3

Я поймал трояна, который использует explorer.exe для воспроизведения себя в случае удаления его записи автозапуска или основного исполняемого файла в Programs/x .

Он уже пытался связаться с подозрительным сервером через explorer.exe, заблокировал это через мой брандмауэр.

Я:

  • Удалены записи автозапуска из реестра
  • Просмотрел мои сервисы, если было что-то подозрительное
  • Удалил троян из Programs/
  • Прошел информацию о томе системы, чтобы найти 2-месячный файл explorer.exe и заменил его, возможно, зараженным.

Больше нет подозрительных процессов, запущенных (нет дубликата explorer.exe), и ничто не хочет подключать этот сервер.

Я также проверил свою систему с помощью нескольких антивирусных программ.

Что сделал троян:

  • Запустил второй explorer.exe
  • Всегда, когда я удалял основной троянский exe-файл, он воспроизводился (вторым explorer.exe)
  • Всегда, когда я удалял запись автозапуска, она тоже воспроизводилась с explorer.exe.

Когда я остановил подозрительный файл explorer.exe, который использовал вдвое меньше памяти, чем менее подозрительный из Windows, произошла странная вещь, которую я знаю по компьютерам в моем классе информатики:

В левом верхнем углу моего рабочего стола без проводника появилось окно под названием «Персональные настройки для ... являются ...», которое явно копировало некоторые файлы. Затем оба файла explorer.exes снова запустились, и троян снова оказался повсюду.

  • Что на самом деле сделал троян, чтобы заставить исследователя спасти его?
  • Мой компьютер чист от этого нового трояна сейчас?
  • Какие еще места я должен проверить на наличие трояна?
  • Trjoan не кажется очень высокоуровневым, он мог изменить другие системные файлы или запись автозапуска жизненно важна для него?

4 ответа4

2

Вы никогда не можете быть на 100% полностью уверены, что полностью удалили троянского коня. Когда ваша безопасность нарушена, вы не знаете, что именно произошло.

Вы, кажется, довольно хорошо поняли, что это сделало с вашей системой. Но что, если он установит руткит, который вы не нашли, и невидим для вашего антивирусного программного обеспечения?

Есть множество вещей для размышлений, как в примере выше. Единственный способ быть полностью уверенным - это переустановить всю систему.

Если вы не знаете, запустите несколько пакетов антивирусного программного обеспечения и т.д., Проверьте все параметры запуска (реестр, msconfig и т.д.), Найдите "странные" запущенные процессы и уничтожьте их, чтобы увидеть, что произойдет.

1

Как было сказано, без полной переустановки вы не можете быть полностью уверены ... Однако, если вы потратите время на тщательный осмотр вашей системы (часто больше времени, чем применение хорошей стратегии резервного копирования / переустановки ...), у вас может быть шанс, что что-то останется. Вот несколько бесплатных инструментов для этого. (по заказу личных предпочтений)

Запустите и завершите с помощью sfc /scannow в командной строке администратора, чтобы проверить все системные файлы

Сканеры для защиты от вредоносных программ

Для большей безопасности используйте несколько механизмов и используйте их с загрузочного носителя (например, ubcd4win) или другого (хорошо защищенного) компьютера.

Руткит детектор

Инструменты глубокой проверки системы

Бонус: интересное видео с Марком Руссиновичем (создателем ProcessExplorer & Autoruns) об очистке от вредоносных программ

0

Используйте Lavasoft_Ad_Aware_Anniversary_2009_Professional_8.0.7, ищите и уничтожайте spybot или SUPERAntiSpyware

-1

(1) Если это было полностью необнаружено, вы никогда не можете быть полностью уверены, что получили все это.

(2) Я бы порекомендовал Mac вместо этого.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .