winself.exe, wmsdkns.exe, trojan downloader, AntispyStorm, SpyMaxx, 2020search
2008. május 07. szerda – 22:02Huh de csúnya szavak, nem igaz? Pláne mikor a saját gépünkkel van efféle probléma. Utálom a spyware-eket, de a trójaiakat méginkább. Ma részem volt benne.
Nikon D60 tesztem végéhez közeledvén át kellett neveznem a képeket, hogy tartalmazza a gyutávot, rekeszt és érzékenység adatokat (sajnos még nincs meg az új galéria pixinfon, a régi meg nem működik megfelelően és nem írja ki az EXIF adatokat, de az olvasóknak azért valahogy tudtára kell adni a legfontosabb expozíciós adatokat, különben nem sokat érnek a tesztképek).
No szóval átnevezés. Eddig az Exifer programmal csináltam, de sajnos a D60 EXIF-jét nem ismerte fel, így az átnevezés sem működik.
Így hát más program után kellett néznem.
Jópár átnevező programot kipróbáltam, majd az egyik telepítésekor a víruskereső szólt, hogy “gáz van öreg”. Nos, ekkor sajnos már tényleg gáz volt, mert a setup.exe-be valaki trükkösen belevarázsolt egy trojan downloadert is, nevesen a wmsdkns.exe-t. Picit nyomozva azt találtam, hogy ez egy elég új cucc, elsőként 2008. április 5-án bukkant fel Németországban.
No de ne szaladjunk előre.
A víruskereső riasztása után sajnos már késő volt, így már csak a tüneteket tudtam diagnosztizálni.
Íme pár screenshot a látottakból.
A systray-en megjelenő üzenetek:
Ezen kívül lecserélte a háttérképet aktív weboldalra, ami a következőképpen nézett ki:
Mindezek mellett néha a NOD vírusrisztás ablakát emulálta, amelynél szintén ugyanaz a link szerepelt, mint a fenti weboldalon
Ha systray-en felbukkanó buborékszövegre, vagy az aktív asztalra kirakott “click here to scan your pc for spyware” szövegre, esetleg a műNOD képernyő linkjére kattintunk, akkor egy about:security oldal nyílt meg IE-ben, amelyben a következő weboldal látszott:
Itt ha valaki kellően megrémült a riasztásoktól, hogy mennyi sok spyware-e van meg milyen sokan akarnak behatolni a gépébe, akkor akár le is töltheti a “nagysikerű” Antispystorm2008-at, ami valójában nem más, mint egy valódi keylogger, anti-antispyware (vagyis spyware keresők elleni) modullal.
Szóval ha valaki ezt letölti, akkor jön csak az igazi pokol…
A trójai letöltő eltávolítása sajnos nem egyszerű. Próbálkoztam a Spybot Search & Destroy-jal, meg az AdAware-rel is, de nem sok sikerrel. Mindig visszamászott a mocsok. Akkor is, ha csökkentett módban csináltam.
Spybot TeaTimer-e viszont legalább megakadályozta, hogy telefirkálja a registry-t, igaz ekkor már részben késő volt.
NOD nem talált semmit.
További kedvesség, hogy a taskmanagert letiltotta a drága (ami ctrl+alt+del megnyomására jön elő).
No akkor elő a manuális módszert.
Sajnos a feladatkezelő nem indult, így a process explorer-rel próbálkoztam. Nem sok kellett hozzá, rögtön meg is lett a process neve: winself.exe
No akkor kill process, registryből kitakarítás, restart, bootCD be, fájlt letörölni, restart, hátradőlni.
Hja, azért a registry bejegyzést érdemes megnézni. Milyen mókás az a “Stopping or disabling this service will result in system instability” szöveg 
Hogy az MsSecurity Updated-ről ne is beszéljünk 
No tehát ott tarottam, hogy restart…
Hoppá, megint előjött ez a nyavaja.
Fene, akkor itt más gond is lesz.
Sajnos Process Explorerben semmi más gyanús nem látszott.
Így más módszer kellett.
C:\windows-ban volt a winself.exe, amit sikeresen le is töröltem az előbb, viszont nézzük csak meg, milyen fájlok vannak még a mai dátummal.
Hopp, pár igen érdekes. ATI kezdetű, pedig nvidia kártyám van. De majdnem bedőltem.
Neten rákerestem pár ilyen névre és írták róla hogy spyware meg malware és hasonló szépségeket.
Nosza akkor mindegyiket letörlöm, nagyobb baj úgyse lehet, mitn hogy összeomlik az egész rendszer
Letörölvén uszkve 20 fájlt, vártam a hatást (ti. hogy összeomlik az egész oprendszer). De semmi nem történt. Legalábbis néhány másodpercig. Mert szépen elkezdtek megjelenni ugyanazok a fájlok.
Höhö, milyen kis trükkös. Szóval a trojan downloader még aktív.
No nézzük elég okos-e.
A fájlokat egyenként töröltem, majd azonnal létre is hoztam ugyanolyan névvel egy 0 byte-os fájlt.
A hatás nem maradt el. A buta mocsok azt hitte, hogy tényleg megvan a trójai genyója (nyilván némelyik saját kópiája).
Íme a lista a használt fájlnevekről, érdemes megnézni a C:\Windows könyvtárat, hogy nektek van-e ilyen (szerintem nem kéne 
):
123messenger.per
2020search.dll
2020search2.dll
apphelp32.dll
asferror32.dll
asycfilt32.dll
athprxy32.dll
ati2dvaa32.dll
ati2dvag32.dll
audiosrv32.dll
autodisc32.dll
avifile32.dll
avisynthex32.dll
aviwrap32.dll
bjam.dll
bokja.exe
browserad.dll
cdsm32.dll
changeurl_30.dll
didduid.ini
licencia.txt
msa64chk.dll
msapasrc.dll
mspphe.dll
mssvr.exe
ntnut.exe
saiemod.dll
shdocpe.dll
shdocpl.dll
stcloader.exe
swin32.dll
telefonos.txt
textos.txt
voiceip.dll
winsb.dll
No akkor restart.
Igen ám, de a buborékozás, háttérkép lecserélés, IE ablak felugratás (jah és a URL sorát sem engedte átírni IE-ben, csak firefox máködött), meg a NOD emulálás továbbra is megmaradt.
Ó te mocsokállat.
Akkor még nincs vége a háborúnak.
Nézzünk be a system32 könyvtárba is.
Ott is dátum szerint sorbarendeztem, s 3-4 fájlnál nem is volt több.
Az egyik feltűnően hülye nevű és gyanúsan egyező időpotú volt (nálam 8:50, ekkor indítottam el az installt, amiben a trójai volt).
A fájllnév: wmsdkns.exe (C:\Windows\System32).
No akkor ismét restart, BootCD, fájlt letörölni, restart.
Ééééééés.
Igeeeen! 
Kampec. Vége. Megdöglött. Kinyúlt. Feldobta a pacskert. Fűbe harapott. Alulról szagolja az ibolyát. Beadta a kulcsot. Befuccsolt.
Huhh.
Kemény menet volt.
A végén még egy spyware keresés, aztán még a maradék néhány féldöglött nyavaját is eltávolítottam. Így most mát teljes a siker.
Persze ráment az egészre vagy 3 órám, szóval nyugodtan megzabálhatják a nyüvek aki az egészet kitalálta
7 hozzászólás a “winself.exe, wmsdkns.exe, trojan downloader, AntispyStorm, SpyMaxx, 2020search” bejegyzéshez
Na szép programot találtál magadnak
Elég szopás ez, párszor eljátszottam ilyesmivel én is, szerencsére nem a saját gépemen 
Sokszor a reinstall sajnos gyorsabb, de ez kétségtelenül izgalmasabb 
Mice007 szólt hozzá 2008. máj. 7. napján 22:36-kor.
Jaja, én is hajlottam a gyorsabb reinstall felé, de végül este rászántam még 2 órát, kíváncsi voltam veszem-e ezt a kihívást
Birdie szólt hozzá 2008. máj. 8. napján 11:02-kor.
Szervusz Kolléga!
De gondolom ezt kihagytad volna. Pár ősz hajszálad lett.
Szóval ügyesen kinyírtad. Gyorsabban úgy lehet hidegre tenni, ha létrehozol egy új felhasználót, a régit meg törlöd. Illetve néha szokot segíteni, ha másik gépbe teszed a hdd-t és tiszta géppel mész rá.
Mindenesetre aki(k) ilyet találnak ki levágnám nekik azt a bizonyost.
ovarnet szólt hozzá 2008. máj. 9. napján 16:21-kor.
Na ezt az új juzer létrehozást még nem hallottam ilyen orvoslásaként.
).
Majd legközelebb kipróbálom (remélem csak 30 év múlva
Köszi az ötletet.
Birdie szólt hozzá 2008. máj. 9. napján 21:37-kor.
na egyszer énis megszenvedtem ezzel a döggel, bátyám húzta valahonnan a gépre. Nekem a gugli segített, rákerestem a dögre és volt hozzá leírás hogy lehet kinyírni! sikerrel…
ssscsaba szólt hozzá 2008. jún. 21. napján 10:01-kor.
hallo nepek!
az ilyen problemak elkerulese vegett ajanlhatom melegen a DeepFreeze nevu progit
erdemes rakeresni, nem tudom gyartjak-e en hallottam olyan hireket hogy kinyiffant a ceg, de torrenteken megvan.
aki nem hallott rola az egy olyan progi amely lefagyaszt egy particiot (pl C:\, D:\, stb), arra az allapotra, amilyen volt amikor a progit feltetted. (utolagos valtoztatas is lehetseges, de addigra a DF-t ki kell kapcsolni. minden ki es bekapcsolas ujrainditast kivan h ervenybe lepjen.)
nos ha mondjuk a C:\ le van deepfreezelve, akkor johet virus, trojai, meg minden mas, mert egy ujrainditassal nyoma sincs.
sajnos semmi masnak sem amit a C:\-re mentesz
eppen ezert ajanlatos a pagefile-t es a My Documentset atkoltoztetni masfele, majd oda mentegetozni minden fontos infot.
a tobbire azert mehet virus ami nem a c-n van, de azt idoszakos virusolo futtatassal ki lehet irtani.
van aki utalja ezt a progit.
nalam mar 3 ve megvan, nulla virusolo, nulla antispyware, semmi a gepen ami lassitana, es egyszer megtamadott egy virus, de DF bacsi megoldotta egy ujrainditassal
meg egy plusz ezzel a progival h a windowsod nem telik fel a sok szemettel ami idovel felgyul a gepedben.
ez nem raklam, gondolom valakinek hasznos lesz.
nekem az volt.
lori_atya szólt hozzá 2008. jún. 24. napján 16:01-kor.
Köszi a tippet!
Sajnos ehhez előbb a Documents&settingest kellene átrakni másik partícióra, mert pl. a
Lightroom mindenáron a Docu&settingsbe teszi a cache fájljait.
Bár elméletileg át lehet rakni a docu&settings dir-t is máshova, de ez nem annyira egyszerű, még nem mertem belevágni
Birdie szólt hozzá 2008. jún. 24. napján 16:07-kor.