Возможный дубликат:
Что делать, если мой компьютер заражен вирусом или вредоносным ПО?
Я разбирал ПК, пользователь которого жаловался на то, что не может подключиться к Интернету и что ПК периодически перезагружается.
На ПК установлена WinXP SP3. При осмотре я обнаружил, что служба Wireless Zero Configuration остановлена. Я включил ее, и интернет снова появился (ПК подключился через Wi-Fi). Затем я запустил Firefox и зашел на gmail.com. Я не запускал никаких других программ, за исключением нескольких окон проводника.
Именно тогда я заметил, что появилось окно (это было не всплывающее окно). На нем был значок папки проводника, а вместо содержимого папки проводника отображалась страница hotmail с вошедшим в систему пользователем по имени «Гомер Стинсон». Заголовок окна был пуст, и не было панелей инструментов. Я спросил клиента, его ли это идентификатор электронной почты, на что он ответил, что нет. Я открыл диспетчер задач, который не отображал это окно проводника на вкладке «Приложение». Я переключился обратно на «мошенническое» окно и обнаружил, что теперь открыта страница настроек hotmail, которая позже изменилась на страницу редактирования профиля hotmail для того же пользователя. Я ничего не нажимал. Затем окно внезапно закрылось.
Я проверил места автозапуска, запустил сканирование Malwarebytes Anti Malware, которое дало относительно чистый результат. В системе также была обновленная установка AVG.
Мне не нужно решение этой проблемы с вирусом(?). Я спросил это здесь, потому что хотел узнать, сталкивался ли кто-нибудь с чем-то подобным. Что это за вредоносное ПО?
Пользователь раньше не видел подобного окна, и мне следовало сделать скриншоты.
(P.S.: Гомер Стинсон — вымышленное имя. Я искал другое настоящее имя по некоторым релевантным ключевым словам, но не смог найти пост с обсуждением вирусов/вредоносных программ.)
ОБНОВЛЯТЬ:
Когда я позже проверил ПК, выскочила ошибка DEP, которая привела к закрытию и перезагрузке ПК.
(диалоговое окно с сообщением об ошибке, предоставлено Google Images)
ОБНОВЛЕНИЕ 2:
На следующий день я обнаружил то же странное окно регистрации электронной почты, несколько раз, каждый раз регистрируя идентификатор электронной почты на AOL, Hotmail или Yahoo (я предполагаю, так как адресной строки не было). Один такой скриншот прилагается.
Я мог взаимодействовать со страницей, например, нажимать на ссылки и вводить текст. Я попытался ввести какой-то текст, когда другой «пользователь» печатал, и переместил управление в обычное текстовое поле, когда другой «пользователь» печатал в поле пароля (пароль, который я видел, состоял из случайных символов). Другой «пользователь» тем временем продолжил регистрацию, хотя я не заметил, как «пользователь» заполнил капчу, и поэтому я не могу сказать, был ли «другой» реальным человеком или ботом.
Я запустил сканирование AVG, Malwarebytes и Spybot и обнаружил несколько ошибок рекламного ПО, реестра и перенаправления файла Hosts. Malwarebytes не смог исправить проблему с файлом Hosts. Я проверил файл Hosts вручную и обнаружил, что с ним все в порядке (он содержал комментарии по умолчанию и строку 127.0.0.1). Malwarebytes по-прежнему выдавал ту же ошибку перенаправления файла Hosts при повторном сканировании.
Я мог бы решить проблему DEP, добавив переключатель AlwaysOff в строку «Запуск системы», но меня беспокоили окна регистрации электронной почты.
Я запустил активные порты и обнаружил, что explorer.exe обращается к удаленному ip. Скриншот ниже.
Даже после завершения explorer.exe и его перезапуска он все равно подключался к удаленным IP-адресам, и все они разрешались.почта.Доменные имена .yahoo.*.
Я также помню, что служба брандмауэра Windows/ICS была отключена и не запускалась.
Поскольку на компьютере была резервная копия документов, я приступил к переустановке ОС, однако мне хотелось бы узнать, с каким типом вредоносного ПО я столкнулся?
Кто-нибудь сталкивался с подобной проблемой? Любая информация будет оценена по достоинству.
PS: Пожалуйста, не стесняйтесь редактировать вопрос для ясности.
решение1
Дополнительная информация об адресе pop1 http://www.robtex.com/dns/pop1.plus.mail.vip.sp2.yahoo.com.html
Да, это вирус winlogon.exe.
Переустановка не требуется.
Чтобы правильно продезинфицировать ваш ПК, следуйте приведенному ниже порядку.
1.) Создайте загрузочный AV-диск, затем загрузитесь с диска и просканируйте жесткий диск, удалите все обнаруженные им инфекции, я сам предпочитаю диск Касперского. Новый диск Касперского 2010 года может обновить файлы AV dat, если вы подключены к Интернету во время сканирования, и предлагается обновиться перед сканированием.
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
2.) Затем: установите бесплатную версию MBAM, запустите программу, перейдите на вкладку «Обновление» и обновите ее, затем перейдите на вкладку «Сканер» и выполните быстрое сканирование, выберите и удалите все, что программа найдет.
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3.) После завершения работы MBAM установите бесплатную версию SAS, запустите быстрое сканирование и удалите то, что программа автоматически выберет. http://www.superantispyware.com/download.html
Последние 2 не являются антивирусными программами, как Norton, это сканеры по требованию, которые сканируют только на наличие вредоносных программ, когда вы запускаете программу, и не будут мешать вашему установленному антивирусу, их можно запускать раз в день или неделю, чтобы убедиться, что вы не заражены. Обязательно обновляйте их перед каждым ежедневным-еженедельным сканированием.
.
решение2
Установлено ли у вас какое-либо программное обеспечение для удаленного управления, например LogMeIn? Если это компьютер компании, то вам следует поговорить об этом с вашим ИТ-отделом и узнать, чем они занимаются.
решение3
Детективная работа:
- Есть по крайней мере6 человекс именем "Гомер Стинсон" в Соединенных Штатах. Так что это может быть настоящее имя.
- Странное окно электронной почты — этоПодписаться на AOL WebMail, поэтому вирус находится в процессе создания новой учетной записи AOL WebMail.
- Сервер
pop1.plus.mail.vip.sp2.yahoo.com— почтовый сервер Yahoo!. Вероятно, вирус делает там то же самое.
Вирус может создавать новые аккаунты для спама или пытаться методом грубой силы определить имена существующих аккаунтов. Вероятно, это часть какого-то спам-бота.
Из того факта, что у вас так много симптомов, я бы предположил, что ваш вирус на самом деле является трояном, и, возможно, принес с собой несколько "друзей". Я слышал о случаях, когда десятки вирусов были установлены из-за одной троянской инфекции.
Компьютер может быть настолько сильно заражен к настоящему моменту, что будет почти невозможно узнать, где началось заражение. Если вам все еще любопытно, вы можете использовать несколько изонлайн антивирусслужбы для сканирования компьютера, создавая список всех найденных вирусов. Загрузите также несколько загрузочных CD известных антивирусных продуктов и запустите их извне Windows. Для полной очистки используйте также Spybot S&D и Lavasoft Ad-Aware.
Единственное решение — отформатировать все жесткие диски и переустановить Windows. Этот компьютер не подлежит восстановлению. Ваши усилия по отслеживанию вируса могут не стоить потраченного времени.
решение4
Я технически не верю, что на вопрос был дан ответ, как вы хотели. Это было, попросту говоря, немного вредоносного ПО ботнета. Ботнет — это группа компьютеров, зараженных вредоносным ПО, которые работают вместе для выполнения какой-то задачи, будь то вредоносной или иной. То, что делал этот код, или, вполне возможно, человек, использовал компьютер в качестве законного прикрытия для создания большого количества учетных записей на различных веб-сайтах. Скорее всего, тот, кто контролировал ботнет, имел в своем распоряжении нечто большее, чем просто этот компьютер. Если это не было сделкой типа ботнета, то у вас просто был какой-то парень, использующий этот компьютер в качестве своего рода прокси-сервера, чтобы скрыть то, что он делал, и заставить эти созданные учетные записи выглядеть законными. Само вредоносное ПО на самом деле довольно простое. Он использовал своего рода фишинговую аферу, чтобы загрузить программное обеспечение на компьютер, и программное обеспечение было настроено так, чтобы ПК не видел его или не делал с ним ничего. Окно, которое появилось, было по сути демонстрацией силы: посмотрите на меня, посмотрите, что я могу сделать. Ничего из этого на самом деле не было необходимо для такого рода вещей.