chrup Opublikowano 22 Lipca 2011 Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Witam, zauważyłem, że komputer mocno zwolnił (prawie nic nie da się uruchomić). Myślałem, że to wina nieładu, więc użyłem mój standardowy zestaw narzędzi, który wkracza w takim momencie : CCleaner, Malwarebytes' Anti-Malware, Wise Registry Cleaner oraz PerfectDisk. Niestety, nie tym razem. Uruchomiłem Task Managera aby zobaczyć, co zżera tyle no moich nie za dużych zasobów. Jakież było moje zdziwienie gdy odkryłem... wesołą dyskotekę, która w najlepsze trwała. Skacząca liczba procesów od 40 do 47 raczej normalną rzeczą nie jest. Przyjrzałem się co takiego ciekawego skacze i odkryłem, że są dwa stałe procesy - cmd.exe (który zżerał ~65% CPU) oraz hale.exe (~10% CPU). Reszta to była pojawiająca się na chwilę - co chwilę - gromadka procesó zwących się reg.exe, find.exe, base.exe, cmd.exe (drugi proces), base.exe, crc32.exe i parę innych, równie podejrzanych procesów. Wpisałem w Google nazwę "hale.exe" i się dowiedziałem, że to jakiś syf. Jako, że bez jakieś większej wiedzy (no przyznam, że w temacie bezpieczeństwa moja wiedza ogranicza się do tego, że się skanuje odpowiednimi narzędziami, używa się łatanych przeglądarek, najnowszych programów, blablabla... ) nie chcę tego ruszać, bo narobię więcej szkody niż pożytku, zgłaszam się tutaj. System : Windows 7 Home Premium + SP1 (hah tutaj jest najdziwniejsze, bo w CCleaner pisze "Ultimate" oraz mogę pobierać pakiety językowe, co z tego co wiem w Home Premium jest no raczej niedostępne) Pojęcia nie mam skąd wzięła się ta infekcja, bo ostatnio bardzo dużo nośników było wpinanych do komputera - dysk przenośny, 2x pendrive, 2x odtwarzacz mp3, 2x telefon komórkowy, 1x smartphone, dwa aparaty - no takiego ruchu u mnie nie ma nigdy w ciągu trzech dni, ale jak są goście, no to... Przeglądanie internetu - nie sądzę, by można by coś złapać, przeglądane były normalne strony jak Google, nk, facebook (nigdy nikt nie klika u nas w podejrzane linki) oraz lequipe.fr - francuski portal sportowy Podejrzane to nie wiem, czy to jakiś syf był na którymś z nośników, czy po prostu coś się gdzieś samo przyszło - jeszcze niedawno był kolega i coś ściągał, może to on coś namieszał Trudno mi określić skąd to się wzięło, mogę jedynie powiedzieć, że dzieje się to od dnia wczorajszego. Myślę, że takie coś to dla was pestka, tylko że ciekawy jestem, dlaczego Home Premium ma funkcję i zgłasza się jako Ultimate OTL.txt Extras.txt GMER.txt Podejrzane pliki, jakieś no nie do końca legalne pliki - pisać, bo tego być nie winno, bo korzystam albo z darmówek, albo z triali, albo z zakupionych rzeczy - do programów z darmowej części internetu jakoś zaufania nie mam Pozdrawiam! Odnośnik do komentarza
picasso Opublikowano 22 Lipca 2011 Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Temat zmienia dział. Nie ma tu infekcji w rozumieniu dosłownym. Jakież było moje zdziwienie gdy odkryłem... wesołą dyskotekę, która w najlepsze trwała. Skacząca liczba procesów od 40 do 47 raczej normalną rzeczą nie jest. Przyjrzałem się co takiego ciekawego skacze i odkryłem, że są dwa stałe procesy - cmd.exe (który zżerał ~65% CPU) oraz hale.exe (~10% CPU). Reszta to była pojawiająca się na chwilę - co chwilę - gromadka procesó zwących się reg.exe, find.exe, base.exe, cmd.exe (drugi proces), base.exe, crc32.exe i parę innych, równie podejrzanych procesów. To jest skutek zabaw w "legalny" Windows. Pisałam o tym tu: KLIK (a w linku do którego kieruję nawet jest opis "dyskoteki" z hale i cmd). To oczywiste, że problem zniknie jak się pozbędziesz tego cracka . O4 - HKLM..\Run: [Chew7Hale] C:\Windows\System32\hale.exe () [2011-07-21 10:33:39 | 000,004,741 | ---- | M] () -- C:\Windows\System32\cwlog.dtl[2011-07-21 10:30:35 | 002,169,856 | -HS- | M] () -- C:\Windows\System32\hale.exe[2011-07-21 10:20:05 | 000,383,592 | RHS- | M] () -- C:\gdrop[2011-07-21 10:20:05 | 000,171,136 | RHS- | M] () -- C:\xeldr[2011-07-21 10:14:26 | 000,383,592 | RHS- | M] () -- C:\bootmgr[2011-06-24 09:51:36 | 000,008,192 | ---- | M] () -- C:\bootsect.lxe.bak Pliki boot modyfikowane i inne "subtelne" ślady. System : Windows 7 Home Premium + SP1 (hah tutaj jest najdziwniejsze, bo w CCleaner pisze "Ultimate" oraz mogę pobierać pakiety językowe, co z tego co wiem w Home Premium jest no raczej niedostępne) OTL też widzi Ultimate. Albo to prawdziwe Ultimate albo SKU zostało oszukane. . Odnośnik do komentarza
chrup Opublikowano 22 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2011 No dobra, mam jakiegoś cracka, strzelam że to kolega chcący coś zassać narobił szkód, bo ja miałem wersję, która wymagała aktywacji, może chciał zrobić coś pożytecznego, no ale coś nie wyszło. Zaiste, podejrzane, coś jest namieszane. Jak usunąć to dziadostwo i przywrócić wszystko do stanu poprzedniego, bo po pierwsze nie wierzę wszystkim crackom, a po drugie nie chcę mieć tego badziewia, wolę sobie wklepać slmgr -rearm (czy jak to tam się zwie) a potem się zastanowić co dalej Więcej nie dopuszczam żadnych kolegów, żeby sobie coś ściągnęli, bo jak zawsze coś jest nie tak Odnośnik do komentarza
picasso Opublikowano 22 Lipca 2011 Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Jak usunąć to dziadostwo i przywrócić wszystko do stanu poprzedniego, bo po pierwsze nie wierzę wszystkim crackom, a po drugie nie chcę mieć tego badziewia, wolę sobie wklepać slmgr -rearm (czy jak to tam się zwie) a potem się zastanowić co dalej To dziadostwo trzeba odkręcić tym samym dziadostwem (ponowne uruchomienie powinno podstawić opozycyjną opcję "Uninstall") ... Zaiste, podejrzane, coś jest namieszane. Zobaczymy co się stanie jak zdejmiesz patchowanie cracka. . Odnośnik do komentarza
chrup Opublikowano 22 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Gotowe, wszystko wróciło do normy - nigdy więcej badziewia, jak ktoś będzie coś chciał - no to musi sobie znaleźć kogoś innego Jeszcze ręcznie posprawdzam katalogi, czy gdzieś pliki tego loadera zostały no i przeskanuje Nortonem, MBAMem i myślę, że jest OK @edit: dla pewności logi jeszcze dam OTL.txt Extras.txt Odnośnik do komentarza
picasso Opublikowano 22 Lipca 2011 Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Jest w porządku i SKU ładnie wróciło na miejsce. Ten plik pewnie też można skasować: [2011-06-24 09:51:36 | 000,008,192 | ---- | C] () -- C:\bootsect.lxe.bak A teraz możesz usunąć drobnostki (wpisy-odpadki po paskach). Wklej co niżej podane do OTL, klik w Wykonaj skrypt, a po tym usuń katalog C:\_OTL z dysku. :OTL IE - HKU\S-1-5-21-813311629-1798301692-2298750482-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) . Odnośnik do komentarza
chrup Opublikowano 22 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Gotowe, przeskanowałem Nortonem i znalazł jeszcze jakieś pliki z loaderami, usunąłem Dziękuję, wszystko jest tak, jak być powinno Prawidłowo się zgłasza, wszystko działa i co najważniejsze - nie wiesza się Odnośnik do komentarza
Rekomendowane odpowiedzi