저는 PC를 조사하고 있었는데, 사용자가 인터넷에 연결할 수 없고 PC가 무작위로 다시 시작된다고 불평했습니다.
PC는 WinXP SP3을 실행합니다. 조사 결과 Wireless Zero Configuration 서비스가 중지된 것으로 나타났습니다. 나는 그것을 활성화했고 인터넷이 다시 켜졌습니다(PC는 Wi-Fi를 통해 연결되었습니다). 그런 다음 Firefox를 시작하고 gmail.com을 탐색했습니다. 몇 가지 탐색기 창을 제외하고는 다른 프로그램을 시작하지 않았습니다.
그때 나는 창이 팝업된 것을 발견했습니다(팝업이 아니었습니다). 탐색기 폴더 아이콘이 있었고 탐색기 폴더 내용 대신 "Homer Stinson"이라는 사용자가 로그인한 핫메일 페이지가 표시되었습니다. 제목 표시줄은 비어 있었고 도구 모음도 없었습니다. 나는 고객에게 이것이 그의 이메일 ID인지 물었고 그는 그렇지 않다고 말했습니다. 작업 관리자를 열었는데 응용 프로그램 탭에 이 탐색기 창이 표시되지 않았습니다. 나는 'rogue' 창으로 다시 전환했고 이제 핫메일 설정 페이지가 열려 있는 것을 발견했습니다. 이 페이지는 나중에 동일한 사용자에 대한 핫메일 편집 프로필 페이지로 변경되었습니다. 나는 아무것도 클릭하지 않았습니다. 그러다가 갑자기 창문이 닫혔어요.
자동 실행 위치를 확인하고 Malwarebytes Anti Malware 검사를 실행하여 비교적 깨끗한 결과를 얻었습니다. 시스템에는 AVG가 업데이트되어 설치되어 있습니다.
나는 이 바이러스(?) 문제에 대한 해결책을 원하지 않습니다. 누군가 비슷한 것을 발견했는지 알고 싶어서 여기에 물었습니다. 이것은 어떤 종류의 악성코드일 수 있나요?
사용자는 이전에 비슷한 창을 본 적이 없었으므로 스크린샷을 찍어야 했습니다.
(PS:Homer Stinson은 가상의 이름입니다. 관련 키워드로 다른 실명을 검색했지만 바이러스/악성 프로그램 토론 게시물이 나오지 않았습니다.)
업데이트:
나중에 PC를 확인했을 때 DEP 오류가 나타나 PC를 다시 시작했습니다.
(Dep 오류 대화 상자, 예의 Google 이미지)
업데이트 2:
다음 날, AOL, Hotmail 또는 Yahoo에 이메일 ID를 등록할 때마다 똑같은 이상한 이메일 등록 창이 여러 번 발견되었습니다(주소 표시줄이 없었기 때문에 제 추측입니다). 그러한 스크린샷 중 하나가 첨부되었습니다.
링크를 클릭하고 텍스트를 입력하는 등 페이지와 상호 작용할 수 있었습니다. 다른 '사용자'가 비밀번호 필드에 입력하고 있을 때 다른 '사용자'가 일반 텍스트 상자로 제어권을 이동하고 있을 때 일부 텍스트를 입력하려고 했습니다(내가 본 비밀번호는 임의의 문자였습니다). 그 동안 다른 '사용자'는 등록을 계속했지만 '사용자'가 보안 문자를 채우는 것을 눈치채지 못했기 때문에 '다른 사람'이 실제 사람인지 봇인지 알 수 없습니다.
AVG, Malwarebytes 및 Spybot 스캔을 실행했는데 일부 애드웨어, 레지스트리 오류 및 Hosts 파일 리디렉션 오류가 발생했습니다. Malwarebytes는 호스트 파일 문제를 해결할 수 없었습니다. 호스트 파일을 수동으로 검사한 결과 정상인 것으로 나타났습니다(기본 주석과 127.0.0.0.0이 포함되어 있습니다). 0.1 라인.) Malwarebytes는 다시 검색할 때 여전히 동일한 호스트 파일 리디렉션 오류를 발생시켰습니다.
시스템 시작 줄에 AlwaysOff 스위치를 추가하여 DEP 문제를 해결할 수 있었지만 이메일 등록 창 때문에 걱정이 되었습니다.
활성 포트를 실행했는데 explorer.exe가 원격 IP와 통신하고 있음을 발견했습니다. 스크린샷은 다음과 같습니다.
explorer.exe를 종료하고 다시 시작한 후에도 여전히 원격 IP에 연결되며 모두 다음으로 해결됩니다..우편..yahoo.* 도메인 이름.
또한 Windows 방화벽/ICS 서비스가 비활성화되어 시작되지 않았던 것을 기억합니다.
PC에 문서 백업이 있어서 OS 재설치를 진행했는데 어떤 악성코드인지 알고 싶습니다.
비슷한 문제를 겪은 사람이 있습니까? 어떤 정보라도 감사하겠습니다.
추신: 명확성을 위해 질문을 자유롭게 편집하십시오.
답변1
해당 pop1 주소에 대한 추가 정보 http://www.robtex.com/dns/pop1.plus.mail.vip.sp2.yahoo.com.html
네, winlogon.exe 바이러스입니다
다시 설치할 필요가 없습니다.
PC를 적절하게 소독하려면 아래 순서를 따르십시오.
1.) 부팅 AV 디스크를 만든 다음 디스크에서 부팅하고 하드 드라이브를 검색하고 발견된 감염을 제거합니다. 저는 Kaspersky 디스크를 선호합니다. New 2010 Kaspersky 디스크는 검사 시 인터넷에 연결되어 있는 경우 AV dat 파일을 업데이트할 수 있으며 검사 전에 업데이트하도록 제안됩니다.
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
2.) 그런 다음: 무료 MBAM을 설치하고 프로그램을 실행한 후 업데이트 탭으로 이동하여 업데이트한 다음 스캐너 탭으로 이동하여 빠른 검사를 수행하고 찾은 항목을 선택하여 제거합니다.
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3.) MBAM이 완료되면 SAS 무료 버전을 설치하고 빠른 검사를 실행하고 자동으로 선택되는 항목을 제거합니다. http://www.superantispyware.com/download.html
마지막 2개는 Norton과 같은 AV 소프트웨어가 아니며, 프로그램을 실행할 때 불쾌한 것만 검사하고 설치된 AV를 방해하지 않는 주문형 스캐너입니다. 하루 또는 일주일에 한 번 실행하여 감염되지 않도록 할 수 있습니다. 매일, 매주 검사하기 전에 반드시 업데이트하세요.
.
답변2
LogMeIn과 같은 원격 관리 소프트웨어가 설치되어 있습니까? 이것이 회사 컴퓨터라면 IT 부서에 문의하여 그들이 무엇을 하는지 알아내야 합니다.
답변3
탐정 업무 :
- 적어도 있습니다6명미국에서는 "Homer Stinson"이라는 이름으로. 그러니까 이게 진짜 이름일 수도 있겠네요.
- 이상한 이메일 창은AOL 웹메일 가입, 즉 바이러스가 새로운 AOL 웹메일 계정을 생성하는 중입니다.
- 서버
pop1.plus.mail.vip.sp2.yahoo.com는 야후! 메일 서버. 바이러스는 아마도 그곳에서도 같은 일을 하고 있을 것입니다.
바이러스는 스팸을 보내기 위해 새 계정을 만들거나 무차별 공격을 통해 기존 계정의 이름을 탐지하려고 시도할 수 있습니다. 아마도 스팸 봇의 일부일 것입니다.
증상이 너무 많다는 사실을 보면 바이러스가 실제로 트로이 목마이고 일부 "친구"를 데리고 왔을 수도 있다고 추측할 수 있습니다. 한 번의 트로이 목마 감염으로 인해 수십 개의 바이러스가 설치되는 사례를 들었습니다.
이제 컴퓨터가 너무 심하게 감염되어 감염이 시작된 위치를 찾는 것이 거의 불가능할 수 있습니다. 그래도 궁금하다면 여러 가지 방법을 사용해 보세요.온라인 바이러스 백신컴퓨터를 검사하여 발견된 모든 바이러스 목록을 작성하는 서비스입니다. 또한 알려진 바이러스 백신 제품의 여러 부팅 CD를 다운로드하여 Windows 외부에서 실행하십시오. 깔끔한 청소를 위해서는 Spybot S&D와 Lavasoft Ad-Aware도 사용하세요.
유일한 해결책은 모든 하드 디스크를 포맷하고 Windows를 다시 설치하는 것입니다. 이 컴퓨터는 복구할 수 없습니다. 바이러스를 추적하려는 노력은 시간을 들일 가치가 없을 수도 있습니다.
답변4
나는 기술적으로 질문이 원하는 대로 답변되었다고 믿지 않습니다. 이것은 간단히 말해서 약간의 봇넷 악성 코드였습니다. 봇넷은 악성 코드에 감염된 컴퓨터 그룹으로, 악성이든 아니든 어떤 작업을 수행하기 위해 함께 작동합니다. 해당 코드 또는 사람이 수행한 작업은 컴퓨터를 합법적인 전선으로 사용하여 다양한 웹사이트에서 대량의 계정을 생성한 것입니다. 아마도 봇넷을 통제하는 사람은 그 사람을 위해 일하는 PC 이상의 것을 갖고 있었을 것입니다. 봇넷 유형의 거래가 아니었다면 어떤 사람이 해당 컴퓨터를 일종의 프록시로 사용하여 자신이 하고 있는 일을 숨기고 생성된 계정을 합법적인 것처럼 보이게 만든 것입니다. 악성 코드 자체는 실제로 매우 간단합니다. 그는 일종의 피싱 사기를 사용하여 소프트웨어를 컴퓨터에 설치했으며, 소프트웨어는 PC가 이를 보거나 이에 대해 어떤 조치도 취하지 못하도록 설정되었습니다. 튀어나온 창은 기본적으로 역작이었습니다. 나를 보세요, 내가 무엇을 할 수 있는지 보세요. 이런 종류의 일에는 실제로 그 어느 것도 필요하지 않았습니다.