Skocz do zawartości

Podejrzane procesy w Task Manager, duże obciążenie procesora


chrup

Rekomendowane odpowiedzi

Witam,

 

zauważyłem, że komputer mocno zwolnił (prawie nic nie da się uruchomić). Myślałem, że to wina nieładu, więc użyłem mój standardowy zestaw narzędzi, który wkracza w takim momencie : CCleaner, Malwarebytes' Anti-Malware, Wise Registry Cleaner oraz PerfectDisk. Niestety, nie tym razem.

 

Uruchomiłem Task Managera aby zobaczyć, co zżera tyle no moich nie za dużych zasobów. Jakież było moje zdziwienie gdy odkryłem... wesołą dyskotekę, która w najlepsze trwała. Skacząca liczba procesów od 40 do 47 raczej normalną rzeczą nie jest. Przyjrzałem się co takiego ciekawego skacze i odkryłem, że są dwa stałe procesy - cmd.exe (który zżerał ~65% CPU) oraz hale.exe (~10% CPU). Reszta to była pojawiająca się na chwilę - co chwilę - gromadka procesó zwących się reg.exe, find.exe, base.exe, cmd.exe (drugi proces), base.exe, crc32.exe i parę innych, równie podejrzanych procesów.

 

Wpisałem w Google nazwę "hale.exe" i się dowiedziałem, że to jakiś syf. Jako, że bez jakieś większej wiedzy (no przyznam, że w temacie bezpieczeństwa moja wiedza ogranicza się do tego, że się skanuje odpowiednimi narzędziami, używa się łatanych przeglądarek, najnowszych programów, blablabla... ;) ) nie chcę tego ruszać, bo narobię więcej szkody niż pożytku, zgłaszam się tutaj.

 

System : Windows 7 Home Premium + SP1 (hah tutaj jest najdziwniejsze, bo w CCleaner pisze "Ultimate" oraz mogę pobierać pakiety językowe, co z tego co wiem w Home Premium jest no raczej niedostępne)

 

Pojęcia nie mam skąd wzięła się ta infekcja, bo ostatnio bardzo dużo nośników było wpinanych do komputera - dysk przenośny, 2x pendrive, 2x odtwarzacz mp3, 2x telefon komórkowy, 1x smartphone, dwa aparaty - no takiego ruchu u mnie nie ma nigdy w ciągu trzech dni, ale jak są goście, no to... ;)

Przeglądanie internetu - nie sądzę, by można by coś złapać, przeglądane były normalne strony jak Google, nk, facebook (nigdy nikt nie klika u nas w podejrzane linki) oraz lequipe.fr - francuski portal sportowy ;)

 

Podejrzane to nie wiem, czy to jakiś syf był na którymś z nośników, czy po prostu coś się gdzieś samo przyszło - jeszcze niedawno był kolega i coś ściągał, może to on coś namieszał ;)

 

Trudno mi określić skąd to się wzięło, mogę jedynie powiedzieć, że dzieje się to od dnia wczorajszego. Myślę, że takie coś to dla was pestka, tylko że ciekawy jestem, dlaczego Home Premium ma funkcję i zgłasza się jako Ultimate ;)

 

OTL.txt

Extras.txt

GMER.txt

 

Podejrzane pliki, jakieś no nie do końca legalne pliki - pisać, bo tego być nie winno, bo korzystam albo z darmówek, albo z triali, albo z zakupionych rzeczy - do programów z darmowej części internetu jakoś zaufania nie mam ;)

 

Pozdrawiam!

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Temat zmienia dział. Nie ma tu infekcji w rozumieniu dosłownym.

 

 

Jakież było moje zdziwienie gdy odkryłem... wesołą dyskotekę, która w najlepsze trwała. Skacząca liczba procesów od 40 do 47 raczej normalną rzeczą nie jest. Przyjrzałem się co takiego ciekawego skacze i odkryłem, że są dwa stałe procesy - cmd.exe (który zżerał ~65% CPU) oraz hale.exe (~10% CPU). Reszta to była pojawiająca się na chwilę - co chwilę - gromadka procesó zwących się reg.exe, find.exe, base.exe, cmd.exe (drugi proces), base.exe, crc32.exe i parę innych, równie podejrzanych procesów.

 

To jest skutek zabaw w "legalny" Windows. Pisałam o tym tu: KLIK (a w linku do którego kieruję nawet jest opis "dyskoteki" z hale i cmd). To oczywiste, że problem zniknie jak się pozbędziesz tego cracka ;) .

 

O4 - HKLM..\Run: [Chew7Hale] C:\Windows\System32\hale.exe ()

 

[2011-07-21 10:33:39 | 000,004,741 | ---- | M] () -- C:\Windows\System32\cwlog.dtl

[2011-07-21 10:30:35 | 002,169,856 | -HS- | M] () -- C:\Windows\System32\hale.exe

[2011-07-21 10:20:05 | 000,383,592 | RHS- | M] () -- C:\gdrop

[2011-07-21 10:20:05 | 000,171,136 | RHS- | M] () -- C:\xeldr

[2011-07-21 10:14:26 | 000,383,592 | RHS- | M] () -- C:\bootmgr

[2011-06-24 09:51:36 | 000,008,192 | ---- | M] () -- C:\bootsect.lxe.bak

 

Pliki boot modyfikowane i inne "subtelne" ślady.

 

 

System : Windows 7 Home Premium + SP1 (hah tutaj jest najdziwniejsze, bo w CCleaner pisze "Ultimate" oraz mogę pobierać pakiety językowe, co z tego co wiem w Home Premium jest no raczej niedostępne)

 

OTL też widzi Ultimate. Albo to prawdziwe Ultimate albo SKU zostało oszukane.

 

 

.

Odnośnik do komentarza

No dobra, mam jakiegoś cracka, strzelam że to kolega chcący coś zassać narobił szkód, bo ja miałem wersję, która wymagała aktywacji, może chciał zrobić coś pożytecznego, no ale coś nie wyszło.

 

wlasciwosci.jpg

Zaiste, podejrzane, coś jest namieszane.

 

Jak usunąć to dziadostwo i przywrócić wszystko do stanu poprzedniego, bo po pierwsze nie wierzę wszystkim crackom, a po drugie nie chcę mieć tego badziewia, wolę sobie wklepać slmgr -rearm (czy jak to tam się zwie) a potem się zastanowić co dalej ;)

 

Więcej nie dopuszczam żadnych kolegów, żeby sobie coś ściągnęli, bo jak zawsze coś jest nie tak :D

Odnośnik do komentarza
Jak usunąć to dziadostwo i przywrócić wszystko do stanu poprzedniego, bo po pierwsze nie wierzę wszystkim crackom, a po drugie nie chcę mieć tego badziewia, wolę sobie wklepać slmgr -rearm (czy jak to tam się zwie) a potem się zastanowić co dalej

 

To dziadostwo trzeba odkręcić tym samym dziadostwem (ponowne uruchomienie powinno podstawić opozycyjną opcję "Uninstall") ...

 

 

Zaiste, podejrzane, coś jest namieszane.

 

Zobaczymy co się stanie jak zdejmiesz patchowanie cracka.

 

 

.

Odnośnik do komentarza

Jest w porządku i SKU ładnie wróciło na miejsce. Ten plik pewnie też można skasować:

 

[2011-06-24 09:51:36 | 000,008,192 | ---- | C] () -- C:\bootsect.lxe.bak

 

A teraz możesz usunąć drobnostki (wpisy-odpadki po paskach). Wklej co niżej podane do OTL, klik w Wykonaj skrypt, a po tym usuń katalog C:\_OTL z dysku.

 

:OTL
IE - HKU\S-1-5-21-813311629-1798301692-2298750482-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...