Wirus,trojan? Pytanie?

[Wędkarz87]

Panowie i Panie,mam dylemat,mam nadzieję że nie przerodzi się to w problem,mianowicie:

 

Moja dziewczyna zalogowała się na moim komputerze na swoje konto na facebooku na którym dostała wiadomość z linkiem od znajomego któremu ktoś włamał się na jego konto na facebooku. Otworzyła ten link i ściągnęła plik który rzekomo miał być foto albumem. Po ściągnięciu pliku próbowała go otworzyć ale system poprosił o wybranie programu za pomocą którego będzie można otworzyć ściągnięty plik. W tym momencie zapytała się mnie jak to zrobić i powiedziała mi skąd to ściągnęła. No i się zaczęło opier... Oczywiście usunąłem ten plik od razu. Plik był wielkości ponad 1MB w formacie .exe czyli do jego otwarcia nie jest wymagany jakiś dodatkowy program a mimo to komputer prosił o jego wybranie. Przeskanowałem cały komputer łącznie z pamięcią operacyjną programem antywirusowym NOD32 z najnowszymi bazami wirusów i nic nie wykryło.

 

Więc,co mogę jeszcze zrobić żeby sprawdzić i mieć pewność że żaden spyware czy inny trojan nie siedzi mi w komputerze? Martwię się trochę bo używam tego komputera do m.in. przelewów bankowych a wiem że istnieją takie cholerstwa które zapisują każde logowania i później wysyłają je do twórcy takiego robaka.

 

Proszę o rady. System operacyjny to Windows 7 Home Premium,oryginalny.

[saw]

Tak na początek można pokusić się o samodzielną diagnostykę. Uruchomić kompa w trybie awaryjnym z dostępem do sieci, z menu start wpisać CMD następnie w wierszu poleceń wpisać netstat -a

Upewnij się że wszelkie programy mające dostęp do sieci są wyłączone np. gg, przeglądarki, aplikacje update itd.

Na liście adresów wypatrywać podejrzanych adresów sieciowych i portów, które łączą się bez naszego udziału.

 

Tak czy inaczej polecam aplikację SpyBot - Search & Destroy

[Wędkarz87]

Co masz na myśli pisząc podejrzane adresy?

 

Masz tu screena i zerknij co z tego wyszło.

 

http://www.fotosik.pl/pokaz_obrazek/504674134f1f6b0e.html

[saw]

Nie widać nic niepokojącego, czasem trojany są bardziej subtelne i podłączają się też do usług sieciowych niedostępnych w trybie awaryjnym.

 

Przeczytaj tutaj jest to ładnie opisane.

 

http://hackinginception.blogspot.com/2011/11/detecting-and-p reventing-trojans-and.html

 

 

z automatów do szukania robaków i innych syfów polecam SpyBota on powinien wykryć trojana jeśli jest.

[Wędkarz87]

Przeskanowałem,wyszukało jedno zagrożenie z plikiem cookie o nazwie bartek@tradedoubler.com

 

Co Ty na to?

[saw]

tradedoubler to emiter reklam i zbieracz informacji i wizytujących niektóre strony emitujące reklamy, chyba że masz coś wspólnego z firmą tradedoubler i tam się logujesz lub posiadasz jakiś login o nazwie bartek@tradedoubler dot com jeśli spybot może go usunąć to usuń.

[Wędkarz87]

Usunięte.

 

Czyli co dalej? Powinno być w porządku czy jeszcze jakieś działanie podjąć?

[saw]

Obserwuj czy czasem podczas nic nie robienia na kompie nie włącza się napęd dvd czy nie mieli zbyt mocno dysk twardy. A tak przy okazji, jaką nazwę ma plik exe który został pobrany do kompa?

[Wędkarz87]

Nazwa to album.exe

 

Napędu DVD nie mam bo pracuję na netbooku. Czyli lepiej przez jakiś czas nie logować się na konta bankowe i inne ważniejsze konta?

[saw]

Najprawdopodobniej nie jest to trojan a objekt tzw. malware o nazwie Hi który rozsyła poprzez facebook'a wiadomości z linkiem do stron.

 

Prawdopodobnie dlatego spybot tego nie wykrył, spybot nie jest programem antywirusowym. Sprawdź czy na profilu FB są wysłane jakieś dziwne nieznane wiadomości, zainstaluj alternatywnie bezpłatny 30 dniowy kaspersky i przetestuj raz jeszcze.

 

[saw]

Np. zainstalowany Kaspersky blokuje możliwość pobierania tego pliku do komputera, ale czy poradzi sobie z już istniejącym i ewentualnie zainfekowanym tego nie wiem.

[Wędkarz87]

Przeskanowałem też kasperskym i również nic nie wykryło...

 

Na facebooku żadnych wiadomości nie wysyłało do nikogo ani ode mnie ani od mojej dziewczyny.

[Wędkarz87]

Zainstalowałem dziś nowszą wersję NOD32 i wykryło mi zainfekowane pliki które usunąłem,co więcej - cały czas mam na pulpicie okno z błędem i informacją system windows nie moze odnalezc pliku windows defender apps control.exe.

 

Z tego co wyczytałem to trojan,ale nie mam pojęcia jak się tego pozbyć

[Wędkarz87]

Zrobiłem krop po kroku to co opisane jest w ostatnim poście tu:

 

http://www.elektroda.pl/rtvforum/topic1908879.html

 

Okno z błędem zniknęło,jutro powtórzę wszystkie skanowania antywirusem i pozostałymi programami i dam znać czy jeszcze jakieś zakażenie wykryło.

[jamesty]

Jak uda się zahamować atak to dobrze ale jest jeszcze jeden myk żeby to sprawdzić.

Utwórz nowego użytkownika z prawami admina zaloguj się na niego i sprawdź antywirusem. Nie żebym reklamował ale Avast Free w zupełności wystarczy.

Jak będzie dobrze to gites jak nie przekopiuj na nowe konto dwa foldery

C:\Documents and Settings\(wybrać starą nazwę użytkownika)\wszystkie katalogi oprócz USERDATA i COOKIES

Po kopiowaniu uruchom kompa jeszcze raz wejdz na nowe konto i usuń stare konto C:\Documents and Settings\ z tego katalogu.

Jak to nie pomoże to pozostaje tylko kopia zapasowa na inny dysk/pen/nośnik ważnych danych ; format i do przodu. Masz jakieś 4 -5 h roboty no chyba że masz obraz systemu po instalacji sterowników i programów to jakeś 2h

 

Raz kumpel takiego wirusa złapał że nie dało nic zrobić w Windowsie nawet tryb awaryjny zablokowany a na pulpicie wszystko znikło.

Pomógł tylko BT4 czyli BackTrack4 bootowalny (linux) trzeba było wszyskie dane zgrać na nośniki oraz stawiać cały system od nowa.

Jeden wirusek po paru dniach sieczkę zrobił z WIN7.

 

Ja wszystkie ważne dane trzymam na zewnętrznym dysku(2'5cala) oraz niektóre dane z dużym znaczeniem ważne trzymam na Penach.

Mam zrobiony obraz kompa instalacja 2h i wszystko zainstalowane

łącznie z programami/sterownikami/aktualizacjami.Trzymam to na Pen 16gb.

Są programy do tworzenia butowalnych USB z systemem szybciej się instaluje i nie ma problemu że płyta porysowana. Ja używam takiego unetbootin-windows-563

 

[Wędkarz87]

Więc,jak mówiłem tak zrobiłem.

 

Ponownie przeskanowałem całość najpierw antywirusem a następnie krok po kroku to samo co na elektrodzie i nic nie znalazło (dla porównania wczoraj to same skanowania wykryły infekcję i ją usunęły)

Błąd o nazwie system windows nie moze odnalezc pliku windows defender apps control.exe od czasu usunięcia infekcji nie wyskoczył i nic nadzwyczajnego się nie działo.

 

Myślicie że wszystko już w porządku?

 

@jamesty - Również wszystkie ważne dane trzymam na zewnętrznym dysku jako backup,instalowanie Windowsa to też żaden problem,ale sęk w tym że raz - nie mam windowsa 7,był już wgrany na zakupionym netbooku a dwa - nie mogę ingerować w oprogramowanie w czasie trwania gwarancji bo ją utracę