Huh de csúnya szavak, nem igaz? Pláne mikor a saját gépünkkel van efféle probléma. Utálom a spyware-eket, de a trójaiakat méginkább. Ma részem volt benne.
Nikon D60 tesztem végéhez közeledvén át kellett neveznem a képeket, hogy tartalmazza a gyutávot, rekeszt és érzékenység adatokat (sajnos még nincs meg az új galéria pixinfon, a régi meg nem működik megfelelően és nem írja ki az EXIF adatokat, de az olvasóknak azért valahogy tudtára kell adni a legfontosabb expozíciós adatokat, különben nem sokat érnek a tesztképek).
No szóval átnevezés. Eddig az Exifer programmal csináltam, de sajnos a D60 EXIF-jét nem ismerte fel, így az átnevezés sem működik.
Így hát más program után kellett néznem.
Jópár átnevező programot kipróbáltam, majd az egyik telepítésekor a víruskereső szólt, hogy „gáz van öreg”. Nos, ekkor sajnos már tényleg gáz volt, mert a setup.exe-be valaki trükkösen belevarázsolt egy trojan downloadert is, nevesen a wmsdkns.exe-t. Picit nyomozva azt találtam, hogy ez egy elég új cucc, elsőként 2008. április 5-án bukkant fel Németországban.
No de ne szaladjunk előre.
A víruskereső riasztása után sajnos már késő volt, így már csak a tüneteket tudtam diagnosztizálni.
Íme pár screenshot a látottakból.
A systray-en megjelenő üzenetek:
Ezen kívül lecserélte a háttérképet aktív weboldalra, ami a következőképpen nézett ki:
Mindezek mellett néha a NOD vírusrisztás ablakát emulálta, amelynél szintén ugyanaz a link szerepelt, mint a fenti weboldalon
Ha systray-en felbukkanó buborékszövegre, vagy az aktív asztalra kirakott „click here to scan your pc for spyware” szövegre, esetleg a műNOD képernyő linkjére kattintunk, akkor egy about:security oldal nyílt meg IE-ben, amelyben a következő weboldal látszott:
Itt ha valaki kellően megrémült a riasztásoktól, hogy mennyi sok spyware-e van meg milyen sokan akarnak behatolni a gépébe, akkor akár le is töltheti a „nagysikerű” Antispystorm2008-at, ami valójában nem más, mint egy valódi keylogger, anti-antispyware (vagyis spyware keresők elleni) modullal.
Szóval ha valaki ezt letölti, akkor jön csak az igazi pokol…
A trójai letöltő eltávolítása sajnos nem egyszerű. Próbálkoztam a Spybot Search & Destroy-jal, meg az AdAware-rel is, de nem sok sikerrel. Mindig visszamászott a mocsok. Akkor is, ha csökkentett módban csináltam.
Spybot TeaTimer-e viszont legalább megakadályozta, hogy telefirkálja a registry-t, igaz ekkor már részben késő volt.
NOD nem talált semmit.
További kedvesség, hogy a taskmanagert letiltotta a drága (ami ctrl+alt+del megnyomására jön elő).
No akkor elő a manuális módszert.
Sajnos a feladatkezelő nem indult, így a process explorer-rel próbálkoztam. Nem sok kellett hozzá, rögtön meg is lett a process neve: winself.exe
No akkor kill process, registryből kitakarítás, restart, bootCD be, fájlt letörölni, restart, hátradőlni.
Hja, azért a registry bejegyzést érdemes megnézni. Milyen mókás az a „Stopping or disabling this service will result in system instability” szöveg 😛
Hogy az MsSecurity Updated-ről ne is beszéljünk 😀
No tehát ott tarottam, hogy restart…
Hoppá, megint előjött ez a nyavaja.
Fene, akkor itt más gond is lesz.
Sajnos Process Explorerben semmi más gyanús nem látszott.
Így más módszer kellett.
C:\windows-ban volt a winself.exe, amit sikeresen le is töröltem az előbb, viszont nézzük csak meg, milyen fájlok vannak még a mai dátummal.
Hopp, pár igen érdekes. ATI kezdetű, pedig nvidia kártyám van. De majdnem bedőltem.
Neten rákerestem pár ilyen névre és írták róla hogy spyware meg malware és hasonló szépségeket.
Nosza akkor mindegyiket letörlöm, nagyobb baj úgyse lehet, mitn hogy összeomlik az egész rendszer 😀
Letörölvén uszkve 20 fájlt, vártam a hatást (ti. hogy összeomlik az egész oprendszer). De semmi nem történt. Legalábbis néhány másodpercig. Mert szépen elkezdtek megjelenni ugyanazok a fájlok.
Höhö, milyen kis trükkös. Szóval a trojan downloader még aktív.
No nézzük elég okos-e.
A fájlokat egyenként töröltem, majd azonnal létre is hoztam ugyanolyan névvel egy 0 byte-os fájlt.
A hatás nem maradt el. A buta mocsok azt hitte, hogy tényleg megvan a trójai genyója (nyilván némelyik saját kópiája).
Íme a lista a használt fájlnevekről, érdemes megnézni a C:\Windows könyvtárat, hogy nektek van-e ilyen (szerintem nem kéne 😉 ):
123messenger.per
2020search.dll
2020search2.dll
apphelp32.dll
asferror32.dll
asycfilt32.dll
athprxy32.dll
ati2dvaa32.dll
ati2dvag32.dll
audiosrv32.dll
autodisc32.dll
avifile32.dll
avisynthex32.dll
aviwrap32.dll
bjam.dll
bokja.exe
browserad.dll
cdsm32.dll
changeurl_30.dll
didduid.ini
licencia.txt
msa64chk.dll
msapasrc.dll
mspphe.dll
mssvr.exe
ntnut.exe
saiemod.dll
shdocpe.dll
shdocpl.dll
stcloader.exe
swin32.dll
telefonos.txt
textos.txt
voiceip.dll
winsb.dll
No akkor restart.
Igen ám, de a buborékozás, háttérkép lecserélés, IE ablak felugratás (jah és a URL sorát sem engedte átírni IE-ben, csak firefox máködött), meg a NOD emulálás továbbra is megmaradt.
Ó te mocsokállat.
Akkor még nincs vége a háborúnak.
Nézzünk be a system32 könyvtárba is.
Ott is dátum szerint sorbarendeztem, s 3-4 fájlnál nem is volt több.
Az egyik feltűnően hülye nevű és gyanúsan egyező időpotú volt (nálam 8:50, ekkor indítottam el az installt, amiben a trójai volt).
A fájllnév: wmsdkns.exe (C:\Windows\System32).
No akkor ismét restart, BootCD, fájlt letörölni, restart.
Ééééééés.
Igeeeen! 🙂
Kampec. Vége. Megdöglött. Kinyúlt. Feldobta a pacskert. Fűbe harapott. Alulról szagolja az ibolyát. Beadta a kulcsot. Befuccsolt.
Huhh.
Kemény menet volt.
A végén még egy spyware keresés, aztán még a maradék néhány féldöglött nyavaját is eltávolítottam. Így most mát teljes a siker.
Persze ráment az egészre vagy 3 órám, szóval nyugodtan megzabálhatják a nyüvek aki az egészet kitalálta 😛
7 hozzászólás a(z) winself.exe, wmsdkns.exe, trojan downloader, AntispyStorm, SpyMaxx, 2020search bejegyzéshez