Как узнать, удалось ли мне полностью удалить незамеченный троян?

670
Arjan

Я поймал трояна, который использует explorer.exe для воспроизведения себя в случае удаления его записи автозапуска или основного файла EXE в Programs/x.

Он уже пытался связаться с подозрительным сервером через explorer.exe, заблокировал это через мой брандмауэр.

Я:

  • Удалены записи автозапуска из реестра
  • Просмотрел мои сервисы, если было что-то подозрительное
  • Удалил троян из Programs/
  • Прошел информацию о томе системы, чтобы найти 2-месячный файл explorer.exe и заменил его, возможно, зараженным.

Больше нет подозрительных процессов, запущенных (нет дубликата explorer.exe), и ничто не хочет подключать этот сервер.

Я также проверил свою систему с помощью нескольких антивирусных программ.

Что сделал троян:

  • Запустил второй explorer.exe
  • Всегда, когда я удалял основной троянский exe-файл, он воспроизводился (вторым explorer.exe)
  • Всегда, когда я удалял запись автозапуска, она тоже воспроизводилась с explorer.exe.

Когда я остановил подозрительный файл explorer.exe, который использовал вдвое меньше памяти, чем менее подозрительный из Windows, произошла странная вещь, которую я знаю по компьютерам в моем классе информатики:

В левом верхнем углу моего рабочего стола без проводника появилось окно под названием «Персональные настройки для ... являются ...», которое явно копировало некоторые файлы. Затем оба файла explorer.exes снова запустились, и троян снова оказался повсюду.

  • Что на самом деле сделал троян, чтобы заставить исследователя спасти его?
  • Мой компьютер чист от этого нового трояна сейчас?
  • Какие еще места я должен проверить на наличие трояна?
  • Trjoan не кажется очень высокоуровневым, он мог изменить другие системные файлы или запись автозапуска жизненно важна для него?
3

4 ответа на вопрос

2
S.Hoekstra

Вы никогда не можете быть на 100% полностью уверены, что полностью удалили троянского коня. Когда ваша безопасность нарушена, вы не знаете, что именно произошло.

Вы, кажется, довольно хорошо поняли, что это сделало с вашей системой. Но что, если он установит руткит, который вы не нашли, и невидим для вашего антивирусного программного обеспечения?

Есть множество вещей для размышлений, как в примере выше. Единственный способ быть полностью уверенным - это переустановить всю систему .

Если вы не знаете, запустите несколько пакетов антивирусного программного обеспечения и т. Д., Проверьте все параметры запуска (реестр, msconfig и т. Д.), Найдите «странные» запущенные процессы и уничтожьте их, чтобы увидеть, что произойдет.

1
fluxtendu

Как уже было сказано, без полной переустановки вы не можете быть полностью уверены ... Однако, если вы потратите время на тщательный осмотр вашей системы (часто больше времени, чем применение хорошей стратегии резервного копирования / переустановки ...), вы можете получить вне шансов, что что-то остается. Вот несколько бесплатных инструментов для этого. (по заказу личных предпочтений)

Начните и завершите с sfc /scannowпомощью командной строки администратора, чтобы проверить все системные файлы

Сканеры для защиты от вредоносных программ

Для большей безопасности используйте несколько механизмов и используйте их с загрузочного носителя (например, ubcd4win ) или другого (хорошо защищенного) компьютера.

Руткит детектор

Инструменты глубокой проверки системы

Бонус: интересное видео с Марком Руссиновичем (создателем ProcessExplorer & Autoruns) об очистке от вредоносных программ

Потрясающий ответ. Если бы у меня остались голоса, я бы проголосовал за это. Хороший гугл сова кстати :) Alex 14 лет назад 0
0
Armen Mkrtchyan

Используйте Lavasoft_Ad_Aware_Anniversary_2009_Professional_8.0.7, ищите и уничтожайте spybot или SUPERAntiSpyware

Хотите объяснить немного больше? Как: почему * эти * инструменты, и почему этот точный номер версии 8.0.7? Arjan 14 лет назад 0
-1
Alex

(1) Если это было полностью необнаружено, вы никогда не можете быть полностью уверены, что получили все это.

(2) Я бы порекомендовал Mac вместо этого.

+1 за первый пункт, -1 за комментарий фаната Mac. Он даже сказал, что он получит Linux через неделю. Sasha Chedygov 14 лет назад 0
Это не фанатская вещь; Я был экспертом по Windows в течение 15 лет, прежде чем наконец попробовал Mac. Мне потребовалось несколько месяцев, чтобы отучиться от своих привычек, но потом меня полностью продали концепция * и * исполнение. Linux на рабочем столе просто еще нет. Я использую его в настоящее время в серверной комнате, которая, к сожалению, действительно является его местом в жизни на данный момент. Mac OS имеет те же основы UNIX, но с гораздо более последовательным, хорошо продуманным пользовательским интерфейсом. Alex 14 лет назад 0
Я предпочитаю Linux Linux, потому что функциональность для меня важнее красивых интерфейсов. Я также предпочитаю открытый исходный код для Apple DRM ад. Это было совершенно не обнаружено антивирусными программами, это не значит, что я его не обнаружил. Извините, но этот ответ мне не очень помог, особенно для Mac. 14 лет назад 2
@ubuntuisbetter, что вы ожидаете, если используете имя «ubuntuisbetter» и сами подписываете свой вопрос «Получение linux за неделю» ...? Arjan 14 лет назад 0
Ответ, содержащий что-то полезное, я бы не заботился о рекомендациях фанатов. 14 лет назад 0
@ubuntuisbetter: Функциональные возможности Mac и Ubuntu очень похожи, поскольку они обе основаны на Unix-системах, и для Mac доступно больше стороннего проприетарного программного обеспечения. Более того, я не сталкивался ни с каким Apple DRM на своем рабочем столе, хотя я согласен, что некоторым людям не нравится контроль Apple над iPhone. Есть причины предпочесть Mac или Ubuntu, но функциональность и DRM на самом деле не являются вескими причинами для предпочтения Ubuntu. David Thornley 14 лет назад 0
Извините, я здесь не для того, чтобы обсуждать Mac с фанатами Apple. 14 лет назад 0
@ Дэвид: Согласен. @Ubu: Мы не фанаты, мы профессионалы в области ИТ. Возможно, вы захотите взглянуть на этот вопрос и принятый ответ (и кто его написал, и комментарии к нему). http://superuser.com/questions/119001/ Alex 14 лет назад 0
@Ubuntu лучше: вам будет легче узнать, что я публикую этот комментарий с моего ноутбука Ubuntu, а мой предыдущий комментарий был с моего рабочего стола Ubuntu? Я не думаю, что я достаточно квалифицирован как фанат Mac. При этом я, конечно, согласен с тем, что у Ubuntu есть свои преимущества, но это не функциональность и не DRM. David Thornley 14 лет назад 0
Я думаю, что Ubuntuisbetter прямо здесь. Этот ответ не добавляет ничего, чтобы помочь. Комментарии немного помогают понять, но, опять же, не по вопросу. Я отредактировал бы это и попытался бы быть немного более полезным, если бы я был Берк. Но в любом случае это юмористический ответ, его не следует воспринимать всерьез только потому, что он выглядит как фанат. cregox 14 лет назад 0

Похожие вопросы