Detectando danos causados ​​por vírus

Hoje de manhã, depois que fui para a faculdade, um vírus infectou meu PC sem nenhuma interação do usuário no meu final. Quando cheguei em casa, meu computador estava completamente congelado e infectado com muitos cavalos de Troia. Não digitei nada importante desde o retorno, para que as chaves não possam ser registradas. No entanto, quero saber exatamente quando meu computador travou desde o momento da infecção para ver o que poderia ser feito remotamente por um hacker.

O vírus em que meu PC foi diagnosticado foi "fakespypro" em uma instalação totalmente atualizada do Windows 7 com o firewall ativado. Meu computador estava conectado a uma rede interna do dormitório, então provavelmente isso teve que fazer algo com ele.

Seria muito apreciada qualquer informação adicional sobre como eu poderia rastrear essa infecção por vírus ou maneiras de descobrir quais dados podem ser roubados.

A menos que você tenha ativado o log (o que não é por padrão), é muito improvável que você saiba o que foi tirado.

No entanto, deparei-me com esse malware (e semelhante) e eles geralmente são usados ​​apenas para fazer as pessoas comprarem software falso / lixo, não são trojens no sentido típico que enviam seus arquivos e informações a terceiros.

Não estou dizendo que não é possível, mas é improvável.

Se, no entanto você deseja detectar os danos causados ao seu sistema real, você pode tentar baixar a boa ferramenta de busca tudo (disponível no Ninite ) e classificar por ordem de data - o que irá mostrar-lhe tudo copiado e modificado na data (há muitos semelhantes ferramentas (integradas), mas acho que é a mais rápida.

Além disso, no prompt de comando, você pode digitar SFC /SCANNOWpara verificar a integridade e o status dos Arquivos de Sistema do Windows.

O link que você incluiu na sua pergunta descreve especificamente o que o vírus faz.

O Trojan: Win32 / FakeSpypro pode ser instalado no site do programa ou por engenharia social em sites de terceiros. Quando executado, o Win32 / FakeSpypro se copia para "% windir% \ sysguard.exe" e define uma entrada do Registro para ser executada a cada inicialização do sistema:

Agrega valor: "ferramenta de sistema"
Com dados: "% windir% \ sysguard.exe"
Para subchave: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Ele solta um componente DLL em "\ iehelper.dll" e define os seguintes valores do Registro para carregar a DLL descartada no início do Windows e registrar o componente DLL como um BHO:

Adiciona valor: "(padrão)"
Com dados: "bho"
Para subchave: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Adiciona valor: "(padrão)"
Com dados: "\ iehelper.dll"
Para subchave: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

Adiciona valor: "(padrão)"
Com dados: "0"
Para subchave: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Navegador Helper Objects \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Ele também cria a seguinte subchave do Registro:

HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite 

A DLL "\ iehelper.dll", instalada pelo Win32 / FakeSpypro, é usada para moderar o uso da Internet do usuário afetado. Por exemplo, ele pode modificar os resultados da pesquisa para os seguintes mecanismos de pesquisa, parecendo direcionar os usuários ao browser-security.microsoft.com:

    * yahoo.com
    * Google
    * msn.com
    * live.com

O Win32 / FakeSpypro pode modificar o arquivo Hosts em \ drivers \ etc \ hosts, para garantir que os usuários que visitam 'browser-security.microsoft.com' sejam direcionados para o endereço IP listado, como no exemplo a seguir:

195.245.119.131 browser-security.microsoft.com 

Não há menção de abrir portas dos fundos e isso não é algo que eu já tenha ouvido antes, então duvido que um hacker estivesse 'dentro' do seu computador. Sugiro que você verifique as contas de usuário para verificar se alguém não criou uma conta que possa usar quando quiser. Este cavalo de Troia em particular é mais frequentemente escolhido como um download drive-byo que significa que você imediatamente não percebe que conseguiu. Isso pode acontecer mesmo quando você visita um site respeitável, se o site foi invadido. A parte mais assustadora é que, se você não sabe exatamente quando foi infectado, qualquer informação inserida no navegador pode ter sido interceptada. A boa notícia é que esse vírus não está silencioso, mas incomoda você comprá-lo. Eu acredito que também foi detectado pela maioria dos programas antivírus. Eu gosto da sugestão de Wil sobre a busca de arquivos recentemente modificados no disco rígido, mas tenho minhas dúvidas sobre a quantidade de ajuda que realmente será.

eu sugeriria não depender da máquina infectada para verificação; existem duas opções pelas quais eu teria optado

[1.] anexou este disco rígido a outro sistema ... e o digitalizou durante a inicialização de uma máquina não infectada

se não tiver acesso a outra máquina

[2.] torne um drive USB inicializável usando o Unetbootin e qualquer distribuição Linux, instale um bom A / V mais recente gratuito e verifique o disco rígido inicializando a partir desse USB

O pior cenário aqui é que todas as senhas salvas / armazenadas em cache armazenadas na máquina foram comprometidas e seu número de segurança social foi roubado. É improvável que outra coisa tenha sido tomada. Além de roubar informações específicas, outra motivação para malware inclui a exibição de anúncios e o uso do tempo do processador e da rede do computador para perpetuar ataques de ddos ​​e outras atividades zumbis. Atualmente, tudo se resume a dinheiro, e é muito difícil coletar pagamento de indivíduos para fazer com que a remoção de arquivos de dados do seu sistema valha a pena.

Para se proteger, eu usaria uma máquina limpa e alteraria as senhas que vierem à mente: e-mail, banco on-line, redes sociais / facebook, World of Warcraft / Steam / Gaming, VPN, etc. Você também pode colocar um alerta de fraude no seu relatório de crédito.

Em seguida, use uma unidade flash USB ou DVD gravável para fazer backup de todos os seus dados - arquivos e configurações no computador ou qualquer programa que você não possa instalar facilmente em um novo sistema. Quando terminar, formate o disco rígido, reinstale o sistema operacional e os aplicativos (e desta vez lembre-se de ativar as atualizações do Windows) e, finalmente, restaure os dados.

O ponto principal aqui é que, uma vez que seu sistema está infectado, você nunca pode ter certeza de que o limpou totalmente novamente. Costumava ser bom o suficiente para garantir que qualquer malware não estivesse mais incomodando você, mas hoje em dia o melhor (leia-se: o pior) malware deseja permanecer oculto, e o tipo de dados que você possui no sistema faz com que não valha mais o risco para tentar limpar o computador. Você precisa limpá-lo e começar de novo.