Как обнаружить и удалить шпионскую программу PC Pandora

PC Pandora относится к классу шпионских программ, работающих через библиотеки DLL. Это достаточно редкий тип программ слежения за пользователем, и они хорошо скрывают свое присутствие на компьютере. У программы нет папки, в которой она хранит свои данные. Всё загружается в операционную систему, и каждая новая установка на один и тот же или другой компьютер производиться с новыми названиями файлов. По этой причине идентифицировать ее по обнаруженным файлам, как шпиона PC Pandora, не всегда представляется возможным. У этой программы нет рабочих процессов, служб, драйверов, ее нет в автозагрузке и стандартных местах запуска программного обеспечения. Она использует для слежения библиотеки DLL, одну из которых загружает вместе с операционной системой и через неё подключает другие. PC Pandora не влияет на работоспособность компьютера, по которой можно было бы что-то заподозрить.

Очевидно, что классическими методами защиты информации сложно найти эту программу на компьютере, поскольку самым надежным их инструментом являются сигнатурные базы, а PC Pandora на каждом компьютере устанавливает изменённые данные. Т.е. внести ее в базу под конкретным именем не просто.

Если же учесть позиционирование программы как инструмент для заботливых родителей, желающих знать, что их дети делают за компьютером, и рачительных руководителей, желающих уличить нерадивых сотрудников в разбазаривании рабочего времени, то шпион PC Pandora может вообще не попадать в список опасных программ. Только не понятно нам, зачем столь изощренно скрываться в системе от детей и сотрудников, которые должны принимать как должное запреты на нерациональное расходование рабочего времени.

Полагаем, что не только родители и руководители являются целевой аудиторией для пользователей этой шпионской программы.

И так, запускаем COVERT Pro и в главном меню нажимаем кнопку “Монитор DLL”. Далее отключаем через контекстное меню контроль учётных записей UAC, если он включен.

(UAC — это контроль учетных записей пользователей системы Windows. Функция позволяющая предотвратить несанкционированные изменения в системных файлах компьютера. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей).

PC Pandora

Маскировщик работает с правами администратора и его мониторы тоже. Не все шпионские программы могут подключаться к программам с такими правами. Чтобы увидеть все библиотеки следует отключить UAC на время анализа системы. Позже, таким же образом, контроль учетных записей можно включить обратно.
Если использовать версию COVERT Pro USB, то отключать UAC для анализа монитора DLL не обязательно. При запуске программы нужно просто отказаться от прав администратора.

Перезагружаем компьютер, запускаем программу COVERT Pro и открываем Монитор DLL.

В списке загруженных библиотек обнаруживаем желтым цветом две библиотеки ftpconf.dll и usbweb.dll находящиеся в системной папке. Это файлы шпиона PC Pandora. Мы это знаем поскольку сами установили его в систему.

PC Pandora

Если бы мы не проводили такого эксперимента, но в Мониторе DLL обнаружили такие библиотеки, тогда нам необходимо было бы выяснить, кому они принадлежат. Используя контекстное меню, выбираем в списке пункт “Искать информацию в Интернет”.

PC Pandora

Мы видим, что информации об этих библиотеках нет. Они не принадлежат ни операционной системе, ни другим программам, легально установленным самим пользователем.

PC Pandora

Более того, у этих библиотек в списке окна маскировщика нет имени, которое выдает система. Его задает разработчик программы. Нет и описания, номера версии и не указано имя компании разработчика. Поэтому, даже если бы мы не знали, что эти файлы DLL принадлежат PC Pandora, то всё равно их следовало бы удалить. Но мы бы так и не узнали, кому они принадлежат.

Шпионскую программу PC Pandora обнаружили. Теперь рассмотрим, как ее обезвредить.

Нажимаем правой кнопкой мыши на желтую строку в контекстном меню и выбираем пункт отключить. В появившемся сообщении подтверждаем свои намерения. Тоже самое проделываем со вторым файлом.

PC Pandora

Для завершения операции очистки от шпионской программы перезагружаем компьютер.

После перезагрузки компьютера PC Pandora будет нейтрализована.

Если появятся сообщения об ошибке, открываем системный реестр. Для этого, нажимаем на клавиатуре Win + R, вводим regedit и нажимаем Ok.

PC Pandora

И через функцию поиска находим и удаляем все параметры, в которых присутствует имя шпионской библиотеки ftpconf.dll

P06

Для маскировки своих действий от шпиона PC Pandora, не удаляя его с компьютера, будет достаточно войти в платформу защиты маскировщика, нажав на большую кнопку с логотипом и надписью “Вход в платформу защиты”. Все произведённые действия в защищённой среде шпион не будет видеть, даже если его не удалять, и он будет находится в активном состоянии.

PC Pandora

Мы проверили файл ftpconf.dll на одном из популярных онлайновых сервисов 39 антивирусными программами. Только семь из них (17%) увидели угрозу в этой шпионской программе.

PC Pandora

Скачайте маскировщик COVERT и БЕСПЛАТНО проверьте — следят ли за вами с помощью PC Pandora.

Только для рассылки информации о новых версиях и шпионах