Возможный дубликат:
Компьютер заражен вирусом или вредоносным ПО. Что мне теперь делать?
Я был заражен "Проверка системы" Scareware не один раз, а дважды -- после переформатирования. Теперь ясно, что мне непременно нужно выяснить, как я заразился.
Некоторая информация:
- Я пользуюсь Интернетом уже 12 лет, и это первый раз, когда я заражаюсь каким-либо вирусом.
- После переформатирования я не открывал никаких ненадежных исполняемых файлов. На самом деле, я сделал очень мало, например, установил Firefox, Visual Studio и несколько других программ.
- Я загрузил и установил все обновления Windows.
- Я контролирую, какие TCP-порты открыты для входящих подключений.
- После переформатирования я посетил много сайтов.
- Мой жесткий диск E:\, содержащий все мои данные и не отформатированный, не был смонтирован.
Короче говоря: заражение не могло произойти (по крайней мере, во второй раз) из-за ошибки пользователя или перекрестного заражения.
Это оставляет эксплойты в программном обеспечении, которое я использую. И это оставляет меня в полной растерянности, поскольку все, что я лично установил, я перезагружал и, таким образом, обновляю до последней версии.
3 антивируса из 4, которые я пробовал (включая AVG), не смогли обнаружить "System Check", хотя он еще не был удален и все еще работал. Четвертый наконец обнаружил его, а также обнаружил зараженный файл в: C:\Users\MyName\AppData\LocalLow\Sun\Java\Development\cache\6.0\56\6a3c9ff8-68fce308.
Java не обновлена до последней версии (версия 6, обновление 21; последнее — обновление 30). Я лично ее не устанавливал, она, должно быть, была с чем-то другим, что я установил (вероятно, NetBeans), и я обязательно установлю последнюю версию сам при следующем переформатировании.
Однако я все еще беспокоюсь. Этот файл мог быть ложным срабатыванием. Версия 30 все еще может быть уязвимой. Это может не иметь никакого отношения к Java, а просто быть каким-то местом, куда вредоносная программа решила установить себя, чтобы оставаться скрытой. Это может быть 1000 других вещей.
Что я могу сделать?
решение1
Два наиболее распространенных вектора заражения System Fix — это поддельные страницы онлайн-сканера и эксплуатация уязвимостей в плагинах браузера, таких как Java, или, возможно, в языке сценариев браузера, таком как Javascript или VBScript (только IE). Если задуматься, это имеет смысл, поскольку плагины/скрипты позволяют злоумышленнику запустить свой код на вашем компьютере, как только вы посещаете зараженный веб-сайт; все, что ему нужно, — это уязвимость, которая позволит ему выйти за рамки песочницы.
Учитывая, что вредоносное ПО было обнаружено в кэше Java, вполне вероятно, что устаревший плагин Java, который вы использовали в качестве средства заражения, послужил средством заражения. Вам достаточно было бы посетить вредоносный или скомпрометированный веб-сайт, чтобы заразиться. Если бы все было сделано правильно, вы бы, скорее всего, даже не заметили, что происходит что-то странное.
Лучшая защита от атак на основе плагинов и скриптов — это, конечно, не допускать их запуска. Это можно сделать выборочно с помощью браузерного дополнения вроде NoScript или глобально, отключив плагины и/или скрипты.