Является ли это признаком вирусной атаки на мой компьютер?

Question

У меня дома ПК работает под управлением Windows 7, 32-битный.

Недавно при очистке временной папки (доступ к которой можно получить, нажав% temp% в команде «Выполнить»), я обнаружил, что в папку загружено несколько грязных видеороликов из Интернета. По фолу, я имею в виду совершенно отвратительный, из очень, очень, очень низкого уровня (например, порнографические, ужасные сцены и т.д., которые я не могу назвать). Это происходило довольно часто. Они приходят через несколько дней, даже если я их удалю.

У меня есть лицензионная копия QuickHeal на моем компьютере, и полное сканирование системы на больших глубинах показывает, что нет вирусов, вредоносных программ или любых других системных изменений. Обнаружение поведения настроено на максимальную безопасность. Брандмауэр также включен.

Наш компьютер доступен только мне и моему отцу. Мы никогда не посещаем ни одного грязного сайта, даже Facebook, Twitter или Google Plus. Мой отец посещает туристический форум, а я в основном использую его для программирования на Java.

Более того, в последнее время компьютер начал часто выходить из строя. Мы вызвали механика, который не мог найти ошибку. Компьютер имеет 4 ГБ ОЗУ, но иногда все на экране зависает, а затем все падает, включая Windows. Панель задач и кнопка запуска недоступны, и в основном нам нужно выключить компьютер и перезагрузить его.

Файлы приходят только при подключении к Интернету. Мы тестировали и не подключали ПК к Интернету в течение месяца, и видео не пришло.

Мы работаем либо в браузере Opera, либо в Chrome. Оба этих браузера известны тем, что защищают пользователей от вредоносных сайтов. Мы установили анти-трекинговые расширения для браузеров, таких как Ghostery, чтобы предотвратить трекинг.

Итак, почему эти видео идут? Я чувствую, что кто-то обходит межсетевой экран безопасности QuickHeal и получает доступ к компьютеру. Я провожу полное сканирование системы и резервное копирование каждую неделю, поэтому я не очень беспокоюсь о файлах, но что это? Что я могу сделать, чтобы предотвратить это? Как я могу узнать, кто получает доступ к компьютеру, взломав брандмауэр?

NB: кто-то хотел отметить это как дубликат этого . Позвольте мне объяснить разницу. Я даже не знаю до сих пор, был ли компьютер взломан или это вирус. До тех пор, пока я не подтвердил, что это вирус, это не дубликат.

Answer 1

Во-первых, обзор QuickHeal показывает некоторые проблемы, хотя любой инструмент antt-malware (антивирус) может пропустить некоторые элементы. Попробуйте выполнить сканирование с использованием другого продукта, например, бесплатных версий Kaspersky Virus Scan или Avira Rescue System.

Лучший способ проверить и удалить вредоносное ПО - это загрузка с внешнего носителя или USB-накопителя, а не с внутреннего диска ПК. Существует ряд способных загрузочных инструментов, таких как Avira выше.

Удалите все сомнительные расширения браузера или просто удалите браузер и переустановите заново.

Другая вероятность, однако, заключается в том, что кто-то имеет доступ к вашему ПК, физически в вашем доме или через Wi-Fi. Отключите удаленный доступ, отключите общий доступ к жесткому диску, за исключением тех папок, к которым вы хотите, чтобы другие обращались. Максимизируйте безопасность маршрутизатора с WPA2 и скрытым SSID. Измените пароли на маршрутизаторе и на всех компьютерах и используйте прописные и строчные буквы, типографские символы и цифры.

Answer 2

Мой компьютер скомпрометирован?

Это может быть довольно широкий вопрос. Я думаю, что есть несколько вещей, которые вы должны изучить, прежде чем изолировать проблему. Во-первых, запустите shell:startup и посмотрите, существуют ли какие-либо нечетные ссылки, а затем проверьте вкладку startup в диспетчере задач (taskmgr.exe), чтобы увидеть, работает ли что-то.

Следующим шагом является просмотр запущенных процессов на вашем ПК. Те, которые должны выделиться:

• Странные имена, казалось бы, перемешанные буквы;
• Процессы без описания

Хороший способ узнать, какие сетевые соединения работают (если вирус загружает полезную нагрузку), - запустить netstat -ab и посмотреть соединения.

Если процесс начинается только при подключении к Интернету (как это звучит), то, возможно, вручную сравните файлы, выполнив это до и после выхода в сеть:

tasklist.exe | out-file C:\tmp\before.txt и назовите следующий как after.txt , посмотрите, что у вас работает, и любые отклонения, в которых вы не уверены, просто "Google" (мне нравится, как мы придумали что сервисы называют) это.

Теперь пришло время загрузиться в безопасном режиме с сетью и запустить в административных оболочках следующее:

sfc.exe /scannow , chkdsk /f и тест памяти; не совсем актуально, но тем не менее полезно.

В то время как здесь, если вы работаете в Windows 7 (которая была заявлена), я бы порекомендовал вам скачать две вещи для запуска:

• Combofix и;
• Авира CLI

Запустите сканирование с этими и посмотрите, если что-то идентифицировано. Перед перезагрузкой на свой ПК удалите административные функции из своей учетной записи (создавая другую учетную запись с правами администратора), чтобы увидеть, если вы получаете ошибки нарушения процесса, пытающегося выполнить задачи непреднамеренно.

Наконец, конвертировать в Linux;)