Wirus / złośliwe oprogramowanie: okno Eksploratora z dziwnym użytkownikiem zalogowanym do Hotmaila [duplikat]

Możliwa duplikat:
Co zrobić, jeśli mój komputer jest zainfekowany wirusem lub złośliwym oprogramowaniem?

Patrzyłem na komputer, którego użytkownik skarżył się, że nie może połączyć się z Internetem i że komputer doświadcza przypadkowych restartów.

Na komputerze działa WinXP SP3. Podczas badania stwierdziłem, że usługa konfiguracji zerowej sieci bezprzewodowej została zatrzymana. Włączyłem to i internet był ponownie włączony (komputer podłączony przez Wi-Fi). Potem założyłem Firefoksa i przeszukałem gmail.com. Nie uruchomiłem żadnego innego programu, z wyjątkiem kilku okien eksploratora.

Wtedy zauważyłem, że wyskoczyło okno (nie było to okienko wyskakujące). Miał ikonę folderu eksploratora i zamiast zawartości folderu eksploratora pokazywał stronę hotmail, z zalogowanym użytkownikiem o nazwie „Homer Stinson”. Pasek tytułowy był pusty i nie było pasków narzędzi. Zapytałem klienta, czy to był jego identyfikator e-mail, a on powiedział, że nie. Otworzyłem menedżera zadań, który nie wyświetlał tego okna eksploratora w zakładce Aplikacja. Wróciłem do okna „nieuczciwego” i odkryłem, że strona ustawień usługi Hotmail jest teraz otwarta, która później zmieniła się na stronę profilu edycji usługi Hotmail dla tego samego użytkownika. Niczego nie klikałem. Nagle okno się zamknęło.

Sprawdziłem lokalizacje autorun, uruchomiłem skanowanie Malwarebytes Anti Malware, które dało stosunkowo czysty wynik. System miał również zaktualizowaną instalację systemu AVG.

Nie chcę rozwiązania tego problemu z wirusem (?) . Zapytałem o to tutaj, ponieważ chciałem wiedzieć, czy ktoś spotkał coś podobnego. Jakie to może być złośliwe oprogramowanie?

Użytkownik nie widział wcześniej podobnego okna i powinienem był zrobić zrzuty ekranu.

(PS: Homer Stinson to wymyślona nazwa. Szukałem prawdziwej nazwy z odpowiednimi słowami kluczowymi, ale nie mogłem znaleźć postu na temat wirusów / złośliwego oprogramowania).

AKTUALIZACJA:

Kiedy później sprawdziłem komputer, wyskoczył błąd DEP, który ponownie uruchomił komputer.

(okno dialogowe błędu dep, obrazy dzięki uprzejmości google)

AKTUALIZACJA 2:

Następnego dnia znalazłem to samo dziwne okno rejestracji e-maila, wiele razy, za każdym razem rejestrując identyfikator e-maila w AOL, Hotmail lub Yahoo (domyślam się, ponieważ nie było paska adresu). Jeden taki zrzut ekranu jest załączony.

Mógłbym wchodzić w interakcje ze stroną, na przykład klikać linki i wprowadzać tekst. Próbowałem wprowadzić tekst, gdy inny „użytkownik” pisał lub przeniósł kontrolę do normalnego pola tekstowego, gdy inny „użytkownik” wpisywał hasło (hasło, które widziałem, to losowe znaki). Tymczasem drugi „użytkownik” kontynuował rejestrację, chociaż nie zauważyłem, że „użytkownik” wypełnia captcha, więc nie mogę powiedzieć, czy „inny” był prawdziwą osobą, czy botem.

Uruchomiłem skanowanie AVG, Malwarebytes i Spybot i dostałem trochę adware, błędy rejestru i błędy przekierowania pliku Hosts. Malwarebytes nie mógł naprawić problemu z plikiem hosts. Sprawdziłem ręcznie plik hostów i znalazłem go w porządku (zawierał domyślne komentarze i 127.0. 0,1 linii.) Malwarebytes nadal wyświetlał ten sam błąd przekierowania pliku hostów podczas ponownego skanowania.

Mogłem rozwiązać problem DEP, dodając przełącznik AlwaysOff do wiersza uruchamiania systemu, ale okna rejestracji e-mail martwiły mnie.

Uruchomiłem aktywne porty i okazało się, że explorer.exe rozmawia ze zdalnym ip. Zrzut ekranu następuje.

Nawet po zabiciu explorer.exe i zrestartowaniu go nadal łączyłby się ze zdalnym ips, z których wszystkie rozwiązały się na .mail. .yahoo. * nazwy domen.

Pamiętam również, że Zapora systemu Windows / usługa ICS została wyłączona i nie chce się uruchomić.

Ponieważ komputer miał kopię zapasową dokumentów, przystąpiłem do ponownej instalacji systemu operacyjnego, ale chciałbym wiedzieć, z jakim złośliwym oprogramowaniem mam do czynienia?

Czy ktoś napotkał podobny problem? Wszelkie informacje będą mile widziane.

PS: Prosimy o edycję pytania w celu zachowania przejrzystości.

Więcej informacji na ten adres pop1 http://www.robtex.com/dns/pop1.plus.mail.vip.sp2.yahoo.com.html

Tak, to wirus winlogon.exe

Nie ma potrzeby ponownej instalacji.

Postępuj zgodnie z kolejnością podaną poniżej, aby prawidłowo zdezynfekować komputer

1.) Utwórz bootowalny dysk AV, a następnie uruchom komputer z dysku i zeskanuj dysk twardy, usuń wszelkie znalezione infekcje, wolę sam dysk Kaspersky. Nowy dysk Kaspersky 2010 może aktualizować pliki danych AV, jeśli podczas skanowania masz połączenie z Internetem i zaleca się aktualizację przed skanowaniem.

http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

2.) Następnie: Zainstaluj bezpłatny MBAM, uruchom program i przejdź do karty Aktualizacja i zaktualizuj go, a następnie przejdź do karty Skaner i wykonaj szybkie skanowanie, zaznacz i usuń wszystko, co znajdzie.

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3.) Po zakończeniu MBAM zainstaluj bezpłatną wersję SAS, uruchom szybkie skanowanie, usuń to, co automatycznie wybierze. http://www.superantispyware.com/download.html

Te ostatnie 2 nie są oprogramowaniem AV, takim jak Norton, są skanerami na żądanie, które skanują tylko w poszukiwaniu złośliwych programów podczas uruchamiania programu i nie będą zakłócały zainstalowanego oprogramowania AV. Można je uruchamiać raz dziennie lub tygodniowo, aby zapewnić, że nie zostaniesz zainfekowany. Pamiętaj o ich aktualizacji przed każdym codziennym skanowaniem co tydzień.

.

Czy masz zainstalowane oprogramowanie do zdalnego zarządzania, takie jak LogMeIn? Jeśli jest to komputer firmowy, powinieneś porozmawiać o tym z działem IT i dowiedzieć się, co oni robią.

Praca detektywistyczna :

• W Stanach Zjednoczonych jest co najmniej 6 osób o nazwisku „Homer Stinson”. To może być prawdziwe imię.
• Dziwne okno e-mail to Rejestracja AOL WebMail , więc wirus właśnie tworzy nowe konto AOL WebMail.
• Serwer pop1.plus.mail.vip.sp2.yahoo.comto Yahoo! serwer poczty elektronicznej. Wirus prawdopodobnie robi to samo tam.

Wirus może tworzyć nowe konta do spamowania lub brutalnie próbować wykryć nazwy istniejących kont. Jest to prawdopodobnie część robota spamującego.

Z faktu, że masz tak wiele symptomów, zgaduję, że twój wirus jest w rzeczywistości trojanem i mógł zabrać ze sobą „przyjaciół”. Słyszałem o przypadkach, w których zainstalowano dziesiątki wirusów z powodu pojedynczej infekcji trojanem.

Komputer może być teraz tak mocno zainfekowany, że znalezienie miejsca rozpoczęcia infekcji może być prawie niemożliwe. Jeśli nadal jesteś ciekawy, możesz skorzystać z kilku internetowych usług antywirusowych , aby przeskanować komputer, tworząc listę wszystkich znalezionych wirusów. Pobierz także kilka rozruchowych płyt CD znanych produktów antywirusowych i uruchom je poza systemem Windows. Aby wyczyścić, użyj również Spybot S&D i Lavasoft Ad-Aware.

Jedynym rozwiązaniem jest sformatowanie wszystkich dysków twardych i ponowna instalacja systemu Windows. Nie można odzyskać tego komputera. Twój wysiłek w celu wyśledzenia wirusa może nie być wart spędzonego czasu.

Nie sądzę technicznie, że odpowiedź na pytanie była taka, jak chcesz. To po prostu było trochę złośliwego oprogramowania typu botnet. Botnet to grupa komputerów zainfekowanych złośliwym oprogramowaniem, które współpracują ze sobą w celu wykonania określonego zadania, złośliwego lub innego. To, co robił ten kod, a właściwie osoba, wykorzystywało komputer jako legalny front do tworzenia masowych kont na różnych stronach internetowych. Najprawdopodobniej ten, kto kontrolował botnet, miał dla niego więcej niż tylko komputer. Jeśli nie była to umowa typu botnet, to po prostu ktoś używał tego komputera jako swego rodzaju proxy, aby ukryć to, co robił, i sprawić, by utworzone konta wyglądały na legalne. Samo szkodliwe oprogramowanie jest naprawdę bardzo proste. Użył jakiegoś oszustwa phishingowego, aby przenieść oprogramowanie na komputer, a oprogramowanie zostało skonfigurowane tak, aby komputer nie mógł go zobaczyć ani nic z tym zrobić. Wyskakujące okno było w zasadzie tour de force, spójrz na mnie, zobacz, co mogę zrobić. nic z tego nie było w rzeczywistości konieczne dla tego typu rzeczy.