वायरस से हुए नुकसान का पता लगाना


8

आज सुबह जब मैं कॉलेज गया, तो एक वायरस ने मेरे पीसी को बिना किसी अंत: क्रिया के संक्रमित कर दिया। जब मैं घर आया तो मेरा कंप्यूटर पूरी तरह से जमे हुए था और बहुत सारे ट्रोजन से संक्रमित था। मैंने कुछ भी महत्वपूर्ण नहीं टाइप किया है क्योंकि वापसी की जा सकती है ताकि चाबियों को लॉग न किया जा सके। हालाँकि मैं यह जानना चाहता हूं कि जब मेरा कंप्यूटर संक्रमण के समय से दुर्घटनाग्रस्त हो गया था, तो यह देखने के लिए कि एक हैकर द्वारा दूरस्थ रूप से क्या किया जा सकता है।

मेरे पीसी को जिस वायरस का पता चला था, वह फ़ायरवॉल सक्षम के साथ पूरी तरह से अपडेट किए गए विंडोज 7 इंस्टॉलेशन पर "फेकस्पायरो" था । मेरा कंप्यूटर एक आंतरिक डॉर्म रूम नेटवर्क से जुड़ा था, इसलिए शायद इसके साथ कुछ करना पड़ा हो।

मैं इस वायरस के संक्रमण या कैसे डेटा चोरी हो सकता है की खोज करने के तरीकों की बहुत सराहना कर सकता हूं, इसके बारे में कोई और जानकारी।

जवाबों:


4

जब तक आप लॉगिंग चालू नहीं करते हैं (जो डिफ़ॉल्ट रूप से नहीं है) यह बहुत संभावना नहीं है कि आपको पता चल जाएगा कि क्या लिया गया था।

हालाँकि, मैं इस (और इसी तरह) मैलवेयर के कारण आया हूं और वे आम तौर पर सिर्फ लोगों को बकवास / नकली सॉफ़्टवेयर खरीदने के लिए उपयोग किया जाता है, वे विशिष्ट अर्थों में ट्रोजन नहीं हैं जो आपकी फ़ाइलों और सूचनाओं को तीसरे पक्ष को भेजते हैं।

मैं यह नहीं कह रहा हूं कि यह संभव नहीं है, लेकिन यह संभावना नहीं है।

यदि आप अपने वास्तविक सिस्टम को हुए नुकसान का पता लगाना चाहते हैं, तो आप अच्छे सर्च टूल को डाउनलोड करने की कोशिश कर सकते हैं ( निनटे पर उपलब्ध ) सब कुछ और तारीख के अनुसार क्रमबद्ध करें - यह आपको तारीख में कॉपी किए गए और संशोधित किए गए सब कुछ दिखाएगा (कई समान हैं) (में निर्मित) उपकरण, लेकिन, मुझे लगता है कि यह सबसे तेज है।

साथ ही, कमांड प्रॉम्प्ट से, आप SFC /SCANNOWविंडोज सिस्टम फाइलों की अखंडता और स्थिति की जांच करने के लिए टाइप कर सकते हैं ।


1

आपके प्रश्न में शामिल लिंक विशेष रूप से वर्णन करता है कि वायरस क्या करता है।

ट्रोजन: Win32 / FakeSpypro को प्रोग्राम की वेब साइट या सोशल इंजीनियरिंग द्वारा थर्ड पार्टी वेब साइट्स से इंस्टॉल किया जा सकता है। जब निष्पादित किया जाता है, तो Win32 / FakeSpypro खुद को "% windir% \ sysguard.exe" में कॉपी करता है और प्रत्येक सिस्टम शुरू में खुद को चलाने के लिए एक रजिस्ट्री प्रविष्टि सेट करता है:

मान जोड़ता है: "सिस्टम टूल"
डेटा के साथ: "% windir% \ sysguard.exe"
उपकुंजी के लिए: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

यह DLL घटक को "\ iehelper.dll" पर छोड़ देता है और Windows प्रारंभ में DLL घटक को लोड करने के लिए और BHO के रूप में DLL घटक को पंजीकृत करने के लिए निम्न रजिस्ट्री मान सेट करता है:

मान जोड़ता है: "(डिफ़ॉल्ट)"
डेटा के साथ: "भो"
उपकुंजी के लिए: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

मान जोड़ता है: "(डिफ़ॉल्ट)"
डेटा के साथ: "\ iehelper.dll"
उपकुंजी के लिए: HKLM \ SOFTWARE \ Classes \ CLSID \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61} \ InProcServer32

मान जोड़ता है: "(डिफ़ॉल्ट)"
डेटा के साथ: "0"
उपकुंजी के लिए: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser हेल्पर ऑब्जेक्ट्स \ {C9C42510-9B21-41c1-9DCD-8382A2D07C61}

यह निम्न रजिस्ट्री उपकुंजी भी बनाता है:

HKCU \ Software \ AvScan
HKCU \ Software \ AVSuite 

Win32 / FakeSpypro द्वारा स्थापित DLL, "\ iehelper.dll" का उपयोग प्रभावित उपयोगकर्ता के इंटरनेट उपयोग को मॉडरेट करने के लिए किया जाता है। उदाहरण के लिए, यह निम्न खोज इंजनों के लिए खोज परिणामों को संशोधित कर सकता है, जो उपयोगकर्ताओं को ब्राउज़र-security.microsoft.com पर प्रत्यक्ष प्रदर्शित करके:

    * याहू.कॉम
    * गूगल
    * एमएसएन डॉट कॉम
    * live.com

Win32 / FakeSpypro यह सुनिश्चित करने के लिए कि "ब्राउजर-security.microsoft.com 'पर जाने वाले उपयोगकर्ता निम्न उदाहरण के रूप में सूचीबद्ध किए गए IP पते पर निर्देशित हैं, यह सुनिश्चित करने के लिए होस्ट्स फ़ाइल को \ ड्राइवर \ etc \ मेजबान के तहत संशोधित कर सकते हैं:

195.245.119.131 ब्राउज़र-ececurity.microsoft.com 

किसी भी पीछे के दरवाजे को खोलने का कोई उल्लेख नहीं है और यह कुछ ऐसा नहीं है जो मैंने पहले सुना है इसलिए मुझे संदेह है कि एक हैकर 'आप' कंप्यूटर में था। मेरा सुझाव है कि आप उपयोगकर्ता खातों को देखें, हालांकि यह सत्यापित करने के लिए कि किसी ने एक खाता नहीं बनाया है जिसका वे अपने अवकाश पर उपयोग कर सकते हैं। इस विशेष ट्रोजन को अक्सर ड्राइव-बाय डाउनलोड के रूप में उठाया जाता हैइसका मतलब है कि आप तुरंत महसूस नहीं करते कि आपको यह मिल गया है। यह तब भी हो सकता है जब आप किसी प्रतिष्ठित साइट पर जाते हैं यदि साइट हैक हो गई हो। डरावना हिस्सा यह है कि क्या आप ठीक से नहीं जानते हैं कि जब आप संक्रमित थे तो आपके ब्राउज़र में दर्ज की गई कोई भी जानकारी इंटरसेप्ट हो सकती थी। अच्छी खबर यह है कि यह वायरस चुपचाप नहीं रहता है, लेकिन आपको इसे खरीदने के लिए परेशान करता है। मेरा मानना ​​है कि यह अधिकांश एंटी-वायरस कार्यक्रमों द्वारा भी पता लगाया गया है। मुझे हाल ही में संशोधित फ़ाइलों के लिए आपकी हार्ड ड्राइव की खोज के बारे में विल्स का सुझाव पसंद आया, लेकिन मुझे इस बात पर संदेह है कि वास्तव में कितनी मदद मिलेगी।


मैंने पहले से ही संशोधित फ़ाइलों के लिए अपनी हार्ड ड्राइव की खोज की। मूल रूप से यह वायरस कई अन्य वायरसों का हिस्सा था, जहां सभी एक ही मिनट "11:49" पर डाउनलोड होते थे। उनमें से ज्यादातर ट्रोजन या ट्रोजन डाउनलोडर हैं। लेकिन यह फेकस्पायर अपनी मौजूदगी को लेकर बहुत मुखर था।
user38471

0

मैं स्कैन के लिए संक्रमित मशीन पर निर्भर नहीं करने का सुझाव दूंगा; दो विकल्प हैं जिन्हें मैंने चुना है

[१.] इस एचडीडी को एक अन्य सिस्टम से जोड़ा ... और इसे एक अन-संक्रमित मशीन से बूट करने के लिए स्कैन किया

अगर अन्य मशीन तक पहुंच नहीं है

[२.] Unetbootin और किसी भी Linux Distro u जैसे का उपयोग करके USB ड्राइव को बूट करने योग्य बनाएं, इस पर एक अच्छा मुफ्त नवीनतम A / V स्थापित करें और उस USB से HDD बूटिंग स्कैन करें


0

यहां सबसे खराब स्थिति यह है कि मशीन पर संग्रहीत किसी भी सहेजे गए / कैश किए गए पासवर्ड से छेड़छाड़ की गई और आपका सामाजिक सुरक्षा नंबर चोरी हो गया। यह संभावना नहीं है कि कुछ और लिया गया था। उस विशिष्ट जानकारी को चोरी करने से परे, मैलवेयर के लिए अन्य प्रेरणा में आपको विज्ञापन दिखाना और अपने कंप्यूटर के प्रोसेसर और नेटवर्क समय का उपयोग करके ddos ​​के हमलों और अन्य ज़ोंबी गतिविधियों को समाप्त करना शामिल है। इन दिनों यह सब पैसे के लिए नीचे आता है, और आपके सिस्टम से डेटा फ़ाइलों को हटाने के लिए व्यक्तियों से भुगतान एकत्र करना बहुत कठिन है।

अपने आप को बचाने के लिए, मैं एक साफ मशीन में जाऊंगा और मन में आने वाले किसी भी पासवर्ड को बदल दूंगा: ई-मेल, ऑनलाइन बैंकिंग, फेसबुक / सोशल नेटवर्क, वर्ल्ड ऑफ Warcraft / स्टीम / गेमिंग, वीपीएन, इत्यादि। आपकी क्रेडिट रिपोर्ट पर एक धोखाधड़ी चेतावनी।

फिर, अपने सभी डेटा का बैकअप लेने के लिए एक USB फ्लैश ड्राइव या लेखन योग्य डीवीडी का उपयोग करें - कंप्यूटर पर कोई भी फाइल और सेटिंग्स, या कोई भी प्रोग्राम जिसे आप आसानी से एक नई प्रणाली पर स्थापित नहीं कर सकते। जब ऐसा हो जाए, तो अपनी हार्ड ड्राइव को प्रारूपित करें, अपने ऑपरेटिंग सिस्टम और एप्लिकेशन (और इस बार विंडोज़ अपडेट चालू करना याद रखें) को फिर से स्थापित करें, और अंत में अपना डेटा पुनर्स्थापित करें।

यहां मुख्य बात यह है कि एक बार जब आपका सिस्टम संक्रमित हो जाता है, तो आप कभी भी सुनिश्चित नहीं हो सकते कि आपने इसे फिर से पूरी तरह से साफ कर लिया है। यह काफी अच्छा हुआ करता था यह सुनिश्चित करने के लिए कि कोई मैलवेयर अब आपको परेशान नहीं कर रहा है, लेकिन इन दिनों सबसे अच्छा (पढ़ा: सबसे खराब) मैलवेयर छिपकर रहना चाहता है, और आपके सिस्टम पर जिस तरह का डेटा है वह इसे जोखिम के लायक नहीं बनाता है। कंप्यूटर को साफ करने का प्रयास करें। आपको इसे पोंछना और शुरू करना होगा।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.