Loading ...În seara asta am mers să mă întâlnesc cu un prieten, care trebuia să-mi dea nişte poze.
Mi-am luat laptopul după mine, tipul venind cu un stick pe care adusese respectivele poze. Toate bune şi frumoase. Stickul era un Corsair de 2GB, pe care pozele îşi găsiseră locşorul.
Pornit laptop, băgat stick, dublu click pe el. Contrar obiceiului. Pauză. Nu s-a deschis nimic. Atât mi-a fost. Mi-am dat seama aproape instantaneu că am luat un virusel. Deschidem task managerul şi vedem în background următoarele procese:
- monitorize.exe;
- scvhooost.exe;
- svchoost.exe.
Încercăm un end process la monitorize.exe. Se închide primul. Încercăm şi la al doilea. Se închide. Mai rămăsese o singură instanţă a respectivului proces. Încerc să-l închid şi pe acela. Se închide fain-frumos, numai că imediat ce s-a închis a mai aparut de 6 ori. Bun zic. Încercăm şi la svchooost.exe şi svchoost.exe. Acelaşi lucru.
Ok, mă gândesc, îl înjur printre dinţi pe prieten, îi spun că mi-a dat un virus şi mă liniştesc. Dau un restart, apăs de mai multe ori pe F8 şi încerc să intru în safe-mode. Pauză. Nu trecea deloc de listarea driverelor şi sysurilor pe care le rulează. În fine. Ajung acasă şi-l curăţ.
Copiez pozele şi plec spre casă. Ajuns acasă, copiez pe un stick combofix, şi îl pun pe laptop. Din nefericire pe laptop aveam un AVG varianta 7, neactualizat.
Bootez winşitul şi rulez combofixul. Ţipă câteva instrucţiuni pe care le-am învăţat deja pe de rost, YES, NO şi aştept.
Stickul era încă în laptop. Bineînţeles, combofixul a găsit un virus. Spre mirarea mea un blue screen of death (în română) îmi strică toată buna dispoziţie. Evident, restart. După restart în logul de la combofix am găsit într-adevăr cheile prin care monitorize.exe şi svchooost.exe/svchoost.exe se rulau. Din păcate combofix nu le-a şi sters. În schimb mi-a şters autorun.inf-ul de pe stick, dar fişierele mi le-a lăsat în pace.
Iau stickul infectat şi-l pun pe PCul meu unde AVG este la zi cu actualizările. Click dreapta pe stick, scan with avg, aşteptăm rezultatele.
Mda. AVGul nu a detectat nimic. Am căutat fişierele prin Windows şi le-am găsit.
- monitorize.exe se afla în C:\windows\
- svchoost.exe se afla în C:\windows\
- svchooost.exe se afla în C:\Program Files\MSN\
Lângă monitorize.exe, am găsit şi un fişier numit Report.txt, toate fişierele fiind ascunse (eu folosesc Total Commander). Un simplu view la Report.txt mi-a arătat că monitorize.exe şi svchooost.exe/svchoost.exe, erau de fapt un keylogger mai complex, nedetectabil de AVG şi nici de ComboFix. Trist.
Ok, acum să vă explic cum şi cât de uşor am scăpat de el.
Am făcut download la KillProcess, un soft extrem de util, care poate fi un bun înlocuitor al Task Managerului din windows. Partea frumoasă a acestui progrămel e faptul că permite închiderea mai multor procese odată. Se instalează şi permite adăugarea proceselor într-o anumită listă care poate fi procesată instantaneu, procesele fiind închise în acelaşi timp, nepermiţând rularea altora.
Softul arată cam aşa:
Setările necesare închiderii mai multor procese dintr-o listă se realizează urmând următorii paşi:
Se merge la Tools –> Preferences. Se dă click pe General. Se bifează Enable Vicious mode (Quick & Painless termination). Pentru că pe mine m-a enervat sunetul respectiv, recomand selectarea tab-ului Sounds şi debifarea Enable sound effects when killing processes.
Pentru crearea respectivei liste, se caută procesele respective, la fiecare dându-se un Insert sau click dreapta şi Add to list.
ATENŢIE! Dacă procesul respectiv apare doar o singură dată DOAR O SINGURĂ DATĂ SE DĂ INSERT sau CLICK DREAPTA şi ADD TO LIST. Inserarea/adăugarea mai multor procese în listă se face de genul: Dacă procesul nu este adăugat în listă este adăugat. Daca există deja în listă (selectat odată) acesta este scos din listă.
Pentru a opri procesele din listă sau mai multe procese odată se dă click pe primul buton din stânga (butonul cu un TNT şi o foaie albă în spate).
Sper că v-a plăcut acest post şi astept părerile voastre.
P.S: din câte am aflat virusul ăsta provine de la CAS. Aşa că..băieţii…aţi face bine să mai şi curăţaţi PCurile/laptopurile alea că altfel infectaţi toată România cu keyloggere.
P.P.S: keyloggerul respectiv nu prea funcţionează din câte am văzut eu, în Report.txt fiind înregistrate doar combinaţiile de taste gen ALT+TAB sau SPACE sau SHIFT.
Scriind la postul ăsta ascultam: Youssou N’dour & Neneh Cherry – 7 Seconds
madalin
Sunt un tip franc, care spune lucrurilor pe nume. Sunt pătimaş şi perseverent, dar uneori mă plictisesc repede. Încerc să fiu un om bun. În cele mai multe situaţii, îmi reuşeşte. În detrimentul meu. Vrei mai multe ? Uită-te pe pagina despre mine.
Comments have been disabled for this post.
Buna,
In dimineata asta m-am trezit si eu cu virusul asta. Cred ca l-am luat de la vreun coleg, cand am bagat la el stick-ul.
Am scapat astfel:
1. Dat restore la un restore point anterior. S-a dus.
2. Lansat un sistem de pe CD si sters mizeriile de pe stick. probabil ca mergea si de pe Xp, cu tasta Shift apasata la introducerea stick-ului si sters pe urma.
Tinel, acum îţi poţi edita comentariile atâta timp cât eşti înregistrat cu acelaşi email :)
Mada, as fi vrut si eu sa corectez niste mici greseli de dactilografiere :)
Special pentru prietenul meu Madalin si prietenii lui internauti, modalitatea de anulare a Autorun-ului din Windows, cel care lanseaza aplicatiile la introducerea in siatem a unui disc amovibil (CD, DVD, USB-Stic, Flash Card) sau la dublu-click pe ele.
Start->Run: scrieti GPEDIT.MSC si dati Enter.
In consola MMC care se deschide navigati la:
Computer Configuration -> System: dublu-click pe Turn Off Autoplay
Bifati Enabled, iar la "Turn Off Autoplay On..." selectati "All Drives"
La fel faceti si in User Configuration -> System: Turn off Autoplay
Din acest moment, daca veti dori vreodata sa lansati programele tip SETUP de pe CD-uri, trebuie sa mergeti in radacina discului optic si sa lansati in executie aplicatia SETUP, INSTALL sau AUTORUN.EXE respectiva.
Daca nu este, deschideti cu Notepad fisierul Autorun.inf si la SETUP=PROGRAM.EXE vedeti exact ce program a vrut creatorul CD-ului sa porneasca atunci cand acel CD se introduce in unitate.
Referitor la:
Comentariu adaugat de capsunika
January 24th, 2009 at 9:50 pm
dau dublu-click pe o partitie(sau pe stick) si in loc sa mi se deschida partitia cu informatiile de pe ea mi se deschide o fereastra din care trebuie sa imi aleg o aplicatie(ca si aceea in care ii dai OPEN WITH->CHOOSE PROGRAMM. Ce trebuie sa fac sa mi se deschida normal fara a instala win din nou. mersi
RASPUNS: in radacina discului respectiv ai un fisier AUTORUN.INF (ca cel descris mai sus) care avea rol sa a lansa in executie virusul. Foloseste Total Commander asa cum a zis Madalin si sterge-l.
Totusi, un antivirus bun ar trebui sa-l stearga automat si pe Autorun.inf rauvoitor... De ex. Avast Antivirus, varianta free, m-a protejat de tipul asta de troian downloader.
Mada, excelent subiect de discutie :)
good job!
Sa citesti comentariul meu de mai sus. Adica sa folosesti Total Commander, care e gratuit. Il poti lua de la www.ghisler.com. Have fun :)
dau dublu-click pe o partitie(sau pe stick) si in loc sa mi se deschida partitia cu informatiile de pe ea mi se deschide o fereastra din care trebuie sa imi aleg o aplicatie(ca si aceea in care ii dai OPEN WITH->CHOOSE PROGRAMM. Ce trebuie sa fac sa mi se deschida normal fara a instala win din nou. mersi
capsunika: citeste tot ce am scris. Nu e de ajuns sa le INCHIZI. Trebuie sa le si stergi. Iti recomand Total Commander (setat sa arate fisierele ascunse) cu care sa stergi fisierele respective..
salves. am citit tutorialul si am procedat ca atare. am folosit killprocess si am dat kill la toate procesele (cele 3) si mi-au disparut, dar cand am dat restart mi-au aparut la loc. va rog sa imi spune-ti ce sa fac, ca am bagat stick-u pe un comp sa bag la imprimanta si s-a intamplat ce s-a intaplat si toata lumea mia sarit in cap ca am virusat compu si ca trebe sa il fac eu. mersi frumos
Cu plăcere :)
multumesc,solved
Răducu, apropo, te rog fă download la programul de mai sus, este un program FOARTE bun care poate închide în acelaşi timp mai multe aplicaţii. Te rog să reciteşti tutorialul de mai sus şi să urmezi paşii pe care i-am enumerat eu acolo...
raducu, mergi la Start->Run şi acolo scrie: regedit.
Navighează spre: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, unde o să găseşti aplicaţiile care se rulează la pornire pentru utilizatorul respectiv.
Apoi navighează la spre: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run unde o să găseşti aplicaţiile care rulează la pornire pentru PCul respectiv. Şterge de acolo svchooost.exe (click pe cheia respectivă şi delete) apoi restart normal şi totul ar trebui să fie OK.
Pai aici apare problema: in safe mode am reusit sa sterg respectivele fisiere dar cand intru in windows imi apare ca nu gaseste calea spre c:\windows\svchooost.exe. daca dau kill process mai apare de cel putin 2 ori. Multumesc oricum ptr raspunsuri.
@ raducu_ilie: Da, am reuşit să scap de ele până la urmă, cât despre svchooost.exe nu e acelaşi cu svchost.exe (care este al Windowsului) aşadar poate fi şters foarte uşor.
Mare atenţie să nu le confunzi...
Buna! Am urmat instructiunile postate de tine dar din pacate , daca incerci sa sscapi de svchooost.exe din radacina win-ului apar la mesaje de reoare de te doare capul. Pana la urma ai scapat de fisierele infestate sau nu?
Misto melodia pe care o ascultai ...
Windoze suge capu.
Linux ftw!