Jak przez przypadek odkryłem, że mój komputer jest zombie (botem).

Od razu zaznaczam, że mam aktywną ochronę MS (Security Essentials). Obecnie też zainstalowałem Kasperskiego w wersji trial. Oba nic nie wykryły.

Od jakiegoś czasu komputer działał mi dosyć wolno. Momentami ciężko było obejrzeć film na YT. Zwalałem winę na moją leciwą maszynę, którą próbuje wykończyć któraś z aktualizacji windy i coraz bardziej wymagające aplikacje webowe.

Któregoś dnia siedząc przed kompem zauważyłem, że włącza mi się przeglądarka firefox i pasek adresu wypełnia się jakimś tekstem (wydaje mi się, że był to krzemik.pl). Nie mam i nie używam firefoxa, więc od razu namierzyłem proces. Okazało się, że firefox jest uruchomiony w wersji portable z lokalizacji ...AppData/Roaming/Local/Microsoft (!!), więc usunąłem śmiecia już wtedy wiedząc, że coś jest na rzeczy. Dodam jeszcze, że o dziwo (może przez przypadek) każda z moich przeglądarek zamykała się na stronie z Kasperskim, musiałem przenieść go przez pendrive z innej maszyny.

Od tamtej pory zaczęły się jazdy ze zwiechą ekranu z komunikatem mówiącym, że nie może znaleźć firefoxa w podanej lokalizacji (błąd nawet nie był na wierzchu, działało tylko przełączanie Alt-Tab i MS-Tab bez możliwości pozostawienia któregokolwiek z okien na wierzchu, łącznie z błędem, można go było przeczytać dzięki powyższym kombinacjom klawiszy). Na szczęście menadżera zadań to nie dotyczyło. Od razu zacząłem ubijać podejrzane aplikacje. m. in. jushed.exe (Java update scheduler). Po ubiciu go wszystko wróciło do normy. Komunikat błyskawicznie zniknął, ekran powrócił do stanu używalności. Do następnego razu. Tym razem zauważyłem, że mam dwa procesy jushed.exe. Jeden z nich prowadzi do normalnej lokalizacji w Program files, druga znów do folderu MS w AppData.

Piszę to żeby ostrzec innych, żeby sprawdzili swoje maszyny ale też żeby zwrócić się o pomoc w określeniu z czym i kiedy zainstalowało się to dziadostwo. Komputer nie jest już podłączony do neta, wszystkie śmieci oprócz felernego firefoxa pozostały nieskasowane. Jeśli ktoś ma lepszą teorię proszę o podzielenie się. Jednak wydaje mi się, że plik podający się za updater Javy i bezinstalacyjny firefox w folderze lokalnym Microsoftu, który to firefox wchodzi sobie na jakąś stronę może wskazywać na DDoS.