Erkennen von Virenschäden

An diesem Morgen, nachdem ich aufs College gegangen war, infizierte ein Virus meinen PC ohne Benutzereingriff. Als ich nach Hause kam, war mein Computer komplett eingefroren und mit vielen Trojanern infiziert. Ich habe seit der Rücksendung nichts Wichtiges mehr eingegeben, sodass die Schlüssel nicht mehr protokolliert werden können. Ich möchte jedoch genau wissen, wann mein Computer zum Zeitpunkt der Infektion abgestürzt ist, um zu sehen, was ein Hacker möglicherweise aus der Ferne tun könnte.

Der Virus, mit dem mein PC diagnostiziert wurde, war "fakespypro" in einer vollständig aktualisierten Windows 7-Installation mit aktivierter Firewall. Mein Computer war an ein internes Wohnheimnetzwerk angeschlossen, also hat das wahrscheinlich etwas damit zu tun.

Für weitere Informationen darüber, wie ich diese Virusinfektion zurückverfolgen oder herausfinden kann, welche Daten gestohlen werden könnten, wäre ich sehr dankbar.

Sofern Sie die Protokollierung nicht aktiviert haben (dies ist nicht die Standardeinstellung), ist es sehr unwahrscheinlich, dass Sie wissen, was genommen wurde.

Ich bin jedoch auf diese (und ähnliche) Malware gestoßen, und sie wird im Allgemeinen nur verwendet, um die Leute dazu zu bringen, Müll- / Fälschungssoftware zu kaufen. Es handelt sich nicht um Trojaner im typischen Sinne, die Ihre Dateien und Informationen an Dritte senden.

Ich sage nicht, dass es nicht möglich ist, aber es ist unwahrscheinlich.

Wenn Sie jedoch den Schaden an Ihrem tatsächlichen System feststellen möchten, können Sie versuchen, mit dem guten Suchwerkzeug alles (auf Ninite verfügbar) herunterzuladen und nach Datumsreihenfolge zu sortieren - dies zeigt Ihnen alles, was zum Zeitpunkt des Kopierens und Bearbeitens kopiert wurde (es gibt viele ähnliche) (eingebaute) Werkzeuge, aber ich denke, das ist das schnellste.

Außerdem können Sie an der Eingabeaufforderung Folgendes eingeben, SFC /SCANNOWum die Integrität und den Status der Windows-Systemdateien zu überprüfen.

Der Link, den Sie in Ihrer Frage angegeben haben, beschreibt speziell, was der Virus tut.

Trojaner: Win32 / FakeSpypro kann von der Website des Programms oder durch Social Engineering von Websites Dritter installiert werden. Bei der Ausführung kopiert sich Win32 / FakeSpypro nach "% windir% \ sysguard.exe" und legt einen Registrierungseintrag fest, der bei jedem Systemstart ausgeführt wird:

Wertzuwachs: "System-Tool"
Mit Daten: "% windir% \ sysguard.exe"
Zum Unterschlüssel: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Es legt eine DLL-Komponente auf "\ iehelper.dll" ab und legt die folgenden Registrierungswerte fest, um die abgelegte DLL beim Windows-Start zu laden und die DLL-Komponente als BHO zu registrieren:

Fügt Wert hinzu: "(Standard)"
Mit Daten: "bho"
Zum Unterschlüssel: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Fügt Wert hinzu: "(Standard)"
Mit Daten: "\ iehelper.dll"
Zum Unterschlüssel: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

Fügt Wert hinzu: "(Standard)"
Mit Daten: "0"
Zum Unterschlüssel: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser-Hilfsobjekte \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Außerdem wird der folgende Registrierungsunterschlüssel erstellt:

HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite 

Die von Win32 / FakeSpypro installierte DLL "\ iehelper.dll" wird verwendet, um die Internetnutzung des betroffenen Benutzers zu verringern. Beispielsweise können Suchergebnisse für die folgenden Suchmaschinen geändert werden, indem anscheinend Benutzer zu browser-security.microsoft.com weitergeleitet werden:

    * yahoo.com
    * Google
    * msn.com
    * live.com

Win32 / FakeSpypro kann die Hosts-Datei unter \ drivers \ etc \ hosts ändern, um sicherzustellen, dass Benutzer, die 'browser-security.microsoft.com' besuchen, wie im folgenden Beispiel an die angegebene IP-Adresse weitergeleitet werden:

195.245.119.131 browser-security.microsoft.com 

Es gibt keine Erwähnung, Hintertüren zu öffnen, und das ist etwas, von dem ich vorher noch nicht gehört habe, daher bezweifle ich, dass ein Hacker in Ihrem Computer war. Ich schlage vor, dass Sie sich die Benutzerkonten ansehen, um zu überprüfen, ob jemand ein Konto erstellt hat, das er in seiner Freizeit verwenden kann. Dieser spezielle Trojaner wird am häufigsten als Drive-by-Download abgerufenwas bedeutet, dass Sie sofort nicht merken, dass Sie es haben. Dies kann auch passieren, wenn Sie eine seriöse Site besuchen, die gehackt wurde. Der beängstigende Teil ist, wenn Sie nicht genau wissen, wann Sie infiziert wurden, dass Informationen, die in Ihren Browser eingegeben wurden, abgefangen werden könnten. Die gute Nachricht ist, dass dieser Virus nicht leise liegt, sondern Sie stört, ihn zu kaufen. Ich glaube, es wird auch von den meisten Antivirenprogrammen erkannt. Ich mag Wils Vorschlag, Ihre Festplatte nach kürzlich geänderten Dateien zu durchsuchen, aber ich habe meine Zweifel, wie viel Hilfe das tatsächlich sein wird.

Ich würde vorschlagen, sich beim Scannen nicht auf den infizierten Computer zu verlassen. Ich hätte zwei Optionen gewählt

[1.] hat diese Festplatte an ein anderes System angeschlossen ... und von einem nicht infizierten Computer aus gescannt

Wenn Sie keinen Zugriff auf eine andere Maschine haben

[2.] Machen Sie ein USB-Laufwerk mit Unetbootin und einer beliebigen Linux-Distribution bootfähig, installieren Sie eine gute kostenlose A / V-Version und scannen Sie die Festplatte, die von diesem USB-Gerät bootet

Im schlimmsten Fall wurden auf dem Computer gespeicherte / zwischengespeicherte Kennwörter kompromittiert und Ihre Sozialversicherungsnummer wurde gestohlen. Es ist unwahrscheinlich, dass etwas anderes genommen wurde. Neben dem Diebstahl dieser spezifischen Informationen können Sie auch Anzeigen schalten und die Prozessor- und Netzwerkzeit Ihres Computers verwenden, um DDoS-Angriffe und andere Zombie-Aktivitäten fortzusetzen. Heutzutage hängt alles vom Geld ab, und es ist zu schwierig, Zahlungen von Einzelpersonen zu erhalten, damit sich das Entfernen von Datendateien von Ihrem System lohnt.

Um sich zu schützen, gehe ich zu einem sauberen Computer und ändere alle Passwörter, die mir in den Sinn kommen: E-Mail, Online-Banking, Facebook / soziale Netzwerke, World of Warcraft / Steam / Gaming, VPN usw. eine Betrugswarnung in Ihrer Kreditauskunft.

Verwenden Sie dann ein USB-Flash-Laufwerk oder beschreibbare DVDs, um alle Ihre Daten zu sichern - alle Dateien und Einstellungen auf dem Computer oder alle Programme, die Sie nicht einfach auf einem neuen System installieren können. Wenn das erledigt ist, formatieren Sie Ihre Festplatte, installieren Sie Ihr Betriebssystem und Ihre Anwendungen neu (und denken Sie dieses Mal daran, Windows-Updates zu aktivieren) und stellen Sie schließlich Ihre Daten wieder her.

Der entscheidende Punkt hierbei ist, dass Sie nach der Infektion Ihres Systems nie mehr sicher sein können, dass es wieder vollständig sauber ist. Früher war es gut genug, um sicherzugehen, dass Sie keine Malware mehr störte, aber heutzutage möchte die beste (sprich: die schlimmste) Malware verborgen bleiben, und die Art der Daten, die Sie auf Ihrem System haben, ist das Risiko nicht mehr wert um zu versuchen, den Computer zu reinigen. Sie müssen es abwischen und neu beginnen.