检测病毒造成的损害

我上大学后的今天早上，病毒感染了我的PC，而最终我没有任何用户交互。当我回家时，我的计算机被完全冻结，并感染了许多木马。自返回以来，我没有输入任何重要内容，因此无法记录密钥。但是，我想确切地知道从感染之时起我的计算机何时崩溃，以查看黑客可以远程进行哪些操作。

在启用了防火墙的完全更新的Windows 7安装上，我的电脑被诊断为“ fakespypro”的病毒。我的计算机已连接到内部宿舍室网络，因此可能必须对其进行处理。

非常感谢您提供有关如何追溯病毒感染或发现哪些数据可能被盗的任何进一步信息。

除非您已启用日志记录（默认情况下未启用），否则您不太可能知道所采取的措施。

但是，我遇到过这种（和类似的）恶意软件，它们通常仅用于使人们购买垃圾/伪造软件，从典型意义上讲，它们并不是将您的文件和信息发送给第三方的恶意软件。

我并不是说这是不可能的，但这是不可能的。

但是，如果您想检测对实际系统造成的损害，则可以尝试下载良好的搜索工具的所有内容（可在Ninite上找到）并按日期顺序进行排序-这将向您显示在该日期复制和修改的所有内容（有很多类似的内容（内置）工具，但是，我认为这是最快的。

此外，从命令提示符下，您可以键入SFC /SCANNOW以检查Windows系统文件的完整性和状态。

问题中包含的链接专门描述了病毒的作用。

Trojan：Win32 / FakeSpypro可以从程序的网站安装，也可以通过社会工程从第三方的网站安装。当执行时，Win32 / FakeSpypro将自身复制到“％windir％\ sysguard.exe”，并设置一个注册表项以在每次系统启动时自行运行：

增值：“系统工具”
带有数据：“％windir％\ sysguard.exe”
要子项：HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

它将DLL组件拖放到“ \ iehelper.dll”，并设置以下注册表值以在Windows启动时加载已删除的DLL并将DLL组件注册为BHO：

添加值：“（默认）”
带有数据：“ bho”
要子键：HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

添加值：“（默认）”
带有数据：“ \ iehelper.dll”
要子键：HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

添加值：“（默认）”
数据为“ 0”
要子键：HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

它还创建以下注册表子项：

HKCU \软件\ AvScan
HKCU \软件\ AVSuite 

Win32 / FakeSpypro安装的DLL“ \ iehelper.dll”用于缓解受影响用户的Internet使用。例如，它可能通过将用户定向到browser-security.microsoft.com来修改以下搜索引擎的搜索结果：

    * yahoo.com
    * 谷歌
    * msn.com
    * live.com

Win32 / FakeSpypro可能会修改\ drivers \ etc \ hosts下的Hosts文件，以确保将访问“ browser-security.microsoft.com”的用户定向到列出的IP地址，如以下示例所示：

195.245.119.131 browser-security.microsoft.com 

没有提及打开任何后门，这是我之前从未听说过的事情，因此我怀疑黑客正在“侵入”您的计算机中。我建议您尽管查看用户帐户，以确认某人尚未创建可供闲暇时使用的帐户。这种特定的特洛伊木马最常被偷偷下载下载。意味着您不会立即意识到自己已经掌握了它。即使您访问信誉良好的网站（如果该网站已被黑客入侵），也会发生这种情况。令人恐惧的部分是，如果您不确定确切的感染时间，则可能会拦截浏览器中输入的任何信息。好消息是该病毒不会悄悄传播，但会打扰您购买它。我相信大多数反病毒程序也会检测到它。我喜欢Wil关于在硬盘驱动器中搜索最近修改的文件的建议，但是我对这实际上有多少帮助感到怀疑。

我建议不要依赖受感染的计算机进行扫描；我有两个选择

[1.]将此硬盘连接到另一个系统...并扫描了它从未受感染的计算机启动的情况

如果无法访问其他机器

[2.]使用Unetbootin和任何类似的Linux Distro使USB驱动器可启动，在其上安装良好的免费最新A / V，然后从该USB扫描HDD启动

这里最坏的情况是，存储在计算机上的所有已保存/缓存的密码均被盗用，并且您的社会保险号被盗。采取其他措施的可能性很小。除了窃取这些特定信息外，恶意软件的其他动机还包括向您展示广告以及使用计算机的处理器和网络时间来使ddos攻击和其他僵尸活动永久存在。如今，这一切都归结为金钱，而且很难从个人那里收取款项，以致于不值得从系统中删除数据文件。

为了保护自己，我会去干净的机器上更改所有想到的密码：电子邮件，网上银行，facebook /社交网络，魔兽世界/蒸汽/游戏，vpn等。您可能还想输入您的信用报告中存在欺诈警报。

然后，使用USB闪存驱动器或可写DVD备份所有数据-计算机上的任何文件和设置，或无法轻松安装在新系统上的任何程序。完成后，格式化硬盘，重新安装操作系统和应用程序（这次记得打开Windows更新），最后还原数据。

这里的关键点是，一旦您的系统被感染，就无法确保再次完全干净。它曾经足够好，可以确保不再有任何恶意软件困扰您，但如今，最好的（已读：最糟糕的）恶意软件希望保持隐藏状态，并且系统上的数据种类使其不再值得承担风险尝试清洁计算机。您需要擦拭并重新开始。