检测病毒造成的损害

Question 1

除非您打开了日志记录（默认情况下不是），否则您不太可能知道发生了什么。

然而，我遇到过这种（和类似的）恶意软件，它们通常只是用来让人们购买垃圾/假软件，它们不是通常意义上的将您的文件和信息发送给第三方的木马。

我并不是说这不可能，但是可能性不大。

但是，如果你想检测对实际系统造成的损害，你可以尝试下载好的搜索工具一切（可在尼尼特）并按日期顺序排序 - 这将向您显示截至日期复制和修改的所有内容（有许多类似的（内置）工具，但我认为这是最快的。

另外，您可以从命令提示符中键入命令SFC /SCANNOW来检查 Windows 系统文件的完整性和状态。

Answer

除非您打开了日志记录（默认情况下不是），否则您不太可能知道发生了什么。

然而，我遇到过这种（和类似的）恶意软件，它们通常只是用来让人们购买垃圾/假软件，它们不是通常意义上的将您的文件和信息发送给第三方的木马。

我并不是说这不可能，但是可能性不大。

但是，如果你想检测对实际系统造成的损害，你可以尝试下载好的搜索工具一切（可在尼尼特）并按日期顺序排序 - 这将向您显示截至日期复制和修改的所有内容（有许多类似的（内置）工具，但我认为这是最快的。

另外，您可以从命令提示符中键入命令SFC /SCANNOW来检查 Windows 系统文件的完整性和状态。

Question 2

您在问题中包含的链接具体描述了该病毒的作用。

Trojan:Win32/FakeSpypro 可以从程序的网站安装，也可以通过第三方网站的社会工程安装。执行时，Win32/FakeSpypro 会将自身复制到“%windir%\sysguard.exe”，并设置注册表项以在每次系统启动时运行自身：

增加价值：“系统工具”
数据为：“%windir%\sysguard.exe”
到子项：HKCU\Software\Microsoft\Windows\CurrentVersion\Run

它将 DLL 组件释放到“\iehelper.dll”，并设置以下注册表值，以在 Windows 启动时加载释放的 DLL，并将 DLL 组件注册为 BHO：

添加值：“（默认）”
有数据：“bho”
到子项：HKLM\SOFTWARE\Classes\CLSID\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}

添加值：“（默认）”
数据为：“\iehelper.dll”
到子项：HKLM\SOFTWARE\Classes\CLSID\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}\InProcServer32

添加值：“（默认）”
数据为：“0”
到子项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}

它还创建以下注册表子项：

HKCU\Software\AvScan
HKCU\软件\AVSuite

Win32/FakeSpypro 安装的 DLL“\iehelper.dll”用于限制受影响用户的互联网使用。例如，它可能会修改以下搜索引擎的搜索结果，让用户直接访问 browser-security.microsoft.com：

    * 雅虎
    * 谷歌
    * msn.com
    * live.com

Win32/FakeSpypro 可能会修改 \drivers\etc\hosts 下的 Hosts 文件，以确保访问“browser-security.microsoft.com”的用户被定向到列出的 IP 地址，如下例所示：

195.245.119.131 browser-security.microsoft.com

没有提到打开任何后门，我以前也没有听说过，所以我怀疑黑客“进入”了你的计算机。不过我建议你查看用户帐户，以验证是否有人创建了他们可以随意使用的帐户。这种特定的木马最常被当作驱动下载这意味着你不会立即意识到自己感染了病毒。即使你访问一个信誉良好的网站，如果该网站被黑客入侵，这种情况也可能发生。可怕的是，如果你不知道自己何时被感染，你浏览器中输入的任何信息都可能被拦截。好消息是，这种病毒不会悄无声息地潜伏，而是会打扰你购买它。我相信大多数防病毒程序也能检测到它。我喜欢 Wil 关于搜索硬盘上最近修改的文件的建议，但我怀疑这实际上能有多大帮助。

Answer

您在问题中包含的链接具体描述了该病毒的作用。

Trojan:Win32/FakeSpypro 可以从程序的网站安装，也可以通过第三方网站的社会工程安装。执行时，Win32/FakeSpypro 会将自身复制到“%windir%\sysguard.exe”，并设置注册表项以在每次系统启动时运行自身：

增加价值：“系统工具”
数据为：“%windir%\sysguard.exe”
到子项：HKCU\Software\Microsoft\Windows\CurrentVersion\Run

它将 DLL 组件释放到“\iehelper.dll”，并设置以下注册表值，以在 Windows 启动时加载释放的 DLL，并将 DLL 组件注册为 BHO：

添加值：“（默认）”
有数据：“bho”
到子项：HKLM\SOFTWARE\Classes\CLSID\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}

添加值：“（默认）”
数据为：“\iehelper.dll”
到子项：HKLM\SOFTWARE\Classes\CLSID\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}\InProcServer32

添加值：“（默认）”
数据为：“0”
到子项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}

它还创建以下注册表子项：

HKCU\Software\AvScan
HKCU\软件\AVSuite

Win32/FakeSpypro 安装的 DLL“\iehelper.dll”用于限制受影响用户的互联网使用。例如，它可能会修改以下搜索引擎的搜索结果，让用户直接访问 browser-security.microsoft.com：

    * 雅虎
    * 谷歌
    * msn.com
    * live.com

Win32/FakeSpypro 可能会修改 \drivers\etc\hosts 下的 Hosts 文件，以确保访问“browser-security.microsoft.com”的用户被定向到列出的 IP 地址，如下例所示：

195.245.119.131 browser-security.microsoft.com

没有提到打开任何后门，我以前也没有听说过，所以我怀疑黑客“进入”了你的计算机。不过我建议你查看用户帐户，以验证是否有人创建了他们可以随意使用的帐户。这种特定的木马最常被当作驱动下载这意味着你不会立即意识到自己感染了病毒。即使你访问一个信誉良好的网站，如果该网站被黑客入侵，这种情况也可能发生。可怕的是，如果你不知道自己何时被感染，你浏览器中输入的任何信息都可能被拦截。好消息是，这种病毒不会悄无声息地潜伏，而是会打扰你购买它。我相信大多数防病毒程序也能检测到它。我喜欢 Wil 关于搜索硬盘上最近修改的文件的建议，但我怀疑这实际上能有多大帮助。

Question 3

我建议不要依赖受感染的机器进行扫描；我有两个选择

[1.] 将此硬盘连接到另一个系统...并从未感染的机器启动时对其进行扫描

如果无法访问其他机器

[2.] 使用 Unetbootin 和任何你喜欢的 Linux 发行版制作一个可启动的 USB 驱动器，在其上安装一个好的免费最新 A/V，然后从该 USB 启动扫描硬盘

Answer

我建议不要依赖受感染的机器进行扫描；我有两个选择

[1.] 将此硬盘连接到另一个系统...并从未感染的机器启动时对其进行扫描

如果无法访问其他机器

[2.] 使用 Unetbootin 和任何你喜欢的 Linux 发行版制作一个可启动的 USB 驱动器，在其上安装一个好的免费最新 A/V，然后从该 USB 启动扫描硬盘

Question 4

最糟糕的情况是，机器上存储的所有已保存/缓存的密码都被泄露，您的社会安全号码被盗。其他任何东西都不太可能被盗。除了窃取特定信息外，恶意软件的其他动机还包括向您展示广告，以及利用您计算机的处理器和网络时间来进行 DDoS 攻击和其他僵尸活动。如今，一切都归结为金钱，很难从个人那里收取费用，因此从系统中删除数据文件是不值得的。

为了保护自己，我会去一台干净的机器上更改所有能想到的密码：电子邮件、网上银行、Facebook/社交网络、魔兽世界/Steam/游戏、vpn 等。您可能还想在您的信用报告中添加欺诈警报。

然后，使用 USB 闪存驱动器或可写入 DVD 备份所有数据 - 计算机上的任何文件和设置，或任何无法轻松安装在新系统上的程序。完成后，格式化硬盘驱动器，重新安装操作系统和应用程序（这次记得打开 Windows 更新），最后恢复数据。

这里的关键点是，一旦你的系统被感染，你就再也无法当然您又完全清理了电脑。以前，确保任何恶意软件不再困扰您就足够了，但现在最好的（也就是最坏的）恶意软件都想保持隐藏，而您系统上的数据类型使得清理电脑不再值得冒险。您需要将其清除并重新开始。

Answer

最糟糕的情况是，机器上存储的所有已保存/缓存的密码都被泄露，您的社会安全号码被盗。其他任何东西都不太可能被盗。除了窃取特定信息外，恶意软件的其他动机还包括向您展示广告，以及利用您计算机的处理器和网络时间来进行 DDoS 攻击和其他僵尸活动。如今，一切都归结为金钱，很难从个人那里收取费用，因此从系统中删除数据文件是不值得的。

为了保护自己，我会去一台干净的机器上更改所有能想到的密码：电子邮件、网上银行、Facebook/社交网络、魔兽世界/Steam/游戏、vpn 等。您可能还想在您的信用报告中添加欺诈警报。

然后，使用 USB 闪存驱动器或可写入 DVD 备份所有数据 - 计算机上的任何文件和设置，或任何无法轻松安装在新系统上的程序。完成后，格式化硬盘驱动器，重新安装操作系统和应用程序（这次记得打开 Windows 更新），最后恢复数据。

这里的关键点是，一旦你的系统被感染，你就再也无法当然您又完全清理了电脑。以前，确保任何恶意软件不再困扰您就足够了，但现在最好的（也就是最坏的）恶意软件都想保持隐藏，而您系统上的数据类型使得清理电脑不再值得冒险。您需要将其清除并重新开始。

检测病毒造成的损害

答案1

答案2

答案3

答案4

相关内容