Wirus / złośliwe oprogramowanie: okno Eksploratora z dziwnym użytkownikiem zalogowanym do Hotmaila [duplikat]


3

Możliwa duplikat:
Co zrobić, jeśli mój komputer jest zainfekowany wirusem lub złośliwym oprogramowaniem?

Patrzyłem na komputer, którego użytkownik skarżył się, że nie może połączyć się z Internetem i że komputer doświadcza przypadkowych restartów.

Na komputerze działa WinXP SP3. Podczas badania stwierdziłem, że usługa konfiguracji zerowej sieci bezprzewodowej została zatrzymana. Włączyłem to i internet był ponownie włączony (komputer podłączony przez Wi-Fi). Potem założyłem Firefoksa i przeszukałem gmail.com. Nie uruchomiłem żadnego innego programu, z wyjątkiem kilku okien eksploratora.

Wtedy zauważyłem, że wyskoczyło okno (nie było to okienko wyskakujące). Miał ikonę folderu eksploratora i zamiast zawartości folderu eksploratora pokazywał stronę hotmail, z zalogowanym użytkownikiem o nazwie „Homer Stinson”. Pasek tytułowy był pusty i nie było pasków narzędzi. Zapytałem klienta, czy to był jego identyfikator e-mail, a on powiedział, że nie. Otworzyłem menedżera zadań, który nie wyświetlał tego okna eksploratora w zakładce Aplikacja. Wróciłem do okna „nieuczciwego” i odkryłem, że strona ustawień usługi Hotmail jest teraz otwarta, która później zmieniła się na stronę profilu edycji usługi Hotmail dla tego samego użytkownika. Niczego nie klikałem. Nagle okno się zamknęło.

Sprawdziłem lokalizacje autorun, uruchomiłem skanowanie Malwarebytes Anti Malware, które dało stosunkowo czysty wynik. System miał również zaktualizowaną instalację systemu AVG.

Nie chcę rozwiązania tego problemu z wirusem (?) . Zapytałem o to tutaj, ponieważ chciałem wiedzieć, czy ktoś spotkał coś podobnego. Jakie to może być złośliwe oprogramowanie?

Użytkownik nie widział wcześniej podobnego okna i powinienem był zrobić zrzuty ekranu.

(PS: Homer Stinson to wymyślona nazwa. Szukałem prawdziwej nazwy z odpowiednimi słowami kluczowymi, ale nie mogłem znaleźć postu na temat wirusów / złośliwego oprogramowania).

AKTUALIZACJA:

Kiedy później sprawdziłem komputer, wyskoczył błąd DEP, który ponownie uruchomił komputer. dep

(okno dialogowe błędu dep, obrazy dzięki uprzejmości google)

AKTUALIZACJA 2:

Następnego dnia znalazłem to samo dziwne okno rejestracji e-maila, wiele razy, za każdym razem rejestrując identyfikator e-maila w AOL, Hotmail lub Yahoo (domyślam się, ponieważ nie było paska adresu). Jeden taki zrzut ekranu jest załączony.

dziwna rejestracja e-mail

Mógłbym wchodzić w interakcje ze stroną, na przykład klikać linki i wprowadzać tekst. Próbowałem wprowadzić tekst, gdy inny „użytkownik” pisał lub przeniósł kontrolę do normalnego pola tekstowego, gdy inny „użytkownik” wpisywał hasło (hasło, które widziałem, to losowe znaki). Tymczasem drugi „użytkownik” kontynuował rejestrację, chociaż nie zauważyłem, że „użytkownik” wypełnia captcha, więc nie mogę powiedzieć, czy „inny” był prawdziwą osobą, czy botem.

Uruchomiłem skanowanie AVG, Malwarebytes i Spybot i dostałem trochę adware, błędy rejestru i błędy przekierowania pliku Hosts. Malwarebytes nie mógł naprawić problemu z plikiem hosts. Sprawdziłem ręcznie plik hostów i znalazłem go w porządku (zawierał domyślne komentarze i 127.0. 0,1 linii.) Malwarebytes nadal wyświetlał ten sam błąd przekierowania pliku hostów podczas ponownego skanowania.

Mogłem rozwiązać problem DEP, dodając przełącznik AlwaysOff do wiersza uruchamiania systemu, ale okna rejestracji e-mail martwiły mnie.

Uruchomiłem aktywne porty i okazało się, że explorer.exe rozmawia ze zdalnym ip. Zrzut ekranu następuje.

aktywne porty explorer.exe rozmawiają ze zdalnym Yahoo IP

Nawet po zabiciu explorer.exe i zrestartowaniu go nadal łączyłby się ze zdalnym ips, z których wszystkie rozwiązały się na .mail. .yahoo. * nazwy domen.

Pamiętam również, że Zapora systemu Windows / usługa ICS została wyłączona i nie chce się uruchomić.

Ponieważ komputer miał kopię zapasową dokumentów, przystąpiłem do ponownej instalacji systemu operacyjnego, ale chciałbym wiedzieć, z jakim złośliwym oprogramowaniem mam do czynienia?

Czy ktoś napotkał podobny problem? Wszelkie informacje będą mile widziane.

PS: Prosimy o edycję pytania w celu zachowania przejrzystości.


Wydaje mi się, że jest to zestaw root z wbudowanym backdoorem, szczególnie jeśli skanowanie jest dość czyste.
Natalie Adams

Odpowiedzi:


3

Więcej informacji na ten adres pop1 http://www.robtex.com/dns/pop1.plus.mail.vip.sp2.yahoo.com.html

Tak, to wirus winlogon.exe

Nie ma potrzeby ponownej instalacji.

Postępuj zgodnie z kolejnością podaną poniżej, aby prawidłowo zdezynfekować komputer

1.) Utwórz bootowalny dysk AV, a następnie uruchom komputer z dysku i zeskanuj dysk twardy, usuń wszelkie znalezione infekcje, wolę sam dysk Kaspersky. Nowy dysk Kaspersky 2010 może aktualizować pliki danych AV, jeśli podczas skanowania masz połączenie z Internetem i zaleca się aktualizację przed skanowaniem.

http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

2.) Następnie: Zainstaluj bezpłatny MBAM, uruchom program i przejdź do karty Aktualizacja i zaktualizuj go, a następnie przejdź do karty Skaner i wykonaj szybkie skanowanie, zaznacz i usuń wszystko, co znajdzie.

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3.) Po zakończeniu MBAM zainstaluj bezpłatną wersję SAS, uruchom szybkie skanowanie, usuń to, co automatycznie wybierze. http://www.superantispyware.com/download.html

Te ostatnie 2 nie są oprogramowaniem AV, takim jak Norton, są skanerami na żądanie, które skanują tylko w poszukiwaniu złośliwych programów podczas uruchamiania programu i nie będą zakłócały zainstalowanego oprogramowania AV. Można je uruchamiać raz dziennie lub tygodniowo, aby zapewnić, że nie zostaniesz zainfekowany. Pamiętaj o ich aktualizacji przed każdym codziennym skanowaniem co tydzień.

.


Ładna szczegółowa odpowiedź. Dobre rozwiązanie dla każdego, kto ma podobny problem. Nie będę jednak mógł sprawdzić, czy to działa. Czy „wyskakujące okno rejestracji e-mail” zostało zgłoszone gdzie indziej?
abel

Nie mogę tego znaleźć, ale na wolności jest tyle rzeczy.
Moab

Przeczytaj ten post, na pewno jesteś zarażony i jesteś narażony na inne sposoby ... forums.malwarebytes.org/…
Moab

Witryna MBAM jest teraz niedostępna, powiedzieli, że program explorer.exe jest zagrożony, powinieneś wyczyścić i ponownie zainstalować w czystości, dostać się do bezpiecznego komputera i zmienić Wszystkie hasła w innych witrynach, z których korzystasz, klucz zarejestrował wszystko, co zrobiłeś, zrób to natychmiast .
Moab

zdecydowałem się na czystą instalację, ale nie sformatowałem dysku. Byłem zaintrygowany, ponieważ myślałem, że może to być bot rejestrujący identyfikator e-maila, który czeka, aż wejdę do captcha. lub może to być to, że obserwuję kogoś innego, autentycznie rejestrującego identyfikator e-maila (mniej prawdopodobne). Niepokojące.
abel

1

Czy masz zainstalowane oprogramowanie do zdalnego zarządzania, takie jak LogMeIn? Jeśli jest to komputer firmowy, powinieneś porozmawiać o tym z działem IT i dowiedzieć się, co oni robią.


Nie, LogMein nie jest zainstalowany.
abel

Używamy oprogramowania do zdalnego zarządzania do zarządzania i rozwiązywania problemów z systemami, ale domyślnie nie ma żadnego uruchomionego w żadnym systemie. Sesja zdalna jest konfigurowana w razie potrzeby. Wyskakujące okna rejestracji wiadomości e-mail pogrupowały się wśród innych okien eksploratora, jak pokazano na zrzucie ekranu. Oprogramowanie do zdalnego zarządzania nie było wówczas uruchomione. Ponadto rejestrowane identyfikatory e-mail miały dziwne nazwy i adresy.
abel

Zwrócę uwagę przyszłym czytelnikom, że LogMeIn nie jest jedynym oprogramowaniem, które umożliwi takie zdalne zarządzanie; Znam co najmniej jeden inny pakiet oprogramowania, który to umożliwi: Kaseya. Jednak drugi komentarz dotyczył tego, o co mi chodziło, to znaczy czegoś, co pozwoli zdalnym użytkownikom przejąć kontrolę nad komputerem bez faktycznego siedzenia przy konsoli.
Kevin M

1

Praca detektywistyczna :

  • W Stanach Zjednoczonych jest co najmniej 6 osób o nazwisku „Homer Stinson”. To może być prawdziwe imię.
  • Dziwne okno e-mail to Rejestracja AOL WebMail , więc wirus właśnie tworzy nowe konto AOL WebMail.
  • Serwer pop1.plus.mail.vip.sp2.yahoo.comto Yahoo! serwer poczty elektronicznej. Wirus prawdopodobnie robi to samo tam.

Wirus może tworzyć nowe konta do spamowania lub brutalnie próbować wykryć nazwy istniejących kont. Jest to prawdopodobnie część robota spamującego.

Z faktu, że masz tak wiele symptomów, zgaduję, że twój wirus jest w rzeczywistości trojanem i mógł zabrać ze sobą „przyjaciół”. Słyszałem o przypadkach, w których zainstalowano dziesiątki wirusów z powodu pojedynczej infekcji trojanem.

Komputer może być teraz tak mocno zainfekowany, że znalezienie miejsca rozpoczęcia infekcji może być prawie niemożliwe. Jeśli nadal jesteś ciekawy, możesz skorzystać z kilku internetowych usług antywirusowych , aby przeskanować komputer, tworząc listę wszystkich znalezionych wirusów. Pobierz także kilka rozruchowych płyt CD znanych produktów antywirusowych i uruchom je poza systemem Windows. Aby wyczyścić, użyj również Spybot S&D i Lavasoft Ad-Aware.

Jedynym rozwiązaniem jest sformatowanie wszystkich dysków twardych i ponowna instalacja systemu Windows. Nie można odzyskać tego komputera. Twój wysiłek w celu wyśledzenia wirusa może nie być wart spędzonego czasu.


Wymyśliłem nazwisko Homera Stinsona (od 2 śmiesznych imion telewizyjnych), aby „chronić” tożsamość „innej” osoby, która, jak sądzę, miała niewielką szansę na bycie prawdziwą osobą. Wyskakujące okno zgrupowało się z innymi oknami eksploratora (patrz pasek zadań na zrzucie ekranu), a ponieważ wyświetlało strony rejestracji e-mail (w tym yahoo), pokazało się w aktywnych portach jako rozmowa z tym zdalnym ip. Muszę jednak sprawdzić, czy to prawda.
abel

IP Yahoo został przeniesiony do domeny pop, co oznaczało, że explorer.exe próbował pobrać wiadomości e-mail z Yahoo. Co oznacza również udaną rejestrację, co oznacza, że ​​ktoś wpisał captcha, co oznacza, że ​​z pewnością nie był to tylko bot (najprawdopodobniej bot plus człowiek dla captcha). Pamiętam też, że widziałem, jak zmieniają szczegóły profilu, co oznacza również udaną rejestrację.
abel

więc może to być bot + człowiek ustawiający identyfikatory. lub może to być ktoś rejestrujący prawdziwy identyfikator, ale w tym drugim przypadku, dlaczego mógłbym je zobaczyć, a ponieważ explorer.exe rozmawiał bezpośrednio z ip Yahoo, oznaczało to, że najprawdopodobniej nie patrzyłem na zdalne okno. ale ponieważ ktoś wpisywał captcha (zgodnie z rozumowaniem, ale nie pamiętam, że obserwowałem), ktoś mógł zobaczyć mój komputer.
abel

Bot może również wpisać captcha, który jest tylko obrazem o znanych atrybutach, takich jak nazwa, rozmiar i inne. Haker mógłby zbudować bazę takich danych. Ponadto niektóre boty używają OCR. Nie wierzę w tezę bota + o ludziach jako zbyt skomplikowaną konfigurację.
harrymc

1

Nie sądzę technicznie, że odpowiedź na pytanie była taka, jak chcesz. To po prostu było trochę złośliwego oprogramowania typu botnet. Botnet to grupa komputerów zainfekowanych złośliwym oprogramowaniem, które współpracują ze sobą w celu wykonania określonego zadania, złośliwego lub innego. To, co robił ten kod, a właściwie osoba, wykorzystywało komputer jako legalny front do tworzenia masowych kont na różnych stronach internetowych. Najprawdopodobniej ten, kto kontrolował botnet, miał dla niego więcej niż tylko komputer. Jeśli nie była to umowa typu botnet, to po prostu ktoś używał tego komputera jako swego rodzaju proxy, aby ukryć to, co robił, i sprawić, by utworzone konta wyglądały na legalne. Samo szkodliwe oprogramowanie jest naprawdę bardzo proste. Użył jakiegoś oszustwa phishingowego, aby przenieść oprogramowanie na komputer, a oprogramowanie zostało skonfigurowane tak, aby komputer nie mógł go zobaczyć ani nic z tym zrobić. Wyskakujące okno było w zasadzie tour de force, spójrz na mnie, zobacz, co mogę zrobić. nic z tego nie było w rzeczywistości konieczne dla tego typu rzeczy.


trochę tour de force. żaden wirus z szacunkiem do samego siebie nie popisałby się. właśnie dlatego pomyślałem o użyteczności pokazania okna użytkownikowi. Czy twórcy szkodliwego oprogramowania oczekiwali od użytkownika wpisania captcha?
abel

ponieważ nie zapisałem żadnych dzienników, nie oczekuję konkretnej odpowiedzi na moje pytanie, na przykład, że wirus był Win32.Backdoor.AOL, ale oczekuję ogólnej kategoryzacji wirusa, jego częstotliwość na wolności i chcę usłyszeć ludzie, którzy doświadczyli czegoś podobnego.
abel
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.