Jak przez przypadek odkryłem, że mój komputer jest zombie (botem).
Od razu zaznaczam, że mam aktywną ochronę MS (Security Essentials). Obecnie też zainstalowałem Kasperskiego w wersji trial. Oba nic nie wykryły.
Od jakiegoś czasu komputer działał mi dosyć wolno. Momentami ciężko było obejrzeć film na YT. Zwalałem winę na moją leciwą maszynę, którą próbuje wykończyć któraś z aktualizacji windy i coraz bardziej wymagające aplikacje webowe.
Któregoś dnia siedząc przed kompem zauważyłem, że włącza mi się przeglądarka firefox i pasek adresu wypełnia się jakimś tekstem (wydaje mi się, że był to krzemik.pl). Nie mam i nie używam firefoxa, więc od razu namierzyłem proces. Okazało się, że firefox jest uruchomiony w wersji portable z lokalizacji ...AppData/Roaming/Local/Microsoft (!!), więc usunąłem śmiecia już wtedy wiedząc, że coś jest na rzeczy. Dodam jeszcze, że o dziwo (może przez przypadek) każda z moich przeglądarek zamykała się na stronie z Kasperskim, musiałem przenieść go przez pendrive z innej maszyny.
Od tamtej pory zaczęły się jazdy ze zwiechą ekranu z komunikatem mówiącym, że nie może znaleźć firefoxa w podanej lokalizacji (błąd nawet nie był na wierzchu, działało tylko przełączanie Alt-Tab i MS-Tab bez możliwości pozostawienia któregokolwiek z okien na wierzchu, łącznie z błędem, można go było przeczytać dzięki powyższym kombinacjom klawiszy). Na szczęście menadżera zadań to nie dotyczyło. Od razu zacząłem ubijać podejrzane aplikacje. m. in. jushed.exe (Java update scheduler). Po ubiciu go wszystko wróciło do normy. Komunikat błyskawicznie zniknął, ekran powrócił do stanu używalności. Do następnego razu. Tym razem zauważyłem, że mam dwa procesy jushed.exe. Jeden z nich prowadzi do normalnej lokalizacji w Program files, druga znów do folderu MS w AppData.
Piszę to żeby ostrzec innych, żeby sprawdzili swoje maszyny ale też żeby zwrócić się o pomoc w określeniu z czym i kiedy zainstalowało się to dziadostwo. Komputer nie jest już podłączony do neta, wszystkie śmieci oprócz felernego firefoxa pozostały nieskasowane. Jeśli ktoś ma lepszą teorię proszę o podzielenie się. Jednak wydaje mi się, że plik podający się za updater Javy i bezinstalacyjny firefox w folderze lokalnym Microsoftu, który to firefox wchodzi sobie na jakąś stronę może wskazywać na DDoS.
Komentarze (328)
najlepsze
@anath0r: #spiseg
1. Przeskanowanie aktualnego systemu narzędziami typu Emsisoft Emergency Kit, Malwarebytes Anti-malware. Można "pobawić się" OTL i Combofix, poprosić o analizę logów na forum, lepiej chyba zrobić format.
2. Backup danych na nośnik zewnętrzny.
3. Format, reinstalacja systemu.
4. Instalacja sensownego programu antywirusowego (F-Secure, Nod32, Kaspersky, Emsisoft) - na początek nawet w wersji trial.
5. Aktualizacja systemu.
6. Instalacja oprogramowania.
7.
Ma może kilkadziesiąt/set infekcji i sobie chula ;)
Niektóre wirusy potrafią zarazić tysiące komputerów zanim zaczną je wykazywać jakiekolwiek antywirusy.
Ja podam swój sposób na ochrone.
1 Nie instalować nieznanego softu !!!
2. Aplikacja starter pokazujaca jakie procesy sa w autostarcie
http://www.instalki.pl/programy/download/Windows/narzedzia_systemowe/Starter.html
Tak wygląda http://i.imgur.com/yUtENHY.png
3. Program monitorujący ruch na kompie o nazwie NetWorx
http://www.softperfect.com/products/networx/manual/?lang=Polish
Piekny on nie jest ale spelnia swoja funkcje (w prawym dolnym rogu zrzutu jest info na temat Upoloadu i downloadu.
Gdybym mial jakieś badziewie, widziałbym ruch i transfer jak wszystko pozamykane.
http://i.imgur.com/yUtENHY.png
Podswietlony program jakby cos
1. Aktualizuj system
2. Aktualizuj oprogramowanie zainstalowane w systemie nawet jeżeli go często nie używasz (IE!). (Kaspersky ma specjalny tryb skanowania w poszukiwaniu zainstalowanego oprogramowania z udokumentowanymi dziurami).
3. Odinstaluj nieużywane oprogramowanie.
4. Wyłącz nieużywane rozszerzenia i wtyczki w przeglądarce (w polu adresu opera:plugins , chrome://plugins )
5. Podczas instalacji nowego oprogramowania ZAWSZE wybieraj instalacje zaawansowaną i uważnie czytaj co jest zaptaszkowane a co nie.
6. Skanuj pendrivy
W każdym razie trzeba poznać jak działa i co jest wymagane do prawidłowego funkcjonowania środowiska w którym spędza się szmat czasu i powierza
Mój kolega wpadł kiedyś na genialny pomysł usunięcia explorer.exe, bo mu wyskakiwał błąd przy uruchomieniu systemu z tytułem explorer.exe.
Najpierw włączyło się UAC, oczywiście kliknął tak, potem i tak system uniemożliwił usunięcie, to zainstalował Unlockera i usunął na siłę. Potem wielkie zdziwienie, że po restarcie nic nie widać.
Polecam co jakiś czas
A ludzie nie wiedzą i wymieniają kompy, gospodarka zap!$@$#!a xD
Malwarebytes Antimalware:
https://www.malwarebytes.org/free/
Emsisoft (dawny a squared):
http://www.emsisoft.com/en/software/antimalware/
Superantispyware Free:
http://www.superantispyware.com/superantispywarefr
eevspro.html
i Skaner DrWebCureIT:
http://www.freedrweb.com/cureit/?lng=en
Tak jak antywirus często nie "widzi" spyware, tak programy antyspyware nie "widzą" przekierowań przeglądarek i
Odpowiedź brzmi: tak.