Jak przez przypadek odkryłem, że mój komputer jest zombie (botem).
Od razu zaznaczam, że mam aktywną ochronę MS (Security Essentials). Obecnie też zainstalowałem Kasperskiego w wersji trial. Oba nic nie wykryły.
Od jakiegoś czasu komputer działał mi dosyć wolno. Momentami ciężko było obejrzeć film na YT. Zwalałem winę na moją leciwą maszynę, którą próbuje wykończyć któraś z aktualizacji windy i coraz bardziej wymagające aplikacje webowe.
Któregoś dnia siedząc przed kompem zauważyłem, że włącza mi się przeglądarka firefox i pasek adresu wypełnia się jakimś tekstem (wydaje mi się, że był to krzemik.pl). Nie mam i nie używam firefoxa, więc od razu namierzyłem proces. Okazało się, że firefox jest uruchomiony w wersji portable z lokalizacji ...AppData/Roaming/Local/Microsoft (!!), więc usunąłem śmiecia już wtedy wiedząc, że coś jest na rzeczy. Dodam jeszcze, że o dziwo (może przez przypadek) każda z moich przeglądarek zamykała się na stronie z Kasperskim, musiałem przenieść go przez pendrive z innej maszyny.
Od tamtej pory zaczęły się jazdy ze zwiechą ekranu z komunikatem mówiącym, że nie może znaleźć firefoxa w podanej lokalizacji (błąd nawet nie był na wierzchu, działało tylko przełączanie Alt-Tab i MS-Tab bez możliwości pozostawienia któregokolwiek z okien na wierzchu, łącznie z błędem, można go było przeczytać dzięki powyższym kombinacjom klawiszy). Na szczęście menadżera zadań to nie dotyczyło. Od razu zacząłem ubijać podejrzane aplikacje. m. in. jushed.exe (Java update scheduler). Po ubiciu go wszystko wróciło do normy. Komunikat błyskawicznie zniknął, ekran powrócił do stanu używalności. Do następnego razu. Tym razem zauważyłem, że mam dwa procesy jushed.exe. Jeden z nich prowadzi do normalnej lokalizacji w Program files, druga znów do folderu MS w AppData.
Piszę to żeby ostrzec innych, żeby sprawdzili swoje maszyny ale też żeby zwrócić się o pomoc w określeniu z czym i kiedy zainstalowało się to dziadostwo. Komputer nie jest już podłączony do neta, wszystkie śmieci oprócz felernego firefoxa pozostały nieskasowane. Jeśli ktoś ma lepszą teorię proszę o podzielenie się. Jednak wydaje mi się, że plik podający się za updater Javy i bezinstalacyjny firefox w folderze lokalnym Microsoftu, który to firefox wchodzi sobie na jakąś stronę może wskazywać na DDoS. 
Komentarze (328)
najlepsze
http://i.imgur.com/SdAtnWc.png
mozecie cos na podstawie tego powiedziec?
@Starozytny_Chrabaszcz_Szablozebny: Masz bajzel większy na kompie od niejednej laski w pokoju.
PS. Jusched i jucheck nie jest potrzebny do działania systemu, ba… nawet do działania javy i możesz go wywalić z autostaru, jeśli będzie stawiał opór to już wiesz co to za program.
wersja łopatologiczna:
1. sciagasz "Process
Komentarz usunięty przez moderatora
Kiedyś ją znalazłem i już kilka razy się przydało - szczerze polecam.
PS: Może wydawać się, że jest to przepis dla laików - ale jednak nawet haxorowi IMHO pomoże - bo nie o wszystkim wszystko możemy wiedzieć...
@slawpe13: Oj zdziwiłbyś się. 8]
I
Heh, stary dobry jushed.exe
Aż mi się łezka zakręciła z nostalgii. :)
Nie sądziłem że to jeszcze gdzieś krąży. :)