Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

DWN.exe zabiera 50% CPU

Wacha

Przez Wacha
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Wacha

Wacha

Opublikowano
Opublikowano

Witam. Dzisiaj grając na komputerze włączył mi się proces Dwn.exe zabierający 50% CPU. Jeśli wyłączę grę zabiera on 0-1%. Dodam, że Dr.Web wykrył go jako Trojan.Bacdoor (nie podjąłem żadnych akcji)

Co to może być? Umieszczam logi z OTL i GMER.

Pozdrawiam.

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

GMER.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Tak, jest to infekcja. Ów proces startuje z tego zapisu symulującego komponent Windows (sugestywny napis oraz "literówka" podrabiająca natywny proces systemowy Dwm.exe):

 

O4 - HKLM..\Run: [WinSound] C:\Windows\Dwn.exe ()

 

Jest także plik, którego nie znam i nie wiem do czego służy:

 

[2002-03-17 02:00:00 | 000,007,420 | ---- | C] () -- C:\Windows\UA000088.DLL

 

Zabieramy się za usuwanie. Przy okazji wyczyszczę także pliki tymczasowe oraz nabite przez GG10 pliki o modelu ciągu C:\Users\userek\AppData\Local\Temp*.html. Sprzątanie plików Gadu nie ma charakteru permanentnego, one znów zaczną narastać. Po prostu możesz sobie je regularnie usuwać ręcznie.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Dwn.exe
C:\Users\userek\AppData\Local\Temp*.html
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinSound"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij czyszczenie przez opcję Wykonaj skrypt. Będzie restart komputera, a po nim otrzymasz log z usuwania.

 

2. Wytwarzasz nowy zestaw logów do wglądu oraz dołączasz log powstały z usuwania OTL w punkcie 1.

 

 

 

.

Odnośnik do komentarza
Wacha

Wacha

Opublikowano
  • Autor
Opublikowano

Zrobiłem wszystko. W załącznikach to co wyskoczyło po restarcie i nowy zestaw logów.

Plik o którym mówisz był już usuwany, ale najwidoczniej wrócił.

Przeskanowałem ten plik na virus total.

Extras.TxtPobieranie informacji ...

GMER.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Po restarcie.txtPobieranie informacji ...

VirusTotal.txtPobieranie informacji ...

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystkie zadania pomyślnie wykonane.

 

1. W OTL wywołaj funkcję Sprzątanie.

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

PS. W kwestii tego nieszczęsnego GG10, polecam lekturę Darmowe komunikatory. Solidne alternatywy bez reklam i z pełną obsługą sieci: WTW, Miranda, ewentualnie Kadu dla Windows.

 

  Cytat
Plik o którym mówisz był już usuwany, ale najwidoczniej wrócił.

Przeskanowałem ten plik na virus total.

 

Nie wiem co o tym sądzić. Jest tylko jeden skaner, który ma do pliku zastrzeżenia:

 

SUPERAntiSpyware	4.40.0.1006	2010.09.06	Rogue.Agent/Gen-Nullo[DLL]

 

Skoro był usuwany a wrócił, to może coś ten plik wstawia / potrzebuje go. Wykonaj monitoring za pomocą programu Process Monitor.

 

  • Uruchom program i od razu zatrzymaj nagrywanie przez klik w przycisk lupki i przekreślenie go.
  • Następnie skonfiguruj warunek na zwracanie wyników tyczących tego pliku. Z menu Filter wybierz opcję Filter i ustaw w okienku: Path is C:\Windows\UA000088.DLL then Include. Kliknij przycisk Add, filtr pojawi się na liście, następnie zatwierdź przez OK.
     
    81510233.png
     
  • Rozpocznij nagrywanie, poprzez odkreślenie przycisku lupki. Czekaj dopóki w pustym oknie Process Monitora nie zostaną zwrócone jakiekolwiek wyniki tyczące tego pliku.
  • Jeśli coś się pojawi, z menu File > Save > zapisz nagrany monitoring do pliku PML, plik zzipuj i rzuć na jakiś hosting podając tu link.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...