3

Возможный дубликат:
Что делать, если мой компьютер заражен вирусом или вредоносным ПО?

Я смотрел на компьютер, пользователь которого жаловался на то, что он не может подключиться к Интернету и что на компьютере происходят случайные перезагрузки.

ПК работает под управлением WinXP SP3. При проверке я обнаружил, что служба Wireless Zero Configuration была остановлена. Я включил это, и Интернет был снова включен (ПК подключен через Wi-Fi). Затем я запустил Firefox и зашел на сайт gmail.com. Я не запускал никаких других программ, кроме нескольких окон проводника.

Тогда я заметил, что всплыло окно (это не было всплывающее окно). На нем был значок папки обозревателя, а вместо содержимого папки обозревателя отображалась страница "Hotmail" с зарегистрированным пользователем "Гомер Стинсон". Заголовок был пуст и не было панелей инструментов. Я спросил клиента, было ли это его идентификатором электронной почты, и он ответил, что это не так. Я открыл диспетчер задач, который не отображал это окно обозревателя на вкладке "Приложение". Я переключился обратно в окно "мошенник" и обнаружил, что страница настроек Hotmail теперь открыта, которая позже изменилась на страницу профиля редактирования Hotmail для того же пользователя. Я ничего не нажимал. Затем вдруг окно закрылось.

Я проверил места автозапуска, запустил сканирование Malwarebytes Anti Malware, которое дало относительно чистый результат. Система также имела обновленную установку AVG.

Я не хочу решение для этого вируса (?) проблема Я спросил это здесь, потому что я хотел знать, сталкивался ли кто-нибудь с чем-то подобным. Что это за вредоносное ПО?

Пользователь не видел подобное окно раньше, и я должен был сделать скриншоты.

(PS: Гомер Стинсон - это воображаемое имя. Я искал другое настоящее имя с некоторыми релевантными ключевыми словами, но не смог найти пост для обсуждения вирусов и вредоносных программ.)

ОБНОВИТЬ:

Когда я позже проверил ПК, возникла ошибка DEP, которая перезагружала ПК. отд

(диалоговое окно ошибки, любезно предоставленные изображения Google)

ОБНОВЛЕНИЕ 2:

На следующий день я обнаружил одно и то же странное окно регистрации электронной почты, несколько раз, каждый раз регистрируя идентификатор электронной почты в AOL, Hotmail или Yahoo (думаю, поскольку адресной строки не было). Один такой скриншот прилагается.

странная регистрация по электронной почте

Я мог бы взаимодействовать со страницей, например, нажимать на ссылки и вводить текст. Я попытался ввести какой-то текст, когда другой «пользователь» печатал nad, переместил управление в обычное текстовое поле, когда другой «пользователь» печатал в поле пароля (пароль, который я видел, был случайными символами). Тем временем другой «пользователь» продолжил регистрацию, хотя я не заметил, что «пользователь» заполняет капчу, и поэтому я не могу сказать, был ли «другой» реальным человеком или ботом.

Я запустил сканирование AVG, Malwarebytes и Spybot и получил рекламное ПО, ошибки реестра и ошибки перенаправления файла Hosts.Malwarebytes не может решить проблему с файлом hosts.Я проверил файл hosts вручную и нашел, что он в порядке (он содержал комментарии по умолчанию и строку 127.0.0.1.) Malwarebytes по-прежнему выдавал ту же ошибку перенаправления файла hosts при повторном сканировании.

Я мог бы решить проблему DEP, добавив переключатель AlwaysOff в строку «Запуск системы», но окна регистрации электронной почты беспокоили меня.

Я запустил активные порты и обнаружил, что explorer.exe говорил с удаленным IP-адресом. Скриншот следует.

активные порты explorer.exe разговаривают с удаленным Yahoo ip

Даже после убийства explorer.exe и перезапуска он все равно будет подключаться к удаленным ips, все из которых будут преобразованы в .mail..yahoo. * доменные имена.

Я также помню, что служба брандмауэра Windows /ICS была отключена и не запускалась.

Поскольку на ПК была резервная копия документов, я продолжил переустановку операционной системы, однако мне хотелось бы узнать, с какими вредоносными программами я столкнулся?

Кто-нибудь сталкивался с подобной проблемой? Любая информация будет оценена.

PS: Пожалуйста, не стесняйтесь редактировать вопрос для ясности.

4 ответа4

3

Дополнительная информация по адресу pop1 http://www.robtex.com/dns/pop1.plus.mail.vip.sp2.yahoo.com.html.

Да, это вирус winlogon.exe

Не нужно переустанавливать.

Следуйте приведенному ниже порядку, чтобы правильно дезинфицировать ваш компьютер

1.) Сделайте загрузочный AV-диск, затем загрузитесь с диска и сканируйте жесткий диск, удалите все найденные инфекции, я предпочитаю сам диск Касперского. Новый диск Kaspersky 2010 может обновлять файлы AV dat, если вы подключены к Интернету во время сканирования, и предлагается обновить его до сканирования.

http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

2.) Затем: установите бесплатный MBAM, запустите программу и перейдите на вкладку «Обновление» и обновите ее, затем перейдите на вкладку «Сканер» и выполните быстрое сканирование, выберите и удалите все, что найдете.

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3.) Когда MBAM закончится, установите бесплатную версию SAS, запустите быстрое сканирование, удалите то, что оно автоматически выбирает. http://www.superantispyware.com/download.html

Эти последние 2 не являются AV-программами, такими как Norton, они являются сканерами по требованию, которые сканируют только на наличие неприятностей, когда вы запускаете программу, и не мешают работе вашего установленного AV, их можно запускать раз в день или неделю, чтобы убедиться, что вы не заражены. Обязательно обновляйте их перед каждым ежедневным сканированием.

,

1

Детективная работа:

  • В США есть как минимум 6 человек с именем "Гомер Стинсон". Так что это может быть настоящим именем.
  • Странное окно электронной почты - AOL WebMail Sign Up, поэтому вирус находится в процессе создания новой учетной записи AOL WebMail.
  • Сервер pop1.plus.mail.vip.sp2.yahoo.com является Yahoo! почтовый сервер. Вирус, вероятно, тоже делает то же самое.

Вирус может создавать новые учетные записи для спама или пытаться грубой силой обнаружить имена существующих учетных записей. Вероятно, это часть какого-то спам-бота.

Исходя из того, что у вас так много симптомов, я могу предположить, что ваш вирус на самом деле является трояном и, возможно, принес с собой некоторых "друзей". Я слышал о случаях, когда десятки вирусов были установлены из-за одной троянской инфекции.

Компьютер может быть настолько сильно заражен, что может быть почти невозможно определить, где началась инфекция. Если вам все еще интересно, вы можете использовать несколько антивирусных сервисов для сканирования компьютера, создавая список всех найденных вирусов. Загрузите также несколько загрузочных компакт-дисков известных антивирусных продуктов и запустите их из-за пределов Windows. Для полной очистки используйте также Spybot S & D и Lavasoft Ad-Aware.

Единственное решение - отформатировать все жесткие диски и переустановить Windows. Этот компьютер не подлежит восстановлению. Ваши усилия по поиску вируса могут не стоить вашего потраченного времени.

1

У вас установлено какое-либо программное обеспечение для удаленного управления, такое как LogMeIn? Если это компьютер компании, то вам следует поговорить об этом со своим ИТ-отделом и выяснить, что они делают.

1

Я не считаю, что на вопрос ответили так, как вы хотели. Проще говоря, это было немного вредоносного ПО для ботнетов. Ботнет - это группа компьютеров, зараженных вредоносным ПО, которые работают вместе для выполнения какой-либо задачи, будь то вредоносная или иная. То, что делал этот код, или человек, вполне возможно, использовал компьютер в качестве законного фронта для создания большого количества учетных записей на различных веб-сайтах. Скорее всего, тот, кто контролировал ботнет, имел на него больше, чем просто ПК. Если это не была сделка типа ботнета, то у вас просто был какой-то парень, который использовал этот компьютер в качестве прокси-сервера, чтобы скрыть то, что он делал, и чтобы эти созданные учетные записи выглядели законно. Сама вредоносная программа на самом деле довольно проста. Он использовал какое-то фишинговое мошенничество для передачи программного обеспечения на компьютер, и программное обеспечение было настроено таким образом, чтобы компьютер не видел его и не делал с этим ничего. Окно, которое выскочило, было в основном толчком, посмотри на меня, посмотри, что я могу сделать. ничего такого не было на самом деле необходимо для такого рода вещей.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .