Punkty uznania(?): 0
Offline
Płeć:
Wiadomości: 0
|
|
« : 07 Grudnia 2012, 20:44:17 » |
|
Witajcie. Byłem na różnych forach, ale pomocy nie uzyskałem. Mam pewien problem. Od jakiegoś czasu 2 systemowe procesy zajmują strasznie dużo RAMU (explorer.exe i svchost.exe). Czy to może być wirus?
|
|
|
|
Main Programmer
Punkty uznania(?): 6
Offline
Płeć:
Wiadomości: 162
One of The Indoctrination Theory's founder
|
|
« Odpowiedz #1 : 07 Grudnia 2012, 20:51:37 » |
|
Witaj. Możesz przesłać screen'a? Byłoby łatwiej osądzać o jakiej zasobożerności mówisz.
|
|
|
|
Punkty uznania(?): 0
Offline
Płeć:
Wiadomości: 0
|
|
« Odpowiedz #2 : 07 Grudnia 2012, 20:59:11 » |
|
|
|
|
|
Main Programmer
Punkty uznania(?): 6
Offline
Płeć:
Wiadomości: 162
One of The Indoctrination Theory's founder
|
|
« Odpowiedz #3 : 07 Grudnia 2012, 21:01:32 » |
|
Na przyszły raz nie wstawiaj miniaturek Robiłeś już jakieś logi?
|
|
|
|
|
Main Programmer
Punkty uznania(?): 6
Offline
Płeć:
Wiadomości: 162
One of The Indoctrination Theory's founder
|
|
« Odpowiedz #5 : 07 Grudnia 2012, 22:07:07 » |
|
Do okna "Własne opcje skanowania/skrypt" wklej:
:OTL SRV - [2012-12-03 09:30:02 | 000,206,352 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\serv32.dll -- (gltihnrn) IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCyC0E0C0AtCzzyDtA0E0D0EtB0CtN0D0Tzu0CtBtCyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=29063471 IE - HKU\S-1-5-21-725345543-1390067357-1417001333-1004\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCyC0E0C0AtCzzyDtA0E0D0EtB0CtN0D0Tzu0CtBtCyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=29063471 O4 - HKU\S-1-5-21-725345543-1390067357-1417001333-1004..\Run: [] File not found O2 - BHO: (no name) - {6D4E34D2-9A38-592E-C194-07D091C176B6} - C:\WINDOWS\system32\serv32.dll () O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0017-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Reg Error: Key error.) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found [2012-11-19 13:18:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Extensions [2012-11-19 13:18:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\searchplugins
:Commands [emptytemp] Kliknij "Wykonaj skrypt" i potwierdź restart. Pokaż raport z usuwania i nowy log "Skanuj".
|
|
|
|
|
King Loczdorah
Punkty uznania(?): 23
Offline
Płeć:
Wiadomości: 1 845
It's Seriously Christmas
|
|
« Odpowiedz #7 : 08 Grudnia 2012, 10:27:43 » |
|
Zrób Antivrem scan i powinno coś podleczyć, to samo Ccleaner który naprawi rejestr.
|
|
|
|
Punkty uznania(?): 0
Offline
Płeć:
Wiadomości: 0
|
|
« Odpowiedz #8 : 08 Grudnia 2012, 13:31:08 » |
|
Antywirus nic nie wykrył. Użyłem Ccleanera, wyłapało jakieś błędy i naprawiło je. Dzięki edit: Problem wciąż pozostał. Jakieś sugestie?
|
|
|
|
Main Programmer
Punkty uznania(?): 6
Offline
Płeć:
Wiadomości: 162
One of The Indoctrination Theory's founder
|
|
« Odpowiedz #9 : 08 Grudnia 2012, 14:27:46 » |
|
Uważaj z rejestrem! Wiele programów "czyści" rejestr. Dosłownie. Tzn. przy okazji usuwania zbędnych wpisów często modyfikują/całkowicie usuwają niektóre b. ważne. Powód? Przewrażliwienie twórców algorytmów lub zwyczajne "wynaturzenia" platformy. Akurat Ccleaner jest znanym i zaufanym programem, więc zapewne nic złego się nie stało, ale mimo wszystko należy do takich programów podchodzić ze zdroworozsądkowym dystansem. Anyway, nie należy ich używać podczas infekcji. Dla pewności utwórz punkt przywracania (Wszystkie programy--> Akcesoria--> Narzędzia systemowe--> Przywracanie systemu--> Utwórz punkt). Następnie pobierz i uruchom The Avenger. Do okna programu wklej: Drivers to delete: gltihnrn
Files to delete: C:\WINDOWS\system32\serv32.dll Kliknij "Execute" i potwierdź restart systemu. Pokaż nowe logi (z usuwania i OTL).
|
|
« Ostatnia zmiana: 08 Grudnia 2012, 14:35:29 wysłane przez Revold »
|
IP:
Zapisane
|
|
|
|
|
Main Programmer
Punkty uznania(?): 6
Offline
Płeć:
Wiadomości: 162
One of The Indoctrination Theory's founder
|
|
« Odpowiedz #11 : 08 Grudnia 2012, 19:09:58 » |
|
Ccleaner nie narobił szkód. Logi czyste. Malware usunięty. Usuńmy jeszcze pozostałości szkodliwego kodu, które pozostały w rejestrze. W OTL'u, do okna "Własne opcje skanowania/skrypt" wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\ 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00 Kliknij "Wykonaj skrypt" i potwierdź restart. Następnie uruchom ponownie OTL i kliknij "Sprzątanie". Wyłącz i ponownie włącz przywracanie systemu w celu upewnienia się, że złośliwy kod nie zostanie odtworzony. Potem uruchom SecurityCheck w trybie administratorskim. Po zakończeniu działania, program utworzy plik checkup.txt. Otwórz go, a następnie zaktualizuj programy oznaczone jako "out of date!". Pozwoli to na uniknięcie zakażenia w przyszłości. Na sam koniec przeskanuj dysk programem Malwarebytes Anti-Malware (po zakończeniu instalacji usuń zaznaczenie przy "Uruchom okres testowy Malwarebytes Anti-Malware PRO"). Napisz czy coś wykrył i czy problem ustąpił.
|
|
|
|
Punkty uznania(?): 0
Offline
Płeć:
Wiadomości: 0
|
|
« Odpowiedz #12 : 09 Grudnia 2012, 20:53:23 » |
|
Problem ustąpił a ten antywirus który mi poleciłeś nic nie wykrył. Dzięki ci bardzo Revold za pomoc Mam jeszcze jedno pytanie. Co to był za wirus?
|
|
|
|
Main Programmer
Punkty uznania(?): 6
Offline
Płeć:
Wiadomości: 162
One of The Indoctrination Theory's founder
|
|
« Odpowiedz #13 : 09 Grudnia 2012, 21:37:41 » |
|
http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=364413To był trojan. Ale niegroźny ;] Stworzony najprawdopodobniej w Brazylii i tam głównie został rozpowszechniony. Zwiększa zużycie RAM-u procesów, pod które się podepnie. Z drugiej strony, dzięki temu można go łatwo zdiagnozować ^^ Cieszę się, że mogłem pomóc ;] Pozdrawiam. Rev
|
|
|
|
Punkty uznania(?): 0
Offline
Płeć:
Wiadomości: 0
|
|
« Odpowiedz #14 : 09 Grudnia 2012, 23:50:40 » |
|
Dzięki zainformacje. I za pomoc raz jeszcze. Już wszystko wiem. Temat do zamknięcia.
|
|
|
|
|