Guide: Tjek om din computer er inficeret

#1| 40

Da der sikkert er en masse pokerspillere der er nervøse for om deres computere kunne være inficerede med en eller anden form for fjernstyrings software eller Remote Access Trojan er her en lille guide.

Dette er simpel test, hvor du undersøger de netværksforbindelser din computer har etableret. En RAT kan være skjult på et utal af måder og derfor nogle gange ikke fanges af virus og malware scannere. Den har dog behov for at sende og modtage data fra din computer til den eller de personer som har lavet RAT’en. Derfor kan man med et lille værktøj der følger med Windows undersøge om der kører en proces der kunne være en RAT.

Disclaimer: Der er ingen garanti for at denne metode opfanger alle slags RATs. Har du en begrundet mistanke om at din computer kan være inficeret få da en fagkyndig til at undersøge nærmere eller få lavet en komplet formatering af alt på din computer.

Inden du går i gang med er det en ret go idé at have scannet din computer igennem for virus:

Installér og kør en scanning med Malwarebytes, hvis du allerede ikke har. Kontrollér at der er flueben ved ‘Scan for rootkits’ under Settings inden du starter scanning.

Eventuelt kan du også hente og scanne med Norton Power Eraser.

Der kan forekomme at disse scannere giver en del falske positive resultater (især Norton Power Eraser), så brug VirusTotal til at uploade de mistænkelige filer til online scanning. Siger VirusTotal at der er tale om virus har du grund til bekymring.

Trin 1:

Netstat er et lille kommondo-værktøj som viser de netværksforbindelser der kører på din computer. Inden du kører Netstat er det dog vigtigt at du lukker så mange programmer ned som muligt. Du kan undlade at lukke pokernet, men luk andre tabs i din browser. Luk alle kørende programmer som f.eks. anti-virus længst til højre i start-menuen. Din computer skal stadigvæk være forbundet til internettet.

Trin 2:

Kør Netstat i kommandoprompt ved at trykke Start og søg på cmd. Åben cmd.exe.

I kommandoprompt (cmd.exe) skriver du: netstat -ano

Der kommer en liste med alle de netværksforbindelser din computer har etableret og lytter på.

Lad kommondoprompten forblive åben og gå videre til trin 3.

Trin 3:

Tryk CTRL+Shift+ESC på dit tastatur og Windows Jobliste åbnes. Tryk på ‘Vis’ og tryk ‘Vælg Kolonner’. Sæt flueben ved PID og tryk OK.

Tjek at der i bunden af joblisten er sat flueben i 'Vis processer fra alle brugere'



Trin 4:

Nu kommer det komplicerede. I listen fra Netstat finder du de steder, hvor der under ‘Tilstand’ står ‘ESTABLISHED’ eller ‘SYN SENT’. Disse skal du nu krydstjekke med PID fra Joblisten. Hvis du har en proces kørende med tilstand som ‘ESTABLISHED’ eller ‘SYN SENT’ skal du undersøge om det kan være en RAT. Det er højst sandsynlig bare et program du ikke har lukket eller en proces der kører som en del af Windows. Det er IKKE ensbetydende med at du har en RAT.



Klik her for større billede

Hvis der under’ Fjernadresse’ står 127.0.0.1 eller 192.168.X.X for en forbindelse er der henholdsvis tale om en lokal forbindelse eller forbindelse til en anden computer på hjemmenetværket. Disse skal du oftest ikke bekymre dig om. Hvis det derimod er en fjernadresse ala 61.27.3.21 er det en forbindelse du skal være mere opmærksom på og undersøge, da det højst sandsynlig er forbindelse til noget ude på internettet.

Undersøg hvad processen kan være ved at:

- Søg på processens navn på File.net og se hvad den tilhører.

- Højre klik på processen i Joblisten og tryk ‘Åbn Filplacering’. Ligger filen et sted på computeren som ikke giver mening er det værd at undersøge. Eksempelvis hvis en process ligger under Windows/System32, men ikke lader til at være en del af Windows ifølge File.net.

- Upload alle mistænkelige processer til VirusTotal.com

Trin 5:

En RAT kan typisk prøve at gemme sig ved at hedde det samme som en windows proces eller populært program (svchost.exe eller Skype.exe). Tjek derfor eksempelvis fil placeringen af alle svchost.exe processer der kører (højre klik og Åbn Filplacering). Peger de ikke alle på C:\Windows\System32 er det MEGET mistænkeligt og højst sandsynlig en RAT eller virus.

Trin 6:
Skulle det vise sig at du har en RAT eller en eller anden Backdoor virus, er det for kompliceret at forklare i denne guide hvordan den fjernes. Du kan sikkert google dig frem til hvordan det kan fjernes, hvis du kender virussens navn. Jeg ville dog formatere hele skidtet.

Har folk problemer med at tjekke processer kan i poste et screenshot af Joblisten og Netstat sammet og folk kan svare på om det er mistænkeligt.

UPDATE: Her er en vejledning til at hvordan du finder den trojanske hest der menes at være brugt i svanse-sagen

Redigeret af anders d. 13-12-2014 19:06
11-12-2014 19:25 #2| 0

Så god stil med denne guide! Kæmpe thumbs up!

11-12-2014 19:26 #3| 0

Har downloadet programmet "Malwarebytes", som du anbefaler, og resultaterne er følgende:

Malicious items detected: 3

Non-malware items detected: 558


Har jeg grund til bekymring?

11-12-2014 19:30 #4| 0

Hmm. Gætter på, at jeg bør stoppe med at spille på DanskeSpil?


11-12-2014 20:40 #6| 0
OP

#3

Måske og måske ikke. Skriv gerne navnet på de 3 items den siger er malicious. Upload dem evt. på virustotal.com og se hvad den siger

De 558 non-malware er det man kalder Potentially Unwanted Programs, som kan være blevet installeret på diverse måder uden du har været klar over det. Eksempelvis Ask Toolbar som kommer med Java. Højst sandsyndlig ikke farligt. Til gætte på at den finder 558 fordi hver enkelt fil og nølger i registringsdatabasen tæller med.

#4

Ifølge denne side er trojan.agent.AIM en RAT. Inden du går helt i panik er det dog vigtigt at du finder ud af om det kan være en falsk-positiv. Prøv at uploade filen på virustotal.com og post resultatet her.

11-12-2014 21:04 #7| 0

@anders

Nu kom jeg til at slette dem alle, så hvordan finder jeg dem igen, hvis det er nødvendigt? Kan ikke finde filen efter at jeg slettede den, men så nemt er det vel ikke at fjerne en trojan?

Det ser ud til at en malware scanning har hjulpet utrolig meget.
Jeg fulgte din "cmd" guide, og da jeg så resultatet gav jeg op, og besluttede mig for at brande computeren og købe en ny, da tallene var helt sindsyge.
Jeg tror der var 20, hvor der stod "established" ved, og 15+ af dem matchede ikke de positive tal, du har nævnt.

Men efter at have scannet ser den nu sådan ud:





Er "82.96.58.16:443" et skidt tal?

11-12-2014 21:12 #8| 1
www.pnn.dk/artikler/vejledning-saadan-finder-du-den-trojanske-hest/
11-12-2014 21:15 #9| 0

Der findes ikke gode og dårlige tal :) Du bliver nødt til se på, hvilken process, det er. I dette tilfælde ser det ud til, at 82.96.58.16 blot er et website, du besøger internet explorer.

Rigtig god guide!

11-12-2014 21:23 #10| 0
OP

@KasperT

Kan du ikke smide billedet op på f.eks. postimage.org. Billedet bliver for småt her på PN.

Hvis du valgte quarantine i malwarebytes som på billede har malwarebytes kun låst filerne, så kan godt være du kan finde frem til dem og scanne dem på virustotal.

Lige for at klargøre, så er det ikke ensbetydende med at man har virus eller en RAT, at der findes en masse forbindelser der står som ESTABLISHED eller LISTENING. Det er det ret mange programmer der bruger, men når man har lukket så meget som muligt ned, skulle man gerne ikke have noget som man ikke ved hvad er og ikke er en del af Windows.

De 15+ forbindelser du siger der er kunne være programmer du ikke havde fået lukket eller alm. malware som toolbars og ikke nødvendigvis en RAT.

Jeg har dog noget nysgerrig over hvad den fil DanskeSpilPoker.exe er for noget. Har selv danske spil installeret og der ligger ikke noget under den sti på Windows7 for mig.

82.96.58.16:443 er en sikker HTTPS forbindelse. Prøv at køre netstat og vær sikker på alle browsere er lukket.

11-12-2014 21:58 #11| 0

Godt intiativ!

11-12-2014 22:15 #12| 3
KasperT skrev:
Hmm. Gætter på, at jeg bør stoppe med at spille på DanskeSpil?




Dam der røg min ferie næste år :(

NEXT
:P



(Selvfølig joke)
11-12-2014 23:41 #13| 0

KasperT, jeg kunne godt tænke mig at decompilere (dvs. bl.a. se på hvordan .exe'en opfører sig, hvad den laver/kan lave) og tjekke om trojanen er den omtalte i den anden tråd, så hvis du har lyst og såfremt du smed den i Quarantine, kan du så ikke Restore den og uploade den til http://www.filedropper.com/ - du restorer den igen, ved at gå ind under History i toppen af Malware Bytes Anti-Malware.
Derefter scan med MBAM igen og quarantine den igen.

Selvfølgelig kun hvis du har lyst :)

11-12-2014 23:53 #14| 0

Hvad er det her så: PUP.Optional.Softonic
Den står havnet i min regristy key.

11-12-2014 23:58 #15| 0
OP

@MrNoller

PUP står for Potentially Unwanted Programs og er oftest noget crapware der følger med nogle gratis programmer. Det er ikke skadeligt, men fjern det gerne.

11-12-2014 23:58 #16| 0

Nå Anders var hurtigere :)

Det er da aprospos sikkerhed egentlig tankevækkende at DanskeSpil i flere måneder har haft diverse SSL certifikat problemer. Og bare generelt belastende at softwaren installere sig selv i "C:\Programs" istedet for at holde sig i dig rigtige program mapper.

Gal en gang makværk.

Redigeret af HestenTonny d. 12-12-2014 00:09
12-12-2014 00:27 #17| 0
anders skrev:
@MrNoller

PUP står for Potentially Unwanted Programs og er oftest noget crapware der følger med nogle gratis programmer. Det er ikke skadeligt, men fjern det gerne.


Prøver og søge efter det osv.
Kan ikke finde det, men malware kan add exclusions eller karantæne.
12-12-2014 00:48 #18| 0
OP

#17

Ja, bare lad Malwarebytes gøre med det som den vil. Ikke noget du behøver andre løsninger for at få fjernet.

12-12-2014 01:06 #19| 0

Tak for svar :-)

12-12-2014 01:29 #20| 0

Lækker post. Thumbs up!

Måske det er mig der er hel blank (med overvejende sandsynlighed), men jeg synes jeg mangler noget info i trin 3.

Ud af de 8 processer jeg har kørende som "established" ligger der 6 processer, der ikke har et PID match med min jobliste. Hvad betyder det, og hvad kan jeg gøre for at identificere de sidste 6 processer?

12-12-2014 01:42 #21| 0
OP

#20


Det har jeg ikke set før. Kig lige om der i bunden af Joblisten er flueben ved 'Vis processer fra alle brugere'. Ellers ved jeg umiddelbart ikke hvorfor.

Kan du forklare nærmere hvad det er du mener mangler i Trin 3 ? :)

12-12-2014 02:36 #22| 0

@Landsbytossen

Forstår ikke joken, men forklar gerne :D

12-12-2014 02:45 #23| 0

@Anders

Her er billeder af filen fra virustotal:

postimg.org/image/tb0ujtt9f/
postimg.org/image/x2q1mqy8t/
postimg.org/image/od8kwgw5v/


Alle 3 billeder er fra filen "danskespil"

12-12-2014 03:18 #24| 0
OP

Tak Kasper.

Jeg har selv hentet filen og uploaded den nu. Det ligner rigtigt nok at du har eller har haft en backdoor virus.

Du kan læse mere hvad det er for en her og her. Der står også noget om hvordan det kan fjernes men det virker en smule omstændigt. Det bedste er måske er få computeren formateret. Evt. en komplet formatering, hvor du tager hardisken(e) ud og sætter dem i en anden computer og laver en komplet formatering med et program der kan det.

12-12-2014 03:41 #25| 0

@ Anders

Du var spot on!

Og det var som forventet en fejl40. Jeg manglede bare info om hvad det betød hvis processerne ikke havde et match, og det fik jeg så. Tak for det :)

Jeg fandt en enkelt mistænkelig proces, som jeg så uploadede på det der virustotal, men synes ikke rigtig den gav mig et svar. Den sagde bare: "Filen er allerede blevet undersøgt."

Går ud fra det betyder det bare er en standard fil og ikke en virus.

12-12-2014 03:46 #26| 1
OP

#25

Yes, andre har uploaded en identisk fil. Hvis den sagde 'Opdagelses forhold: 0/56' er det som det skal være.

12-12-2014 19:00 #27| 0

Hvis man uploader en fil med 22/56 forhold og den skriver noget med:
Trojan.Win32:generic!BT
Hacktool.win32.downloader.Ahj
Unwanted-program
Trojan.Gen.2

-og en masse andet.

Burde man så være bekymret?
Jeg er bekymret!

12-12-2014 19:42 #29| 0
skod skrev:
@ Anders

Du var spot on!

Og det var som forventet en fejl40. Jeg manglede bare info om hvad det betød hvis processerne ikke havde et match, og det fik jeg så. Tak for det :)

Jeg fandt en enkelt mistænkelig proces, som jeg så uploadede på det der virustotal, men synes ikke rigtig den gav mig et svar. Den sagde bare: "Filen er allerede blevet undersøgt."

Går ud fra det betyder det bare er en standard fil og ikke en virus.


Hvis den siger at den allerede er undersøgt er det fordi en fil md samme SHA256 hash har været uploadet og scannet før, man kan derfor antage at ens scanresultat vil blive det samme. Du kan trykke på "View last analysis" :)
12-12-2014 20:25 #30| 0
OP

#27

Hvad hedder filen?

Kan du give et link til den på virus total?

Var den at finde i Windows Jobliste?

Det kan være en trojan, men også bare være en falsk positiv.

12-12-2014 20:54 #31| 0

Tak for den hurtige hjælp. Jeg har slettet filen og scannet igen, og den er ikke fundet igen.

Jeg har fundet linket i historikken (+en anden skummel fil):

www.virustotal.com/da/file/554f8764dbe20b5483ceadda74547fc7fa72ab92c57ae2926d21341d0707fd8b/analysis/

www.virustotal.com/da/file/4553d99f1f146e2359ceb60987d904bafd24843b71d3e95c358776f3a1d5c6f1/analysis/1418407435/

Jeg har ikke tjekket joblisten endnu - der er utrolig meget!

Jeg burde helt sikkert formatere min computer fuldstændigt. Kan man købe nogen til at gøre det eller finde en guide? Jeg er helt pas.

Redigeret af Acecobar d. 12-12-2014 21:25
12-12-2014 21:56 #32| 0
OP

#31

Jeg ville være ganske rolig.

Nr. 1 er noget crapware fra noget der hedder softtonic. Man risikere og få en masse toolbars og lign. hvis man kører den. Ikke farligt i sig selv.

Nr. 2 er ligner en såkaldt browser hijacker, som ændrer din søgemaskine til Conduit og viser reklamer i din browser(e). Hvis du ikke har noget Conduit skidt i din browser ligenu kan det være et levn fra tidligere hvor du har haft.

Jeg ville bare få dem slettet af malwarebytes og så være mere påpasselig med hvilke sider du besøger og hvilke filer du downloader. Og husk at opdatere Windows og din browser.

12-12-2014 22:35 #33| 0
gyazo.com/b30763877ddee99701eea75907161b9c

Hvad dækker Client (32 bit) over? Skal siges at jeg kører windows 8 i bootcamp.

Synes umiddelbart at det ser fredeligt ud, ud fra din det jeg kan læse mig frem til i din guide :-)

Angående antivirus programmer - Hvad anbefaler du så?
12-12-2014 23:19 #34| 0
OP

@Siggo

Ud fra navnet Client kan jeg ikke sige dig hvad det er. Prøv at højreklik på processen i joblisten og se hvor den ligger placeret. Evt. post stien her.

13-12-2014 17:28 #35| 0

Super arbejde! Det er sgu fedt at du gider.

Mine Pid numre passer med velkendte programmer/processer i joblisten, og derudover har jeg kun established connection med lokale IP addresser.

Dog undrer det mig, at jeg under netstat har flere establisede forbindelser(samme pid) til en proces.
Det gælder både til Chrome og Apple(alt det crap som følger med iTunes - AppleMobileServices.exe, mDNSresponder.exe, iTuneshelper.exe).

Er det normalt :) ?

13-12-2014 18:38 #36| 1
OP

#35

Ja det er ret normalt. En browser åbner forbindelser ret mange steder for at vise sider. iTunes kører en masse i baggrunden for eksempelvis deling af musikbibliotek, forbindelser til airplay enheder mv.

13-12-2014 18:55 #37| 0

Kæmpe thumbs up til OP!

13-12-2014 20:58 #39| 0

Hvis man kører en gang IOS styresystem, hvor kan man så finde PID numrene i Terminal (svarende til cmd) ?

13-12-2014 21:19 #40| 0
OP

#38

Hmm ja det vil jeg mene. Hvad jeg kan læse om 'virussen' lader det til det er noget der bruges til at hijacke computeren og vise en masse reklamer. Det er dog mystisk at filen hedder noget poker relateret og dansk, samt er kaldt mp4.exe for at forsøge at ligne en video. Derved ligner det ikke 'standard' malware.

Hvor tror du filen er kommet fra?

Kan du huske at du har kørt den?

Hvis du blot er kommet til at hente filen et eller andet skummelt sted og aldrig har kørt den tror jeg ikke du er inficeret med noget.

Du må gerne poste et link til virustotal rapporten.

13-12-2014 21:42 #41| 0
OP

#39

Går ud fra mener MacOS.

Netstat viser vistnok ikke PID. Du kan gøre en terminal med netstat og i en anden terminal bruge 'lsof -i X' hvor X er det port nummer du er interesseret i fra netstat. Port nummeret er det sidste til i Foreign Address. E.g. 192.168.0.104.443.


Hvis ikke dette er nok kan et firewall program til Mac som Little Snitch kan også vise dig dine forbindelser.

13-12-2014 21:47 #42| 0

Hmm

Jeg fik Malwarebytes til at sætte filen i karantæne, så nu kan jeg ikke finde den frem igen. Og har derved ikke mulighed for at få rapporten igen (eller kan jeg gøre det på en anden måde?)

Jeg går udfra, at jeg har fået filen i forbindelse med, at jeg købte en videoserie ved samme navn.

13-12-2014 21:57 #44| 0

Ved nærmere eftertanke, da jeg købte videoserien fik jeg bare tilsendt et pdf-fil med links til de forskellige videosekvenser. Jeg fik altså ikke nogen .exe fil. Det er først i dag jeg er stødt på den.
Da den blev fundet trykkede jeg på den, for at se, hvad det var (stupid I know!!!) Har jeg nu aktiveret lortet siden jeg ikke kan finde den igen?


På forhånd tak

13-12-2014 22:12 #45| 0
OP

Hvis du er helt sikker på at du har åbnet og kørt filen er du nok inficeret ja. Du mener at du har kørt den før du scannede med Malwarebytes?

Under History i Malwarebytes kan du gendanne filen.

13-12-2014 22:19 #46| 0
OP

Jeg har sendt dig en PM Moose

13-12-2014 22:29 #48| 0

Hvad betyder tilstanden "Time_wait" i CMD'en?

14-12-2014 00:00 #49| 0
OP

#48

Det er basalt set en forbindelse der har kørt og som nu er lukket.

14-12-2014 11:02 #50| 0

Tak KasperT, jeg nåede at få den ned før du/en mod slettede linket(?).

Jeg har prøvet at køre noget hurtigt analyse på en decompile-ish af den, men umiddelbart ligner det meget en "almindlig virus" og ikke en fil der har til formål at se legit ud, ala teamviewer, og derfor ikke blive opdaget af antivira.
Jeg tror ikke den har noget med anklagen af X at gøre, men er simpelthen en normal virus, så du bør nok anskaffe dig noget ala KasperSky eller ESET Nod32 og få gennempullet din PC med scanninger.

14-12-2014 13:59 #51| 0

Mod må have slettet linket.

Tak for hjælpen Anders og HestenTonny.

14-12-2014 14:40 #52| 0

Tak Anders

14-12-2014 17:49 #53| 0

Når jeg trykker på "vis", er der ikke en mulighed der hedder "vælg kolonner", er der nogen speciel grund til det?

14-12-2014 18:23 #54| 0
Haffy skrev:
Når jeg trykker på "vis", er der ikke en mulighed der hedder "vælg kolonner", er der nogen speciel grund til det?


Er du sikker på, at du er inde under fanen "processer"?
14-12-2014 20:05 #55| 0

Hvis man har mac, er der så en lignende proces man kan gå igennem? Bare generelt hvis ens computer er fucked?

14-12-2014 20:41 #56| 0

Hva gør jeg, hvis jeg finder en forbindelse i netstat, men PID nummeret findes ikke i joblisten? :S

14-12-2014 23:25 #57| 0
OP

#55

Se post #41 Du skal bruge Terminal og der er en kommando der hedder netstat.

#56

Tjek at der i bunden af joblisten er sat flueben i 'Vis processer fra alle brugere'

Ellers ved jeg ikke hvorfor.

16-12-2014 18:19 #58| 0

Er det normalt at der går så meget trafik ud fra Chrome?

16-12-2014 20:49 #59| 0
anders skrev:
@Siggo

Ud fra navnet Client kan jeg ikke sige dig hvad det er. Prøv at højreklik på processen i joblisten og se hvor den ligger placeret. Evt. post stien her.



Lige umiddelbart forsvandt den efter genstart, så aner ikke hvad der gemte sig bag!?!

Kunne det være de mange PostgreSQL processer? Og hvorfor er der så mange af dem?

gyazo.com/8366f7920ab5813e7263d52f45b86e8d

Angående antivirus, hvad vil du så anbefale?
16-12-2014 21:04 #60| 0
OP

Hvis det skal være gratis vil jeg anbefale:

AVG eller Avast

Programmer til køb:
Kaspersky eller McAfee

Derudover er det også en go ide at have Malwarebytes oveni, enten som gratis eller fuld version.

← Gå til forumoversigtenGå til toppen ↑
Skriv et svar