Guide: Tjek om din computer er inficeret

Da der sikkert er en masse pokerspillere der er nervøse for om deres computere kunne være inficerede med en eller anden form for fjernstyrings software eller Remote Access Trojan er her en lille guide.

Dette er simpel test, hvor du undersøger de netværksforbindelser din computer har etableret. En RAT kan være skjult på et utal af måder og derfor nogle gange ikke fanges af virus og malware scannere. Den har dog behov for at sende og modtage data fra din computer til den eller de personer som har lavet RAT’en. Derfor kan man med et lille værktøj der følger med Windows undersøge om der kører en proces der kunne være en RAT.

Disclaimer: Der er ingen garanti for at denne metode opfanger alle slags RATs. Har du en begrundet mistanke om at din computer kan være inficeret få da en fagkyndig til at undersøge nærmere eller få lavet en komplet formatering af alt på din computer.

Inden du går i gang med er det en ret go idé at have scannet din computer igennem for virus:

Installér og kør en scanning med Malwarebytes, hvis du allerede ikke har. Kontrollér at der er flueben ved ‘Scan for rootkits’ under Settings inden du starter scanning.

Eventuelt kan du også hente og scanne med Norton Power Eraser.

Der kan forekomme at disse scannere giver en del falske positive resultater (især Norton Power Eraser), så brug VirusTotal til at uploade de mistænkelige filer til online scanning. Siger VirusTotal at der er tale om virus har du grund til bekymring.

Trin 1:

Netstat er et lille kommondo-værktøj som viser de netværksforbindelser der kører på din computer. Inden du kører Netstat er det dog vigtigt at du lukker så mange programmer ned som muligt. Du kan undlade at lukke pokernet, men luk andre tabs i din browser. Luk alle kørende programmer som f.eks. anti-virus længst til højre i start-menuen. Din computer skal stadigvæk være forbundet til internettet.

Trin 2:

Kør Netstat i kommandoprompt ved at trykke Start og søg på cmd. Åben cmd.exe.

I kommandoprompt (cmd.exe) skriver du: netstat -ano

Der kommer en liste med alle de netværksforbindelser din computer har etableret og lytter på.

Lad kommondoprompten forblive åben og gå videre til trin 3.

Trin 3:

Tryk CTRL+Shift+ESC på dit tastatur og Windows Jobliste åbnes. Tryk på ‘Vis’ og tryk ‘Vælg Kolonner’. Sæt flueben ved PID og tryk OK.

Tjek at der i bunden af joblisten er sat flueben i 'Vis processer fra alle brugere'



Trin 4:

Nu kommer det komplicerede. I listen fra Netstat finder du de steder, hvor der under ‘Tilstand’ står ‘ESTABLISHED’ eller ‘SYN SENT’. Disse skal du nu krydstjekke med PID fra Joblisten. Hvis du har en proces kørende med tilstand som ‘ESTABLISHED’ eller ‘SYN SENT’ skal du undersøge om det kan være en RAT. Det er højst sandsynlig bare et program du ikke har lukket eller en proces der kører som en del af Windows. Det er IKKE ensbetydende med at du har en RAT.



Klik her for større billede

Hvis der under’ Fjernadresse’ står 127.0.0.1 eller 192.168.X.X for en forbindelse er der henholdsvis tale om en lokal forbindelse eller forbindelse til en anden computer på hjemmenetværket. Disse skal du oftest ikke bekymre dig om. Hvis det derimod er en fjernadresse ala 61.27.3.21 er det en forbindelse du skal være mere opmærksom på og undersøge, da det højst sandsynlig er forbindelse til noget ude på internettet.

Undersøg hvad processen kan være ved at:

- Søg på processens navn på File.net og se hvad den tilhører.

- Højre klik på processen i Joblisten og tryk ‘Åbn Filplacering’. Ligger filen et sted på computeren som ikke giver mening er det værd at undersøge. Eksempelvis hvis en process ligger under Windows/System32, men ikke lader til at være en del af Windows ifølge File.net.

- Upload alle mistænkelige processer til VirusTotal.com

Trin 5:

En RAT kan typisk prøve at gemme sig ved at hedde det samme som en windows proces eller populært program (svchost.exe eller Skype.exe). Tjek derfor eksempelvis fil placeringen af alle svchost.exe processer der kører (højre klik og Åbn Filplacering). Peger de ikke alle på C:\Windows\System32 er det MEGET mistænkeligt og højst sandsynlig en RAT eller virus.

Trin 6:
Skulle det vise sig at du har en RAT eller en eller anden Backdoor virus, er det for kompliceret at forklare i denne guide hvordan den fjernes. Du kan sikkert google dig frem til hvordan det kan fjernes, hvis du kender virussens navn. Jeg ville dog formatere hele skidtet.

Har folk problemer med at tjekke processer kan i poste et screenshot af Joblisten og Netstat sammet og folk kan svare på om det er mistænkeligt.

UPDATE: Her er en vejledning til at hvordan du finder den trojanske hest der menes at være brugt i svanse-sagen

Så god stil med denne guide! Kæmpe thumbs up!

Har downloadet programmet "Malwarebytes", som du anbefaler, og resultaterne er følgende:

Malicious items detected: 3

Non-malware items detected: 558


Har jeg grund til bekymring?

Hmm. Gætter på, at jeg bør stoppe med at spille på DanskeSpil?

#3

Måske og måske ikke. Skriv gerne navnet på de 3 items den siger er malicious. Upload dem evt. på virustotal.com og se hvad den siger

De 558 non-malware er det man kalder Potentially Unwanted Programs, som kan være blevet installeret på diverse måder uden du har været klar over det. Eksempelvis Ask Toolbar som kommer med Java. Højst sandsyndlig ikke farligt. Til gætte på at den finder 558 fordi hver enkelt fil og nølger i registringsdatabasen tæller med.

#4

Ifølge denne side er trojan.agent.AIM en RAT. Inden du går helt i panik er det dog vigtigt at du finder ud af om det kan være en falsk-positiv. Prøv at uploade filen på virustotal.com og post resultatet her.

@anders

Nu kom jeg til at slette dem alle, så hvordan finder jeg dem igen, hvis det er nødvendigt? Kan ikke finde filen efter at jeg slettede den, men så nemt er det vel ikke at fjerne en trojan?

Det ser ud til at en malware scanning har hjulpet utrolig meget.
Jeg fulgte din "cmd" guide, og da jeg så resultatet gav jeg op, og besluttede mig for at brande computeren og købe en ny, da tallene var helt sindsyge.
Jeg tror der var 20, hvor der stod "established" ved, og 15+ af dem matchede ikke de positive tal, du har nævnt.

Men efter at have scannet ser den nu sådan ud:





Er "82.96.58.16:443" et skidt tal?

Der findes ikke gode og dårlige tal :) Du bliver nødt til se på, hvilken process, det er. I dette tilfælde ser det ud til, at 82.96.58.16 blot er et website, du besøger internet explorer.

Rigtig god guide!

@KasperT

Kan du ikke smide billedet op på f.eks. postimage.org. Billedet bliver for småt her på PN.

Hvis du valgte quarantine i malwarebytes som på billede har malwarebytes kun låst filerne, så kan godt være du kan finde frem til dem og scanne dem på virustotal.

Lige for at klargøre, så er det ikke ensbetydende med at man har virus eller en RAT, at der findes en masse forbindelser der står som ESTABLISHED eller LISTENING. Det er det ret mange programmer der bruger, men når man har lukket så meget som muligt ned, skulle man gerne ikke have noget som man ikke ved hvad er og ikke er en del af Windows.

De 15+ forbindelser du siger der er kunne være programmer du ikke havde fået lukket eller alm. malware som toolbars og ikke nødvendigvis en RAT.

Jeg har dog noget nysgerrig over hvad den fil DanskeSpilPoker.exe er for noget. Har selv danske spil installeret og der ligger ikke noget under den sti på Windows7 for mig.

82.96.58.16:443 er en sikker HTTPS forbindelse. Prøv at køre netstat og vær sikker på alle browsere er lukket.

Godt intiativ!

KasperT skrev:
Hmm. Gætter på, at jeg bør stoppe med at spille på DanskeSpil?

KasperT, jeg kunne godt tænke mig at decompilere (dvs. bl.a. se på hvordan .exe'en opfører sig, hvad den laver/kan lave) og tjekke om trojanen er den omtalte i den anden tråd, så hvis du har lyst og såfremt du smed den i Quarantine, kan du så ikke Restore den og uploade den til http://www.filedropper.com/ - du restorer den igen, ved at gå ind under History i toppen af Malware Bytes Anti-Malware.
Derefter scan med MBAM igen og quarantine den igen.

Selvfølgelig kun hvis du har lyst :)

Hvad er det her så: PUP.Optional.Softonic
Den står havnet i min regristy key.

@MrNoller

PUP står for Potentially Unwanted Programs og er oftest noget crapware der følger med nogle gratis programmer. Det er ikke skadeligt, men fjern det gerne.

Nå Anders var hurtigere :)

Det er da aprospos sikkerhed egentlig tankevækkende at DanskeSpil i flere måneder har haft diverse SSL certifikat problemer. Og bare generelt belastende at softwaren installere sig selv i "C:\Programs" istedet for at holde sig i dig rigtige program mapper.

Gal en gang makværk.

anders skrev:
@MrNoller

PUP står for Potentially Unwanted Programs og er oftest noget crapware der følger med nogle gratis programmer. Det er ikke skadeligt, men fjern det gerne.

#17

Ja, bare lad Malwarebytes gøre med det som den vil. Ikke noget du behøver andre løsninger for at få fjernet.

Tak for svar :-)

Lækker post. Thumbs up!

Måske det er mig der er hel blank (med overvejende sandsynlighed), men jeg synes jeg mangler noget info i trin 3.

Ud af de 8 processer jeg har kørende som "established" ligger der 6 processer, der ikke har et PID match med min jobliste. Hvad betyder det, og hvad kan jeg gøre for at identificere de sidste 6 processer?

#20


Det har jeg ikke set før. Kig lige om der i bunden af Joblisten er flueben ved 'Vis processer fra alle brugere'. Ellers ved jeg umiddelbart ikke hvorfor.

Kan du forklare nærmere hvad det er du mener mangler i Trin 3 ? :)

@Landsbytossen

Forstår ikke joken, men forklar gerne :D

@Anders

Her er billeder af filen fra virustotal:

postimg.org/image/tb0ujtt9f/
postimg.org/image/x2q1mqy8t/
postimg.org/image/od8kwgw5v/


Alle 3 billeder er fra filen "danskespil"

Tak Kasper.

Jeg har selv hentet filen og uploaded den nu. Det ligner rigtigt nok at du har eller har haft en backdoor virus.

Du kan læse mere hvad det er for en her og her. Der står også noget om hvordan det kan fjernes men det virker en smule omstændigt. Det bedste er måske er få computeren formateret. Evt. en komplet formatering, hvor du tager hardisken(e) ud og sætter dem i en anden computer og laver en komplet formatering med et program der kan det.

@ Anders

Du var spot on!

Og det var som forventet en fejl40. Jeg manglede bare info om hvad det betød hvis processerne ikke havde et match, og det fik jeg så. Tak for det :)

Jeg fandt en enkelt mistænkelig proces, som jeg så uploadede på det der virustotal, men synes ikke rigtig den gav mig et svar. Den sagde bare: "Filen er allerede blevet undersøgt."

Går ud fra det betyder det bare er en standard fil og ikke en virus.

#25

Yes, andre har uploaded en identisk fil. Hvis den sagde 'Opdagelses forhold: 0/56' er det som det skal være.

Hvis man uploader en fil med 22/56 forhold og den skriver noget med:
Trojan.Win32:generic!BT
Hacktool.win32.downloader.Ahj
Unwanted-program
Trojan.Gen.2

-og en masse andet.

Burde man så være bekymret?
Jeg er bekymret!

skod skrev:
@ Anders

Du var spot on!

Og det var som forventet en fejl40. Jeg manglede bare info om hvad det betød hvis processerne ikke havde et match, og det fik jeg så. Tak for det :)

Jeg fandt en enkelt mistænkelig proces, som jeg så uploadede på det der virustotal, men synes ikke rigtig den gav mig et svar. Den sagde bare: "Filen er allerede blevet undersøgt."

Går ud fra det betyder det bare er en standard fil og ikke en virus.

#27

Hvad hedder filen?

Kan du give et link til den på virus total?

Var den at finde i Windows Jobliste?

Det kan være en trojan, men også bare være en falsk positiv.

Tak for den hurtige hjælp. Jeg har slettet filen og scannet igen, og den er ikke fundet igen.

Jeg har fundet linket i historikken (+en anden skummel fil):

www.virustotal.com/da/file/554f8764dbe20b5483ceadda74547fc7fa72ab92c57ae2926d21341d0707fd8b/analysis/

www.virustotal.com/da/file/4553d99f1f146e2359ceb60987d904bafd24843b71d3e95c358776f3a1d5c6f1/analysis/1418407435/

Jeg har ikke tjekket joblisten endnu - der er utrolig meget!

Jeg burde helt sikkert formatere min computer fuldstændigt. Kan man købe nogen til at gøre det eller finde en guide? Jeg er helt pas.

#31

Jeg ville være ganske rolig.

Nr. 1 er noget crapware fra noget der hedder softtonic. Man risikere og få en masse toolbars og lign. hvis man kører den. Ikke farligt i sig selv.

Nr. 2 er ligner en såkaldt browser hijacker, som ændrer din søgemaskine til Conduit og viser reklamer i din browser(e). Hvis du ikke har noget Conduit skidt i din browser ligenu kan det være et levn fra tidligere hvor du har haft.

Jeg ville bare få dem slettet af malwarebytes og så være mere påpasselig med hvilke sider du besøger og hvilke filer du downloader. Og husk at opdatere Windows og din browser.

@Siggo

Ud fra navnet Client kan jeg ikke sige dig hvad det er. Prøv at højreklik på processen i joblisten og se hvor den ligger placeret. Evt. post stien her.

Super arbejde! Det er sgu fedt at du gider.

Mine Pid numre passer med velkendte programmer/processer i joblisten, og derudover har jeg kun established connection med lokale IP addresser.

Dog undrer det mig, at jeg under netstat har flere establisede forbindelser(samme pid) til en proces.
Det gælder både til Chrome og Apple(alt det crap som følger med iTunes - AppleMobileServices.exe, mDNSresponder.exe, iTuneshelper.exe).

Er det normalt :) ?

#35

Ja det er ret normalt. En browser åbner forbindelser ret mange steder for at vise sider. iTunes kører en masse i baggrunden for eksempelvis deling af musikbibliotek, forbindelser til airplay enheder mv.

Kæmpe thumbs up til OP!

Hvis man kører en gang IOS styresystem, hvor kan man så finde PID numrene i Terminal (svarende til cmd) ?

#38

Hmm ja det vil jeg mene. Hvad jeg kan læse om 'virussen' lader det til det er noget der bruges til at hijacke computeren og vise en masse reklamer. Det er dog mystisk at filen hedder noget poker relateret og dansk, samt er kaldt mp4.exe for at forsøge at ligne en video. Derved ligner det ikke 'standard' malware.

Hvor tror du filen er kommet fra?

Kan du huske at du har kørt den?

Hvis du blot er kommet til at hente filen et eller andet skummelt sted og aldrig har kørt den tror jeg ikke du er inficeret med noget.

Du må gerne poste et link til virustotal rapporten.

#39

Går ud fra mener MacOS.

Netstat viser vistnok ikke PID. Du kan gøre en terminal med netstat og i en anden terminal bruge 'lsof -i X' hvor X er det port nummer du er interesseret i fra netstat. Port nummeret er det sidste til i Foreign Address. E.g. 192.168.0.104.443.


Hvis ikke dette er nok kan et firewall program til Mac som Little Snitch kan også vise dig dine forbindelser.

Hmm

Jeg fik Malwarebytes til at sætte filen i karantæne, så nu kan jeg ikke finde den frem igen. Og har derved ikke mulighed for at få rapporten igen (eller kan jeg gøre det på en anden måde?)

Jeg går udfra, at jeg har fået filen i forbindelse med, at jeg købte en videoserie ved samme navn.

Ved nærmere eftertanke, da jeg købte videoserien fik jeg bare tilsendt et pdf-fil med links til de forskellige videosekvenser. Jeg fik altså ikke nogen .exe fil. Det er først i dag jeg er stødt på den.
Da den blev fundet trykkede jeg på den, for at se, hvad det var (stupid I know!!!) Har jeg nu aktiveret lortet siden jeg ikke kan finde den igen?


På forhånd tak

Hvis du er helt sikker på at du har åbnet og kørt filen er du nok inficeret ja. Du mener at du har kørt den før du scannede med Malwarebytes?

Under History i Malwarebytes kan du gendanne filen.

Jeg har sendt dig en PM Moose

Hvad betyder tilstanden "Time_wait" i CMD'en?

#48

Det er basalt set en forbindelse der har kørt og som nu er lukket.

Tak KasperT, jeg nåede at få den ned før du/en mod slettede linket(?).

Jeg har prøvet at køre noget hurtigt analyse på en decompile-ish af den, men umiddelbart ligner det meget en "almindlig virus" og ikke en fil der har til formål at se legit ud, ala teamviewer, og derfor ikke blive opdaget af antivira.
Jeg tror ikke den har noget med anklagen af X at gøre, men er simpelthen en normal virus, så du bør nok anskaffe dig noget ala KasperSky eller ESET Nod32 og få gennempullet din PC med scanninger.

Mod må have slettet linket.

Tak for hjælpen Anders og HestenTonny.

Tak Anders

Når jeg trykker på "vis", er der ikke en mulighed der hedder "vælg kolonner", er der nogen speciel grund til det?

Haffy skrev:
Når jeg trykker på "vis", er der ikke en mulighed der hedder "vælg kolonner", er der nogen speciel grund til det?

Hvis man har mac, er der så en lignende proces man kan gå igennem? Bare generelt hvis ens computer er fucked?

Hva gør jeg, hvis jeg finder en forbindelse i netstat, men PID nummeret findes ikke i joblisten? :S

#55

Se post #41 Du skal bruge Terminal og der er en kommando der hedder netstat.

#56

Tjek at der i bunden af joblisten er sat flueben i 'Vis processer fra alle brugere'

Ellers ved jeg ikke hvorfor.

Er det normalt at der går så meget trafik ud fra Chrome?

anders skrev:
@Siggo

Ud fra navnet Client kan jeg ikke sige dig hvad det er. Prøv at højreklik på processen i joblisten og se hvor den ligger placeret. Evt. post stien her.

Hvis det skal være gratis vil jeg anbefale:

AVG eller Avast

Programmer til køb:
Kaspersky eller McAfee

Derudover er det også en go ide at have Malwarebytes oveni, enten som gratis eller fuld version.