Detectando danos causados por vírus

A menos que você tenha o log ativado (o que não é por padrão), é muito improvável que você saiba o que foi feito.

No entanto, me deparei com esse malware (e semelhante) e eles geralmente são usados apenas para fazer com que as pessoas comprem software falso / falso, eles não são trojans no sentido típico de enviar seus arquivos e informações para terceiros.

Não estou dizendo que não seja possível, mas é improvável.

Se, no entanto, você quiser detectar os danos causados ao seu sistema real, tente fazer o download da boa ferramenta de pesquisa tudo (disponível em Ninite ) e ordenar por ordem de data - isso mostrará tudo copiado e modificado na data (existem muitas ferramentas semelhantes (incorporadas), mas acho que é o mais rápido.

Além disso, no prompt de comando, você pode digitar SFC /SCANNOW para verificar a integridade e o status dos arquivos de sistema do Windows.

    

O link que você incluiu na sua pergunta descreve especificamente o que o vírus faz.

Trojan:Win32/FakeSpypro may be installed from the program's web site or by social engineering from third party web sites. When executed, Win32/FakeSpypro copies itself to "%windir%\sysguard.exe" and sets a registry entry to run itself at each system start:

Adds value: "system tool"
With data: "%windir%\sysguard.exe"
To subkey: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

It drops a DLL component to "\iehelper.dll" and sets the following registry values to load the dropped DLL at Windows start and to register the DLL component as a BHO:

Adds value: "(default)"
With data: “bho”
To subkey: HKLM\SOFTWARE\Classes\CLSID\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}

Adds value: "(default)"
With data: “\iehelper.dll”
To subkey: HKLM\SOFTWARE\Classes\CLSID\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}\InProcServer32

Adds value: "(default)"
With data: "0”
To subkey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}

It also creates the following registry subkey:

HKCU\Software\AvScan
HKCU\Software\AVSuite 

The DLL, "\iehelper.dll", installed by Win32/FakeSpypro is used to moderate the affected user's Internet use. For example, it may modify search results for the following search engines, by appearing to direct users to browser-security.microsoft.com:

    * yahoo.com
    * google
    * msn.com
    * live.com

Win32/FakeSpypro may modify the Hosts file under \drivers\etc\hosts, to ensure that users visiting 'browser-security.microsoft.com' are directed to the listed IP address as in the following example:

195.245.119.131 browser-security.microsoft.com 

Não há menção de abrir portas traseiras e isso não é algo que eu já tenha ouvido antes, então eu duvido que um hacker estivesse em seu computador. Sugiro que você examine as contas de usuário para verificar se alguém não criou uma conta que possa usar quando quiser. Esse trojan em particular é mais frequentemente captado como um download drive-by , o que significa que você imediatamente não percebe que o conseguiu . Isso pode acontecer mesmo quando você visita um site de boa reputação se o site tiver sido invadido. A parte assustadora é que, se você não sabe exatamente quando foi infectado, qualquer informação inserida no seu navegador pode ter sido interceptada. A boa notícia é que esse vírus não fica em silêncio, mas incomoda você a comprá-lo. Eu acredito que também detectado pela maioria dos programas anti-vírus. Eu gosto da sugestão de Wil sobre procurar em seu disco rígido arquivos recentemente modificados, mas tenho minhas dúvidas sobre o quanto de ajuda isso realmente será.

    

eu sugiro não depender da máquina infectada para varredura; existem duas opções que eu teria optado por

[1.] attached this HDD to another system... and scanned it booting from an un-infected machine

se não tiver acesso a outra máquina

[2.] make a USB Drive bootable by using Unetbootin and any Linux Distro u like, install a good free latest A/V over it and scan the HDD booting from that USB

    

O pior cenário possível aqui é que qualquer senha salva / armazenada em cache armazenada na máquina foi comprometida e seu número de CPF foi roubado. É improvável que mais alguma coisa tenha sido tomada. Além de roubar essa informação específica, outra motivação para malware inclui mostrar anúncios e usar o tempo do processador e da rede do seu computador para perpetuar os ataques de dods e outras atividades zumbis. Hoje em dia tudo se resume a dinheiro, e é muito difícil coletar pagamento de indivíduos para fazer com que a remoção de arquivos de dados do sistema valha a pena.

Para se proteger, eu iria a uma máquina limpa e mudaria todas as senhas que vierem à mente: e-mail, serviços bancários on-line, facebook / redes sociais, World of Warcraft / Steam / Gaming, vpn, etc. quer colocar um alerta de fraude em seu relatório de crédito.

Em seguida, use uma unidade flash USB ou DVDs graváveis para fazer backup de todos os seus dados - quaisquer arquivos e configurações no computador ou qualquer programa que você não possa instalar facilmente em um novo sistema. Quando isso for feito, formate o disco rígido, reinstale o sistema operacional e os aplicativos (e desta vez lembre-se de ativar as atualizações do Windows) e, finalmente, restaure os dados.

O ponto chave aqui é que, uma vez que seu sistema esteja infectado, você nunca poderá ter certeza de que está totalmente limpo novamente. Costumava ser bom o suficiente para ter certeza de que qualquer malware não estava mais incomodando, mas hoje em dia o melhor (leia-se: pior) malware quer ficar escondido, e o tipo de dados que você tem no seu sistema não vale mais o risco para tentar limpar o computador. Você precisa limpá-lo e começar de novo.