Możliwa duplikat:
Co zrobić, jeśli mój komputer jest zainfekowany wirusem lub złośliwym oprogramowaniem?
Patrzyłem na komputer, którego użytkownik skarżył się, że nie może połączyć się z Internetem i że komputer doświadcza przypadkowych restartów.
Na komputerze działa WinXP SP3. Podczas badania stwierdziłem, że usługa konfiguracji zerowej sieci bezprzewodowej została zatrzymana. Włączyłem to i internet był ponownie włączony (komputer podłączony przez Wi-Fi). Potem założyłem Firefoksa i przeszukałem gmail.com. Nie uruchomiłem żadnego innego programu, z wyjątkiem kilku okien eksploratora.
Wtedy zauważyłem, że wyskoczyło okno (nie było to okienko wyskakujące). Miał ikonę folderu eksploratora i zamiast zawartości folderu eksploratora pokazywał stronę hotmail, z zalogowanym użytkownikiem o nazwie „Homer Stinson”. Pasek tytułowy był pusty i nie było pasków narzędzi. Zapytałem klienta, czy to był jego identyfikator e-mail, a on powiedział, że nie. Otworzyłem menedżera zadań, który nie wyświetlał tego okna eksploratora w zakładce Aplikacja. Wróciłem do okna „nieuczciwego” i odkryłem, że strona ustawień usługi Hotmail jest teraz otwarta, która później zmieniła się na stronę profilu edycji usługi Hotmail dla tego samego użytkownika. Niczego nie klikałem. Nagle okno się zamknęło.
Sprawdziłem lokalizacje autorun, uruchomiłem skanowanie Malwarebytes Anti Malware, które dało stosunkowo czysty wynik. System miał również zaktualizowaną instalację systemu AVG.
Nie chcę rozwiązania tego problemu z wirusem (?) . Zapytałem o to tutaj, ponieważ chciałem wiedzieć, czy ktoś spotkał coś podobnego. Jakie to może być złośliwe oprogramowanie?
Użytkownik nie widział wcześniej podobnego okna i powinienem był zrobić zrzuty ekranu.
(PS: Homer Stinson to wymyślona nazwa. Szukałem prawdziwej nazwy z odpowiednimi słowami kluczowymi, ale nie mogłem znaleźć postu na temat wirusów / złośliwego oprogramowania).
AKTUALIZACJA:
Kiedy później sprawdziłem komputer, wyskoczył błąd DEP, który ponownie uruchomił komputer.
(okno dialogowe błędu dep, obrazy dzięki uprzejmości google)
AKTUALIZACJA 2:
Następnego dnia znalazłem to samo dziwne okno rejestracji e-maila, wiele razy, za każdym razem rejestrując identyfikator e-maila w AOL, Hotmail lub Yahoo (domyślam się, ponieważ nie było paska adresu). Jeden taki zrzut ekranu jest załączony.
Mógłbym wchodzić w interakcje ze stroną, na przykład klikać linki i wprowadzać tekst. Próbowałem wprowadzić tekst, gdy inny „użytkownik” pisał lub przeniósł kontrolę do normalnego pola tekstowego, gdy inny „użytkownik” wpisywał hasło (hasło, które widziałem, to losowe znaki). Tymczasem drugi „użytkownik” kontynuował rejestrację, chociaż nie zauważyłem, że „użytkownik” wypełnia captcha, więc nie mogę powiedzieć, czy „inny” był prawdziwą osobą, czy botem.
Uruchomiłem skanowanie AVG, Malwarebytes i Spybot i dostałem trochę adware, błędy rejestru i błędy przekierowania pliku Hosts. Malwarebytes nie mógł naprawić problemu z plikiem hosts. Sprawdziłem ręcznie plik hostów i znalazłem go w porządku (zawierał domyślne komentarze i 127.0. 0,1 linii.) Malwarebytes nadal wyświetlał ten sam błąd przekierowania pliku hostów podczas ponownego skanowania.
Mogłem rozwiązać problem DEP, dodając przełącznik AlwaysOff do wiersza uruchamiania systemu, ale okna rejestracji e-mail martwiły mnie.
Uruchomiłem aktywne porty i okazało się, że explorer.exe rozmawia ze zdalnym ip. Zrzut ekranu następuje.
Nawet po zabiciu explorer.exe i zrestartowaniu go nadal łączyłby się ze zdalnym ips, z których wszystkie rozwiązały się na .mail. .yahoo. * nazwy domen.
Pamiętam również, że Zapora systemu Windows / usługa ICS została wyłączona i nie chce się uruchomić.
Ponieważ komputer miał kopię zapasową dokumentów, przystąpiłem do ponownej instalacji systemu operacyjnego, ale chciałbym wiedzieć, z jakim złośliwym oprogramowaniem mam do czynienia?
Czy ktoś napotkał podobny problem? Wszelkie informacje będą mile widziane.
PS: Prosimy o edycję pytania w celu zachowania przejrzystości.