Detectar daños causados ​​por virus

Esta mañana, después de ir a la universidad, un virus infectó mi PC sin ninguna interacción del usuario. Cuando llegué a casa, mi computadora estaba completamente congelada e infectada con muchos troyanos. No he escrito nada importante desde que regresé, por lo que las claves no se pueden registrar. Sin embargo, quiero saber exactamente cuándo se bloqueó mi computadora desde el momento de la infección para ver qué podría hacer un hacker de forma remota.

El virus con el que se diagnosticó mi PC era "fakespypro" en una instalación de Windows 7 completamente actualizada con firewall habilitado. Mi computadora estaba conectada a una red interna de dormitorios, por lo que probablemente haya tenido que ver con eso.

Cualquier información adicional sobre cómo podría rastrear esta infección de virus o formas de descubrir qué datos podrían ser robados sería muy apreciada.

A menos que tenga el registro activado (que no es el predeterminado), es muy poco probable que sepa lo que se tomó.

Sin embargo, me he encontrado con este malware (y similar) y generalmente se usan solo para hacer que las personas compren software basura / falso, no son trojens en el sentido típico que envían sus archivos e información a un tercero.

No digo que no sea posible, pero es poco probable.

Sin embargo, si desea detectar el daño causado a su sistema actual, puede intentar descargar la buena herramienta de búsqueda de todo (disponible en Ninite ) y ordenar por orden de fecha - esto le mostrará todo lo copiado y modificado a la fecha (hay muchos similares (incorporado) herramientas, pero creo que este es el más rápido.

Además, desde el símbolo del sistema, puede escribir SFC /SCANNOWpara verificar la integridad y el estado de los archivos de sistema de Windows.

El enlace que incluyó en su pregunta describe específicamente lo que hace el virus.

Trojan: Win32 / FakeSpypro puede instalarse desde el sitio web del programa o por ingeniería social desde sitios web de terceros. Cuando se ejecuta, Win32 / FakeSpypro se copia en "% windir% \ sysguard.exe" y establece una entrada de registro para ejecutarse en cada inicio del sistema:

Agrega valor: "herramienta del sistema"
Con datos: "% windir% \ sysguard.exe"
Subclave: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Coloca un componente DLL en "\ iehelper.dll" y establece los siguientes valores de registro para cargar la DLL caída al inicio de Windows y registrar el componente DLL como BHO:

Agrega valor: "(predeterminado)"
Con datos: "bho"
A la subclave: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Agrega valor: "(predeterminado)"
Con datos: "\ iehelper.dll"
A la subclave: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

Agrega valor: "(predeterminado)"
Con datos: "0"
Para subclave: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

También crea la siguiente subclave del registro:

HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite 

La DLL, "\ iehelper.dll", instalada por Win32 / FakeSpypro, se usa para moderar el uso de Internet del usuario afectado. Por ejemplo, puede modificar los resultados de búsqueda para los siguientes motores de búsqueda, al dirigir a los usuarios a browser-security.microsoft.com:

    * yahoo.com
    * google
    * msn.com
    * live.com

Win32 / FakeSpypro puede modificar el archivo Hosts en \ drivers \ etc \ hosts, para asegurarse de que los usuarios que visiten 'browser-security.microsoft.com' sean dirigidos a la dirección IP indicada como en el siguiente ejemplo:

195.245.119.131 browser-security.microsoft.com 

No se menciona la apertura de puertas traseras y eso no es algo de lo que haya escuchado antes, así que dudo que haya un hacker 'en' su computadora. Le sugiero que mire las cuentas de usuario para verificar que alguien no haya creado una cuenta que pueda usar cuando lo desee. Este troyano en particular se recoge con mayor frecuencia como una descarga automáticalo que significa que inmediatamente no te das cuenta de que lo tienes. Puede suceder incluso cuando visita un sitio de buena reputación si el sitio ha sido pirateado. La parte que da miedo es que si no sabe exactamente cuándo fue infectado, cualquier información ingresada en su navegador podría haber sido interceptada. La buena noticia es que este virus no permanece en silencio, pero le molesta comprarlo. Creo que también es detectado por la mayoría de los programas antivirus. Me gusta la sugerencia de Wil sobre buscar archivos recientemente modificados en su disco duro, pero tengo mis dudas sobre cuánta ayuda será realmente.

Sugeriría no depender de la máquina infectada para el escaneo; hay dos opciones por las que hubiera optado

[1.] conectó este HDD a otro sistema ... y lo escaneó arrancando desde una máquina no infectada

si no tiene acceso a otra máquina

[2.] haga que una unidad USB sea de arranque usando Unetbootin y cualquier distribución de Linux que desee, instale un buen A / V gratuito y escanee el arranque del HDD desde ese USB

El peor de los casos aquí es que las contraseñas guardadas / en caché almacenadas en la máquina se vieron comprometidas y su número de seguro social fue robado. Es poco probable que se haya tomado algo más. Más allá de robar esa información específica, otra motivación para el malware incluye mostrarle anuncios y usar el procesador de su computadora y el tiempo de red para perpetuar los ataques ddos ​​y otras actividades zombies. En la actualidad, todo se reduce al dinero, y es demasiado difícil cobrar a las personas para que valga la pena eliminar archivos de datos de su sistema.

Para protegerme, iría a una máquina limpia y cambiaría las contraseñas que se me ocurran: correo electrónico, banca en línea, facebook / redes sociales, World of Warcraft / Steam / Gaming, vpn, etc. También puede poner una alerta de fraude en su informe de crédito.

Luego, use una unidad flash USB o DVD grabables para hacer una copia de seguridad de todos sus datos: cualquier archivo y configuración en la computadora, o cualquier programa que no pueda instalar fácilmente en un nuevo sistema. Cuando termine, formatee su disco duro, vuelva a instalar su sistema operativo y sus aplicaciones (y esta vez recuerde activar las actualizaciones de Windows) y finalmente restaure sus datos.

El punto clave aquí es que una vez que su sistema está infectado, nunca puede estar seguro de que lo tendrá completamente limpio nuevamente. Solía ​​ser lo suficientemente bueno como para asegurarse de que cualquier malware ya no te molestaba, pero en estos días el mejor (leer: el peor) malware quiere permanecer oculto, y el tipo de datos que tienes en tu sistema hace que ya no valga la pena el riesgo para tratar de limpiar la computadora. Necesitas limpiarlo y comenzar de nuevo.