Подозрительные EXE

Question

Возможный дубликат:
Компьютер заражен вирусом или вредоносным ПО, что мне теперь делать?

Вчера я заразился довольно неприятным вирусом и наконец смог сесть и начать с ним бороться. Когда я вошел в систему (Windows 7) в обычном режиме, я буквально не могу получить доступ / принудительно запустить любую из типичных мер безопасности:

• Диспетчер задач
• Командная строка
• Microsoft Forefront Endpoint (мой AV)

Я перезагрузился в безопасном режиме с сетевым подключением и запустил сканирование в моей системе для любых EXE или DLL, которые изменились со вчерашнего дня. Вот что он вернулся с:

Очевидно, я отключил свое имя пользователя (только из соображений безопасности). Выступают ли какие-либо из них на SU как очевидные вирусы? В любом случае для меня, чтобы выяснить, какие из них безопасно удалить? Что СУ будет делать с этим? Заранее спасибо.

Answer 1

Я бы не коснулся ни одного из них напрямую.

Используйте автозапуск, чтобы отключить их загрузку при запуске.

После этого у вас будет все время осматривать подозрительные элементы. Но самое главное, если вредоносное ПО никогда не загружается, вы сможете снова использовать Forefront, чтобы все очистить.

Answer 2

Возможно, вы захотите получить какой-нибудь инструмент хеширования в той или другой защищенной системе, в который вы сможете скопировать эти файлы. Если у вас есть хеш файла MD5/SHA1/SHA256, вы можете найти в VirusTotal этот хеш, и он сообщит вам, являются ли они зараженными файлами.

Answer 3

Скачайте и запустите MBAM, и он, вероятно, с этим справится.

Answer 4

Обычно я сначала смотрю на свойства файлов EXE и DLL, чтобы узнать, подписаны ли они кем-либо - или вообще содержат ли они какую-либо информацию о версии / компании.

Авторы вредоносных программ слишком легко называют свои исполняемые файлы svchost.exe, что позволяет (временно) избежать подозрений.

Щелкните правой кнопкой мыши файл, выберите свойства и посмотрите, есть ли вкладка «версия». Например, файл «calc.exe» на компьютере, который я сейчас просматриваю, содержит следующую информацию:

Версия файла: 5.2.3790.1830 Описание: файл приложения Windows Calculator Copyright (c) Microsoft Corporation. Все права защищены.

А затем под ним загружается другая информация о версии (например, язык, внутреннее имя).

Если я нахожу EXE-файл без этой информации, я отношусь к нему с подозрением, даже если он проверяется на наличие антивирусного сканера. Я еще не сталкивался с этим - но возможно, что файл с цифровой подписью может быть недействительным. На вкладке «Цифровые подписи» в свойствах файла (которая присутствует только в том случае, если подпись есть), нажмите кнопку «Подробности», чтобы проверить сертификат.

Моя сестра, похоже, обладает особым талантом подбирать вредоносные программы, которые пока неизвестны производителям аудио-видео оборудования, поэтому такой подход часто бывает полезен. Однажды я имел удовольствие представить три ранее необнаруженных образца в одном и том же месяце (оказалось, что все они были вариантами уже существующего вредоносного ПО - но были изменены достаточно, чтобы избежать их подбора).