Egyszer régen egy otthoni felhasználónál tapasztaltam a - meglehetősen vírusos és kémprogramokkal zsúfolt - gépén, hogy még a teljes irtás után is érdekes jelenségek történnek. Olyan üzenet érkezett például, hogy "Egy másik számítógépről bejelentkezett az msn rendszerbe...", holott ott ültünk előtte, és az úr soha senkinek sem adta ki az msn bejelentkezési azonosítóját és jelszavát, és soha nem használt máshol számítógépet sem. A másik ami gyanús volt, hogy a C:\Documents and Setting mappában létrejött egy új mappa valamilyen "xvz873ac" összevissza néven, melybe a "Felhasználó" mappa teljes tartalmának másolata került magától.
Akkor ezek az események 99%-ig valószínűsítették, hogy átvették kívülről a gép irányítását, és a személyes információk sincsenek már biztonságban. Teljes formázást, és újratelepítést javasoltam, mert a további javítás mind időben, mind költségben jelentősen hosszabb lett volna.
Az ügyfél akkor ezt elvetette az újratelepítés sok viszontagsága miatt. Lelke rajta.
A probléma, ami miatt írok a következő:
Az egyik céges ügyfelünk egyik számítógépén a C:\Documents and Setting mappában - ezúttal nem összevissza nevű, hanem - "felhasználó0", "felhasználó1", "felhasználó2", "felhasználó3"... "felhasználó9" nevű mappák keletkeztek. (A "felhasználó" az ügyfél cégének a neve, csak nem írtam ide adatvédelmi okokból.) Ezen mappák mindegyikében ugyanaz található: a "Rendszergazda" mappa másolata. Más nem.
Aggódom, mert ebben a mappában az eddigi tapasztalataim alapján magától nem keletkezik új mappa, illetve a régi történet miatt úgy érzem, hogy ha mégis keletkezik az nem egészséges.
A számítógépen (természetesen) minden legális és frissített:
Windows XP professional magyar NOD32 antivírus Kerio Personal Firewall egyedileg, kézzel konfigurálva (távmenedzsment lehetősége kikapcsolva) könyvelési szoftverek (megbízható forrásból) Abev Joost internet televízió, ezt nemrégen telepítettem fel. Megbízhatónak tűnik. http://www.joost.com
Ennyi, semmi több.
A géphez távoli asztal hozzáféréssel lehet csatlakozni, kellően bonyolult jelszóval.
Kérdésem: mi az, ami e mappák létrejöttét okozhatja? Létezik-e olyan napló, melyből kiderülhet, hogy melyik alkalmazás hozta létre ezeket a könyvtárakat? A könyvelési szoftverek biztosan nem, egyeztettem a fejlesztővel. Talán a joost? Okozhatja a távoli asztali kapcsolat használata, vagy kizárható teljesen? Lehet-e ezeknek a mappáknak a létrejötte figyelmeztető jel egy esetleges behatolásra? Ha behatoltak, hogy tehették a Kerio és a NOD32 mellett? A felhasználók egész biztosan nem látogatnak veszélyes weboldalakat, ez az út kizárható.
