี้อย่าลืมเปิดการอัปเดต windows) และในที่สุดก็กู้คืนข้อมูลของคุณ

จุดสำคัญที่นี่คือเมื่อระบบของคุณติดเชื้อคุณจะไม่สามารถมั่นใจได้ว่าคุณได้ทำความสะอาดอีกครั้ง มันเคยดีพอที่จะแน่ใจว่ามัลแวร์ใด ๆ จะไม่รบกวนคุณอีกต่อไป แต่ทุกวันนี้มัลแวร์ที่ดีที่สุด (อ่าน: แย่ที่สุด) ต้องการซ่อนตัวอยู่และข้อมูลประเภทที่คุณมีในระบบของคุณทำให้ไม่คุ้มกับความเสี่ยงอีกต่อไป เพื่อพยายามทำความสะอาดคอมพิวเตอร์ คุณต้องล้างมันและเริ่มต้นใหม่