Détecter les dommages causés par le virus

8

Ce matin, après être allé à l'université, un virus a infecté mon PC sans aucune intervention de l'utilisateur de ma part. Quand je suis rentré à la maison, mon ordinateur était complètement gelé et infecté par de nombreux chevaux de Troie. Je n'ai rien tapé d'important depuis le retour, donc les clés ne peuvent pas être enregistrées. Cependant, je veux savoir exactement quand mon ordinateur est tombé en panne à partir du moment de l'infection pour voir ce qui pourrait potentiellement être fait à distance par un pirate.

Le virus sur lequel mon PC a été diagnostiqué était "fakespypro" sur une installation de Windows 7 entièrement mise à jour avec le pare-feu activé. Mon ordinateur était connecté à un réseau interne de dortoir, donc cela a probablement dû faire quelque chose avec.

Toute information supplémentaire sur la façon dont je pourrais retracer cette infection virale ou sur les moyens de découvrir quelles données pourraient être volées serait grandement appréciée.

user38471
la source

Réponses:

4

Sauf si vous avez activé la connexion (ce qui n'est pas le cas par défaut), il est très peu probable que vous sachiez ce qui a été pris.

Cependant, je suis tombé sur ce logiciel malveillant (et similaire) et ils sont généralement utilisés uniquement pour inciter les gens à acheter des ordures / de faux logiciels, ce ne sont pas des trojens au sens typique qui envoient vos fichiers et informations à un tiers.

Je ne dis pas que ce n'est pas possible, mais c'est peu probable.

Si toutefois vous souhaitez détecter les dommages causés à votre système actuel, vous pouvez essayer de télécharger le bon outil de recherche tout (disponible sur Ninite ) et trier par ordre de date - cela vous montrera tout copié et modifié à la date (il existe de nombreux similaires (intégrés), mais je pense que c'est le plus rapide.

En outre, à partir de l'invite de commande, vous pouvez taper SFC /SCANNOWafin de vérifier l'intégrité et l'état des fichiers système Windows.

William Hilsum
la source
1

Le lien que vous avez inclus dans votre question décrit précisément ce que fait le virus.

Trojan: Win32 / FakeSpypro peut être installé à partir du site Web du programme ou par l'ingénierie sociale à partir de sites Web tiers. Une fois exécuté, Win32 / FakeSpypro se copie dans "% windir% \ sysguard.exe" et définit une entrée de registre pour s'exécuter à chaque démarrage du système:

Ajoute de la valeur: "outil système"
Avec les données: "% windir% \ sysguard.exe"
Pour sous-clé: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Il dépose un composant DLL dans "\ iehelper.dll" et définit les valeurs de registre suivantes pour charger la DLL supprimée au démarrage de Windows et pour enregistrer le composant DLL en tant que BHO:

Ajoute une valeur: "(par défaut)"
Avec des données: "bho"
Pour la sous-clé: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Ajoute une valeur: "(par défaut)"
Avec les données: "\ iehelper.dll"
Pour la sous-clé: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

Ajoute une valeur: "(par défaut)"
Avec les données: "0"
Pour la sous-clé: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Il crée également la sous-clé de registre suivante:

HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite 

La DLL, "\ iehelper.dll", installée par Win32 / FakeSpypro est utilisée pour modérer l'utilisation d'Internet de l'utilisateur concerné. Par exemple, il peut modifier les résultats de recherche pour les moteurs de recherche suivants, en semblant diriger les utilisateurs vers browser-security.microsoft.com:

    * yahoo.com
    * Google
    * msn.com
    * live.com

Win32 / FakeSpypro peut modifier le fichier Hosts sous \ drivers \ etc \ hosts, pour garantir que les utilisateurs visitant 'browser-security.microsoft.com' sont dirigés vers l'adresse IP répertoriée comme dans l'exemple suivant:

195.245.119.131 browser-security.microsoft.com 

Il n'y a aucune mention de l'ouverture de portes dérobées et ce n'est pas quelque chose dont j'ai entendu parler auparavant, donc je doute qu'un pirate informatique était «dans» votre ordinateur. Je vous suggère de regarder les comptes d'utilisateurs pour vérifier que quelqu'un n'a pas créé de compte qu'ils peuvent utiliser à leur guise. Ce cheval de Troie particulier est le plus souvent récupéré sous forme de téléchargement en voiturece qui signifie que vous ne réalisez pas immédiatement que vous l'avez compris. Cela peut arriver même lorsque vous visitez un site réputé si le site a été piraté. La partie effrayante est que si vous ne savez pas exactement quand vous avez été infecté, des informations entrées dans votre navigateur auraient pu être interceptées. La bonne nouvelle est que ce virus ne repose pas tranquillement, mais vous dérange pour l'acheter. Je crois qu'il a également été détecté par la plupart des programmes antivirus. J'aime la suggestion de Wil sur la recherche de fichiers récemment modifiés sur votre disque dur, mais j'ai des doutes quant à la quantité d'aide qui sera réellement.

Beaner
la source
J'ai déjà recherché sur mon disque dur des fichiers modifiés. Fondamentalement, ce virus faisait partie d'un certain nombre d'autres virus qui ont tous été téléchargés à la même minute "11:49". La plupart d'entre eux sont des chevaux de Troie ou des téléchargeurs de chevaux de Troie. Mais ce fakespypro a été très vocal sur son existence.
user38471
0

je suggérerais de ne pas dépendre de la machine infectée pour l'analyse; il y a deux options que j'aurais choisies

[1.] a connecté ce disque dur à un autre système ... et l'a analysé en démarrant à partir d'une machine non infectée

si vous n'avez pas accès à une autre machine

[2.] Rendez un lecteur USB amorçable en utilisant Unetbootin et tout Linux Distro u like, installez un bon dernier A / V gratuit dessus et scannez le démarrage du disque dur à partir de cet USB

AbhishekKr
la source
0

Le pire des cas ici est que tous les mots de passe enregistrés / mis en cache stockés sur la machine ont été compromis et que votre numéro de sécurité sociale a été volé. Il est peu probable que quelque chose d'autre ait été pris. Au-delà du vol de ces informations spécifiques, une autre motivation pour les logiciels malveillants consiste à vous montrer des publicités et à utiliser le temps de votre ordinateur et du processeur de votre ordinateur pour perpétuer les attaques ddos ​​et d'autres activités zombies. De nos jours, tout se résume à de l'argent, et il est trop difficile de collecter des paiements auprès des particuliers pour que la suppression des fichiers de données de votre système en vaille la peine.

Pour vous protéger, j'irais sur une machine propre et changerais tous les mots de passe qui me viennent à l'esprit: e-mail, banque en ligne, facebook / réseaux sociaux, World of Warcraft / Steam / Gaming, vpn, etc. Vous pouvez également vouloir mettre une alerte à la fraude sur votre dossier de crédit.

Ensuite, utilisez un lecteur flash USB ou des DVD inscriptibles pour faire une sauvegarde de toutes vos données - tous les fichiers et paramètres sur l'ordinateur, ou tous les programmes que vous ne pouvez pas facilement installer sur un nouveau système. Une fois cela fait, formatez votre disque dur, réinstallez votre système d'exploitation et vos applications (et cette fois n'oubliez pas d'activer les mises à jour Windows), et enfin restaurez vos données.

Le point clé ici est qu'une fois que votre système est infecté, vous ne pouvez plus jamais être sûr de l' avoir complètement nettoyé. Auparavant, il était assez bon pour être sûr qu'aucun logiciel malveillant ne vous dérangeait plus, mais de nos jours, le meilleur (lire: le pire) logiciel malveillant veut rester caché, et le type de données que vous avez sur votre système ne vaut plus le risque pour essayer de nettoyer l'ordinateur. Vous devez l'essuyer et recommencer.

Joel Coehoorn
la source