病毒/惡意軟體:資源管理器視窗中有奇怪的使用者登入 Hotmail

病毒/惡意軟體:資源管理器視窗中有奇怪的使用者登入 Hotmail

可能的重複:
如果我的電腦感染了病毒或惡意軟體該怎麼辦?

我正在調查一台電腦,該電腦的用戶抱怨他無法連接到互聯網,電腦正在經歷隨機重新啟動。

PC運行WinXP SP3。經過檢查,我發現無線零配置服務已停止。我啟用了該功能並且互聯網重新打開(電腦透過 wifi 連線)。然後我啟動 Firefox 並瀏覽到 gmail.com。除了幾個資源管理器視窗之外,我沒有啟動任何其他程式。

就在那時我注意到彈出了一個視窗(它不是彈出視窗)。它有資源管理器資料夾圖標,而不是資源管理器資料夾內容,而是顯示一個 hotmail 頁面,其中有一個名為「Homer Stinson」的使用者登入。我問客戶這是否是他的電子郵件 ID,他說不是。我打開任務管理器,它的“應用程式”標籤中沒有顯示此資源管理器視窗。我切換回“流氓”窗口,發現 hotmail 設定頁面現在已打開,後來又更改為同一用戶的 hotmail 編輯個人資料頁面。我沒有點擊任何東西。然後窗戶突然關上了。

我檢查了自動運行位置,啟動了 Malwarebytes Anti Malware 掃描,得到了相對乾淨的結果。該系統還更新了 AVG 安裝。

我不想要這個病毒(?)問題的解決方案。我在這裡問這個是因為我想知道是否有人遇到類似的事情。這可能是什麼類型的惡意軟體?

用戶以前沒有見過類似的窗口,我應該截圖。

(PS:Homer Stinson 是一個虛構的名字。我用一些相關關鍵字搜尋了另一個真實姓名,但找不到病毒/惡意軟體討論貼文。)

更新:

當我稍後檢查電腦時,彈出了 DEP 錯誤,導致電腦重新啟動。 部門

(dep 錯誤對話框,由 Google 圖片提供)

更新2:

第二天,我多次發現同樣奇怪的電子郵件註冊窗口,每次都在 AOL、Hotmail 或 Yahoo 上註冊一個電子郵件 ID(我的猜測,因為沒有網址列)。附上一張這樣的螢幕截圖。

奇怪的電子郵件註冊

我可以與該頁面進行交互,例如單擊連結和輸入文字。當另一個「使用者」在密碼欄位中輸入時(我看到的密碼是隨機字元),我嘗試在另一個「使用者」輸入時輸入一些文字並將控制權移到普通文字方塊。同時,另一個「用戶」繼續註冊,儘管我沒有註意到「用戶」填寫了驗證碼,所以我無法判斷「另一個」是真人還是機器人。

我運行了AVG、Malwarebytes 和Spybot 掃描,發現了一些廣告軟體、註冊表錯誤和Hosts 文件重定向錯誤。 .0.1)。

我可以透過將 AlwaysOff 開關新增至系統啟動行來解決 DEP 問題,但電子郵件註冊視窗讓我擔心。

我運行活動端口,發現 explorer.exe 正在與遠端 IP 通訊。截圖如下。

活動連接埠 explorer.exe 與遠端 yahoo IP 通信

即使在殺死explorer.exe並重新啟動它後,它仍然會連接到遠端ip,所有這些都解決了.yahoo.* 域名。

我還記得 Windows 防火牆/ICS 服務已停用並且無法啟動。

由於電腦有文件備份,我繼續重新安裝作業系統,但是我想知道我面臨什麼樣的惡意軟體?

有人遇到類似的問題嗎?任何資訊將不勝感激。

PS:為了清楚起見,請隨意編輯問題。

答案1

有關 pop1 地址的更多信息 http://www.robtex.com/dns/pop1.plus.mail.vip.sp2.yahoo.com.html

是的,它是 winlogon.exe 病毒

無需重新安裝。

請按照下面給出的順序正確消毒您的電腦

1.) 製作一張啟動 AV 光碟,然後從該光碟啟動並掃描硬碟,刪除它發現的任何感染,我自己更喜歡卡巴斯基光碟。如果您在掃描時連接到互聯網,新的 2010 卡巴斯基光碟可以更新 AV dat 文件,建議在掃描之前更新。

http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

2.) 然後:安裝免費的 MBAM,運行程式並轉到「更新」標籤並更新它,然後轉到「掃描器」標籤並進行快速掃描,選擇並刪除它找到的任何內容。

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3.) 當 MBAM 完成安裝 SAS 免費版本後,執行快速掃描,刪除它自動選擇的內容。 http://www.superantispyware.com/download.html

最後兩個不是像諾頓這樣的防毒軟體,它們是按需掃描儀,僅在您運行程式時掃描討厭的內容,不會幹擾您安裝的防毒軟體,這些可以每天或每週運行一次,以確保您不被感染。請確保在每次每日每週掃描之前更新它們。

答案2

您是否安裝了LogMeIn等遠端管理軟體?如果這是公司計算機,那麼您應該與 IT 部門討論並了解他們的用途。

答案3

偵探工作:

  • 至少有6人在美國的名字是「Homer Stinson」。所以這可能是個真實的名字。
  • 奇怪的電子郵件視窗是AOL 網路郵件註冊,因此病毒正在建立新的 AOL WebMail 帳戶。
  • 伺服器pop1.plus.mail.vip.sp2.yahoo.com是雅虎!郵件伺服器。那裡的病毒可能也在做同樣的事情。

該病毒可能會建立新帳戶來發送垃圾郵件,或嘗試透過暴力方式偵測現有帳戶的名稱。它可能是某些垃圾郵件機器人的一部分。

從你有這麼多症狀的事實來看,我猜測你的病毒實際上是一個木馬,並且可能帶來了一些「朋友」。我聽說過因為一個木馬感染而安裝了幾十個病毒的案例。

到目前為止,電腦可能已經受到嚴重感染,以至於幾乎不可能找出感染是從哪裡開始的。如果您仍然好奇,您可以使用其中的幾個在線防毒掃描計算機的服務,列出所有發現的病毒。也下載一些已知防毒產品的啟動 CD 並從 Windows 外部運行它們。為了一網打盡,也可以使用 Spybot S&D 和 Lavasoft Ad-Aware。

唯一的解決辦法是格式化所有硬碟並重新安裝Windows。這台計算機無法恢復。您為追蹤病毒所做的努力可能不值得您花時間。

答案4

從技術上講,我不相信這個問題得到了你想要的答案。很簡單,這就是一些殭屍網路惡意軟體。殭屍網路是一組感染惡意軟體的計算機,它們協同工作來完成某些任務,無論是惡意的還是其他的。該程式碼正在做的事情,或者很可能是人們做的事情,是使用電腦作為合法的幌子在各種網站上創建大量帳戶。最有可能的是,無論誰控制了殭屍網絡,為他工作的不僅僅是那台電腦。如果這不是殭屍網路類型的交易,那麼很簡單,有人使用該電腦作為代理,以隱藏他正在做的事情,並使這些創建的帳戶看起來合法。惡意軟體本身其實非常簡單。他使用某種網路釣魚騙局將該軟體安裝到電腦上,而該軟體的設定是為了防止 PC 看到它或對其執行任何操作。彈出的視窗基本上是一個傑作,看看我,看看我能做什麼。對於這類事情來說,這些其實都不是必要的。

相關內容