Jak przez przypadek odkryłem, że mój komputer jest zombie (botem).
Od razu zaznaczam, że mam aktywną ochronę MS (Security Essentials). Obecnie też zainstalowałem Kasperskiego w wersji trial. Oba nic nie wykryły.
Od jakiegoś czasu komputer działał mi dosyć wolno. Momentami ciężko było obejrzeć film na YT. Zwalałem winę na moją leciwą maszynę, którą próbuje wykończyć któraś z aktualizacji windy i coraz bardziej wymagające aplikacje webowe.
Któregoś dnia siedząc przed kompem zauważyłem, że włącza mi się przeglądarka firefox i pasek adresu wypełnia się jakimś tekstem (wydaje mi się, że był to krzemik.pl). Nie mam i nie używam firefoxa, więc od razu namierzyłem proces. Okazało się, że firefox jest uruchomiony w wersji portable z lokalizacji ...AppData/Roaming/Local/Microsoft (!!), więc usunąłem śmiecia już wtedy wiedząc, że coś jest na rzeczy. Dodam jeszcze, że o dziwo (może przez przypadek) każda z moich przeglądarek zamykała się na stronie z Kasperskim, musiałem przenieść go przez pendrive z innej maszyny.
Od tamtej pory zaczęły się jazdy ze zwiechą ekranu z komunikatem mówiącym, że nie może znaleźć firefoxa w podanej lokalizacji (błąd nawet nie był na wierzchu, działało tylko przełączanie Alt-Tab i MS-Tab bez możliwości pozostawienia któregokolwiek z okien na wierzchu, łącznie z błędem, można go było przeczytać dzięki powyższym kombinacjom klawiszy). Na szczęście menadżera zadań to nie dotyczyło. Od razu zacząłem ubijać podejrzane aplikacje. m. in. jushed.exe (Java update scheduler). Po ubiciu go wszystko wróciło do normy. Komunikat błyskawicznie zniknął, ekran powrócił do stanu używalności. Do następnego razu. Tym razem zauważyłem, że mam dwa procesy jushed.exe. Jeden z nich prowadzi do normalnej lokalizacji w Program files, druga znów do folderu MS w AppData.
Piszę to żeby ostrzec innych, żeby sprawdzili swoje maszyny ale też żeby zwrócić się o pomoc w określeniu z czym i kiedy zainstalowało się to dziadostwo. Komputer nie jest już podłączony do neta, wszystkie śmieci oprócz felernego firefoxa pozostały nieskasowane. Jeśli ktoś ma lepszą teorię proszę o podzielenie się. Jednak wydaje mi się, że plik podający się za updater Javy i bezinstalacyjny firefox w folderze lokalnym Microsoftu, który to firefox wchodzi sobie na jakąś stronę może wskazywać na DDoS. 
Komentarze (328)
najlepsze
Komentarz usunięty przez moderatora
ciężko mi ustalić przyczynę, ponieważ objawy zauważyłem przy pierwszym starcie komputera po 2 tyg. nieobecności - nie pamiętam co robiłem przed samym wyjazdem.
Po starcie systemu chłodzenie karty graficznej momentalnie wskoczyło na najwyższe obroty, co z racji posiadanej wiekowej HD4890 i nad wyraz prądożernej (do 190W) karty nie uszło mojej uwadze. natychmiast upolowałem procesy które pożerają mi te zasoby.
w moim przypadku niewystarczającą