Jak przez przypadek odkryłem, że mój komputer jest zombie (botem).

MrMann z dodany: 30.12.2013, 07:01:30

Jak przez przypadek odkryłem, że mój komputer jest zombie (botem).

Od razu zaznaczam, że mam aktywną ochronę MS (Security Essentials). Obecnie też zainstalowałem Kasperskiego w wersji trial. Oba nic nie wykryły.

Od jakiegoś czasu komputer działał mi dosyć wolno. Momentami ciężko było obejrzeć film na YT. Zwalałem winę na moją leciwą maszynę, którą próbuje wykończyć któraś z aktualizacji windy i coraz bardziej wymagające aplikacje webowe.

Któregoś dnia siedząc przed kompem zauważyłem, że włącza mi się przeglądarka firefox i pasek adresu wypełnia się jakimś tekstem (wydaje mi się, że był to krzemik.pl). Nie mam i nie używam firefoxa, więc od razu namierzyłem proces. Okazało się, że firefox jest uruchomiony w wersji portable z lokalizacji ...AppData/Roaming/Local/Microsoft (!!), więc usunąłem śmiecia już wtedy wiedząc, że coś jest na rzeczy. Dodam jeszcze, że o dziwo (może przez przypadek) każda z moich przeglądarek zamykała się na stronie z Kasperskim, musiałem przenieść go przez pendrive z innej maszyny.

Od tamtej pory zaczęły się jazdy ze zwiechą ekranu z komunikatem mówiącym, że nie może znaleźć firefoxa w podanej lokalizacji (błąd nawet nie był na wierzchu, działało tylko przełączanie Alt-Tab i MS-Tab bez możliwości pozostawienia któregokolwiek z okien na wierzchu, łącznie z błędem, można go było przeczytać dzięki powyższym kombinacjom klawiszy). Na szczęście menadżera zadań to nie dotyczyło. Od razu zacząłem ubijać podejrzane aplikacje. m. in. jushed.exe (Java update scheduler). Po ubiciu go wszystko wróciło do normy. Komunikat błyskawicznie zniknął, ekran powrócił do stanu używalności. Do następnego razu. Tym razem zauważyłem, że mam dwa procesy jushed.exe. Jeden z nich prowadzi do normalnej lokalizacji w Program files, druga znów do folderu MS w AppData.

Piszę to żeby ostrzec innych, żeby sprawdzili swoje maszyny ale też żeby zwrócić się o pomoc w określeniu z czym i kiedy zainstalowało się to dziadostwo. Komputer nie jest już podłączony do neta, wszystkie śmieci oprócz felernego firefoxa pozostały nieskasowane. Jeśli ktoś ma lepszą teorię proszę o podzielenie się. Jednak wydaje mi się, że plik podający się za updater Javy i bezinstalacyjny firefox w folderze lokalnym Microsoftu, który to firefox wchodzi sobie na jakąś stronę może wskazywać na DDoS.

Komentarze (328)

najlepsze

Morf

30.12.2013, 11:54:08

Treść przeznaczona dla osób powyżej 18 roku życia...

g.....l

konto usunięte 30.12.2013, 12:25:49

@Morf: A gdzie czas na używanie komputera?

Morf

30.12.2013, 12:28:11

@gkpl: Większość z tego co wymieniłem robi się raz ;] A poświęcenie 5 minut raz na tydzień przy godzinach które się traci oglądając zdjęcia kotów to niewiele. Fakt że nasz komputer z dnia na dzień nie działa coraz wolniej stając się członkiem kolejnych botnetów jest jednak dużym plusem.

W każdym razie trzeba poznać jak działa i co jest wymagane do prawidłowego funkcjonowania środowiska w którym spędza się szmat czasu i

l.....e

konto usunięte 30.12.2013, 11:54:46

start -> uruchom -> msconfig i odznaczsz uslugi/programy ktore startuja z systemem. To tak na doraźną poprawe.

botul

30.12.2013, 09:25:58

Tak jak napisał @matchius - gdyby to była pełna analiza, z logami, propozycją rozwiązania to nadawałoby się to na wykop, a tak to niestety słabiutko...

wt_f

30.12.2013, 14:50:16

@botul: Potraktuj to jako informację dla ludu, wypok przegląda sporo osób i może ktoś nawet nie wiedział, że ma wirusa z internetów a dzięki temu się dowie.

matchius

30.12.2013, 09:28:25

-4

@botul: https://www.google.pl/search?q=krzemik+wirus

bachus

30.12.2013, 12:09:50

Największym problemem 'Windowsa' jest PEBKAC - użytkownik, który pracuje na koncie administratora i nie ma pojęcia, co robi. Od czasów Visty (UAC, DEP itd.) nie jest tak źle, dodatkowo systemy 64-bitowe bardzo poprawiły bezpieczeństwo tego systemu.

bachus

30.12.2013, 13:27:03

@Mephistofeles: ja też mam za sobą taką przygodę - około roku 1995 po 8-bitach udało się rodziców namówić na 'blaszaka' - OPTIMUS Harvard miał DOS 6.22 i Windows 3.11PL. Jako 'expert' pierwsze co przytargałem, to Norton Commander i wyłączyłem ukrywanie systemowych plików. Na następny dzień: "co to za bałagan w głównym katalogu na dysku C:\ ? Przecież te pliki io.sys i msdos.sys mogą być w podkatalogach a tak to

M.....s

konto usunięte 30.12.2013, 13:18:24

@bachus: "Po co to jest, tylko klikać muszę, przecież to mój komputer, wiem co robię i chce mieć pełną władzę!"

Mój kolega wpadł kiedyś na genialny pomysł usunięcia explorer.exe, bo mu wyskakiwał błąd przy uruchomieniu systemu z tytułem explorer.exe.

Najpierw włączyło się UAC, oczywiście kliknął tak, potem i tak system uniemożliwił usunięcie, to zainstalował Unlockera i usunął na siłę. Potem wielkie zdziwienie, że po restarcie nic nie widać.

XpedobearX

30.12.2013, 11:50:13

Treść przeznaczona dla osób powyżej 18 roku życia...

j.....a

konto usunięte 30.12.2013, 21:24:49

Moja pierwsza myśl: a może to nie żaden wirus, tylko java tak zamula? ona tak już ma, że jest wolna i muli, podobnie jak android

illuminati23

30.12.2013, 17:57:27

Java... taka piękna...

S.....r

konto usunięte 30.12.2013, 17:04:28

Często u klientów widzę, że kompy wolno działają (niejedna osoba kupuje nowego laptopa zamiast przeinstalować system), patrzę do menedżera a tam svchost.exe 99% cpu którego zabijamy i system normalnie działa, oczywiście trzeba potem dojść co to za svchost i przeskanować system bo w większości przypadkach to wirusy..

A ludzie nie wiedzą i wymieniają kompy, gospodarka zap!$@$#!a xD

n.....y

konto usunięte 30.12.2013, 17:27:45

@SzalonyKonduktor: Akurat co do svchost.exe to 99% CPU zabiera często autoupdate, a problem występuje przy zainstalowanej przeglądarce starszej niż IE8. Wiem, bo sam się wczoraj z tym męczyłem przez kilkanaście godzin (do ściągnięcia ostatniej aktualizacji).

ikkiz

01.01.2014, 12:26:02

@SzalonyKonduktor: Problem z svchost.exe to problem z aktualizacjami, któreś z okresu listopad-grudzień 2013 nie chcą przejść. Mam je ściągnięte i instaluje ręcznie. problem znika. Jutro będę w pracy, to mogę napisać numerki felerne. Jak mi ktoś zainteresowany odpisze, to jutro mi się przypomni.

naplasterki

30.12.2013, 13:38:00

W takich przypadkach najlepiej od razu udać się na jakieś forum np. fixitpc.pl (Picasso) i dać logi z kilku programów. Potem robić, co wskaża, w szczególności aktualizacje, zmiany haseł i profilaktyczne skany różnymi programami, wśród których z pewnością nie może zabraknąć:

Malwarebytes Antimalware:

https://www.malwarebytes.org/free/

Emsisoft

naplasterki

31.12.2013, 10:33:11

@Panczenisci: Z antywirusami i oprogramowaniem malware/ spyware czy też jak chcą niektórzy badware ;) jest jak na loterii, niektóre anty- wykrywają sporo, inne o wiele mniej (albo prawie nic), dlatego dla bezpieczeństwa warto od czasu do czasu skanować programami antyspyware.

Odpowiedź brzmi: tak.

Panczenisci

31.12.2013, 09:23:40

@naplasterki: z Twojej wypowiedzi wnioskuje, ze przeciętny antywir typu NIS nie będzie w stanie wykryć oprogramowania szpiegujacego. Czy w takim wypadku powinniśmy się odrębnie zaopatrywać w oprogramowanie typu antispyware?

H.....n

konto usunięte 30.12.2013, 13:18:44

Z mojego komputera ktoś kiedyś zrobił sobie koparkę bitcoinów. W Procesach dopiero pogrzebałem po tym jak komputer zaczął mi się grzać. Proces nazywał się AdobeUpdate.exe.