Tawerna.biz - Forum

Witajcie.
Byłem na różnych forach, ale pomocy nie uzyskałem. Mam pewien problem. Od jakiegoś czasu 2 systemowe procesy zajmują strasznie dużo RAMU (explorer.exe i svchost.exe). Czy to może być wirus?

Witaj.
Możesz przesłać screen'a? Byłoby łatwiej osądzać o jakiej zasobożerności mówisz.

http://obrazki.elektroda.pl/8680732500_1354898592_thumb.jpg
Moim zdaniem coś jest nie tak.

Na przyszły raz nie wstawiaj miniaturek :)
Robiłeś już jakieś logi?

Tak, OTL i extras (ktoś na jakimś forum mi kazał). Wstawiam.
OTL: http://wklej.org/id/890530/
Extras: http://wklej.org/id/890532/

Do okna "Własne opcje skanowania/skrypt" wklej:
:OTL
SRV - [2012-12-03 09:30:02 | 000,206,352 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\serv32.dll -- (gltihnrn)
IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCyC0E0C0AtCzzyDtA0E0D0EtB0CtN0D0Tzu0CtBtCyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=29063471
IE - HKU\S-1-5-21-725345543-1390067357-1417001333-1004\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCyC0E0C0AtCzzyDtA0E0D0EtB0CtN0D0Tzu0CtBtCyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=29063471
O4 - HKU\S-1-5-21-725345543-1390067357-1417001333-1004..\Run: [] File not found
O2 - BHO: (no name) - {6D4E34D2-9A38-592E-C194-07D091C176B6} - C:\WINDOWS\system32\serv32.dll ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0017-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Reg Error: Key error.)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2012-11-19 13:18:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Extensions
[2012-11-19 13:18:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\searchplugins

:Commands
[emptytemp]
Kliknij "Wykonaj skrypt" i potwierdź restart.
Pokaż raport z usuwania i nowy log "Skanuj".

Raport z usuwania: http://wklej.org/id/890936/
Nowy log: http://wklej.org/id/890940/

Teraz winlogon.exe zajmuje ok. 200 mb ramu a svchost.exe dalej tak samo. Explorer już powrócił do normalności.
Co mam teraz zrobić?

Zrób Antivrem scan i powinno coś podleczyć, to samo Ccleaner który naprawi rejestr.

Antywirus nic nie wykrył. Użyłem Ccleanera, wyłapało jakieś błędy i naprawiło je. Dzięki :)

edit: Problem wciąż pozostał. Jakieś sugestie?

Uważaj z rejestrem! Wiele programów "czyści" rejestr. Dosłownie. Tzn. przy okazji usuwania zbędnych wpisów często modyfikują/całkowicie usuwają niektóre b. ważne. Powód? Przewrażliwienie twórców algorytmów lub zwyczajne "wynaturzenia" platformy. Akurat Ccleaner jest znanym i zaufanym programem, więc zapewne nic złego się nie stało, ale mimo wszystko należy do takich programów podchodzić ze zdroworozsądkowym dystansem.
Anyway, nie należy ich używać podczas infekcji.
Dla pewności utwórz punkt przywracania (Wszystkie programy--> Akcesoria--> Narzędzia systemowe--> Przywracanie systemu--> Utwórz punkt).

Następnie pobierz i uruchom The Avenger (http://swandog46.geekstogo.com/avenger2/download.php).
Do okna programu wklej:
Drivers to delete:
gltihnrn

Files to delete:
C:\WINDOWS\system32\serv32.dll
Kliknij "Execute" i potwierdź restart systemu.
Pokaż nowe logi (z usuwania i OTL).

Ok będę pamiętał ;)
Link z usuwania: http://www.wklej.org/id/891196/
Link z OTL: http://wklej.org/id/891200/
Coś jeszcze jest do zrobienia?

Ccleaner nie narobił szkód. Logi czyste. Malware usunięty. Usuńmy jeszcze pozostałości szkodliwego kodu, które pozostały w rejestrze.
W OTL'u, do okna "Własne opcje skanowania/skrypt" wklej:
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
Kliknij "Wykonaj skrypt" i potwierdź restart.
Następnie uruchom ponownie OTL i kliknij "Sprzątanie".
Wyłącz i ponownie włącz przywracanie systemu (http://support.microsoft.com/kb/310405/pl) w celu upewnienia się, że złośliwy kod nie zostanie odtworzony.
Potem uruchom SecurityCheck (http://screen317.spywareinfoforum.org/SecurityCheck.exe) w trybie administratorskim. Po zakończeniu działania, program utworzy plik checkup.txt. Otwórz go, a następnie zaktualizuj programy oznaczone jako "out of date!". Pozwoli to na uniknięcie zakażenia w przyszłości.
Na sam koniec przeskanuj dysk programem Malwarebytes Anti-Malware (http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.65.1.1000.exe) (po zakończeniu instalacji usuń zaznaczenie przy "Uruchom okres testowy Malwarebytes Anti-Malware PRO").
Napisz czy coś wykrył i czy problem ustąpił.

Problem ustąpił a ten antywirus który mi poleciłeś nic nie wykrył. Dzięki ci bardzo Revold za pomoc :D Mam jeszcze jedno pytanie. Co to był za wirus?

http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=364413 (http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=364413)
To był trojan. Ale niegroźny ;]
Stworzony najprawdopodobniej w Brazylii i tam głównie został rozpowszechniony.
Zwiększa zużycie RAM-u procesów, pod które się podepnie. Z drugiej strony, dzięki temu można go łatwo zdiagnozować ^^
Cieszę się, że mogłem pomóc ;]

Pozdrawiam.
Rev

Dzięki zainformacje. I za pomoc raz jeszcze. Już wszystko wiem. Temat do zamknięcia.