2x
To co tady je, není celý script a těžko poradit.
Možná by bylo dobré hodit log z HiJackThis.
To, co tady je je dávkový soubor, který dělá toto:
@echo OFF -> nebude se nic vypisovat na obrazovku (proto se spustí jen černé prázdné okno)
:lol -> je jen značka, na kterou se odkazuje příkaz GOTO (jdi na) - zde to byl nejspíš nějaký vtipálek, že značku zvolil "lol" neboli laugh out loud
echo spawn. > %random% - toto neudělá nic jiného, než že vypíše (echo) slovo spawn. (i s teckou) na obrazovku (coz mame vyple viz radek 1) a cely vystup posle do souboru ( > ), ktery bude nahodne pojmenovan (%random%) (a bude bez pripony)
goto :lol -> vrat se na znacku :lol a pokracuj dál.
To znamena, ze tyto 4 radky vytvori po spusteni soubory, do kterych napise slovo spawn s tečkou. A to celé bude dělat donekonečna (zaplnění disku).
Nevím, zda je to náhoda, nebo někoho pokus a "programování" nicméně příkaz spawn (v dosu nefungující) je na spusteni paralelnich procesu ...
a ta tečka za příkazem, zde nefungující je pro označení aktuálního adresáře.
Celé mi to připadá jen jako žert někoho, kdo se učí příkazy dosu ...
vir to není ... a zbavíte se toho tak, že prostě odstřelíte ten batch a pak ho smažete. Jestli se Vám někde něco samo vytváří, tak si z 99,9% jsem jistý, že za to nemůže tento batch. Nebo jestli jste si jej odněkud stáhl už v hotové podobě, tak to byl sloučený soubor s nějakým jiným, který dělá něco nekalého.
doplněno 10.11.11 15:14:si to vyzkoušejte .. vytvorte si prazdny soubor, do něj vložte jen tyto tři řádky
@ECHO ON
echo spawn.>%random%
pause
a uvidíte, co to udělá. V aktuálním adresáři to vytvoří JEDEN soubor s náhodným názvem a uvnitř (otevřít přes notepad (poznámkový blok)) bude slovo spawn. Spustí se to jen jednou a zůstane to spuštěné, protože jsme přidali příkaz pause. A protože jsme OFF vyměnili za ON, tak dokonce na obrazovce uvidíte, co to dělalo ...
Pak už stačí v reg-run(once) zadat cestu a je to. Exe vytvoří baťák a ten vytvoří soubor a ...
jo to je možné, že má něco v registrech, co vytváří tento baťák ... nicméně ten baťák jako takový je "neškodný".
Pak už by to neukončil ani KILL ale už jenom nový boot.
Byla by holt nová diskuze
doplněno 10.11.11 16:46: O tom, že je dobré nastavit omezení spuštěných procesů na jednoho uživatele nemá moc userů ani páru a v klidu používají administrátorské účty, lezou na warez a ...
0x
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:26:06, on 10.11.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:Program FilesAVAST SoftwareAvastAvastSvc.exe
C:WINDOWSRTHDCPL.EXE
C:Program FilesRealtekInstallShieldAzMixerSel.exe
C:Program FilesHPHP Software UpdateHPWuSchd2.exe
C:Program FilesCommon FilesAdobeARM1.0AdobeARM.exe
C:Program FilesAVAST SoftwareAvastavastUI.exe
C:Program FilesCommon FilesJavaJava Updatejusched.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesDAEMON Tools LiteDTLite.exe
c:Program FilesATI TechnologiesATI.ACECLI.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesJavajre6injqs.exe
C:WINDOWSsystem32HPZipm12.exe
C:WINDOWSsystem32PnkBstrA.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesCommon FilesUlead SystemsDVDULCDRSvr.exe
C:Program FilesSonicDigitalMedia LE v7MyDVD LEUSBDeviceService.exe
C:WINDOWSsystem32wbemwmiapsrv.exe
c:Program FilesATI TechnologiesATI.ACEcli.exe
c:Program FilesATI TechnologiesATI.ACEcli.exe
C:WINDOWSexplorer.exe
C:Program FilesGoogleChromeApplicationchrome.exe
C:Program FilesGoogleChromeApplicationchrome.exe
C:Program FilesGoogleChromeApplicationchrome.exe
C:Program FilesGoogleChromeApplicationchrome.exe
C:Program FilesGoogleChromeApplicationchrome.exe
C:Program FilesTrend MicroHiJackThisHiJackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = seznam.cz/...
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = go.microsoft.com/...
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = go.microsoft.com/...
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = go.microsoft.com/...
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Packard Bell
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:Program FilesAVAST SoftwareAvastaswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:Program FilesJavajre6injp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:Program FilesAVAST SoftwareAvastaswWebRepIE.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:Program FilesDAEMON Tools ToolbarDTToolbar.dll (file missing)
O4 - HKLM..Run: [ATICCC] "c:Program FilesATI TechnologiesATI.ACECLIStart.exe"
O4 - HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [AzMixerSel] C:Program FilesRealtekInstallShieldAzMixerSel.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe"-atboottime
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software UpdateHPWuSchd2.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 9.0ReaderReader_sl.exe"
O4 - HKLM..Run: [Adobe ARM] "C:Program FilesCommon FilesAdobeARM1.0AdobeARM.exe"
O4 - HKLM..Run: [avast] "C:Program FilesAVAST SoftwareAvastavastUI.exe"/nogui
O4 - HKLM..Run: [4StoryPrePatch] C:Program FilesGameforge4D4StoryPrePatch.exe
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesCommon FilesJavaJava Updatejusched.exe"
O4 - HKCU..Run: [NBJ] "C:Program FilesAheadNero BackItUpNBJ.exe"
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [DAEMON Tools Lite] "C:Program FilesDAEMON Tools LiteDTLite.exe"-autorun
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User LOCAL SERVICE)
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User NETWORK SERVICE)
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User SYSTEM)
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User Default user)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra Tools menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://format.packardbell.com/cgi-bin/redirect/?country=CZ&range=AD&phase=7&key=IESTART
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - webdl.symantec.com/...
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:WINDOWSsystem32rowseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:WINDOWSsystem32rowseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:Program FilesAVAST SoftwareAvastAvastSvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:APPSPowercinemaKernelTVCLCapSvc.exe (file missing)
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:APPSPowercinemaKernelTVCLSched.exe (file missing)
O23 - Service: CyberLink Media Library Service - Unknown owner - c:APPSPowercinemaKernelCLML_NTServiceCLMLServer.exe (file missing)
O23 - Service: Google Update Service (gupdate1c98796c93f15ee) (gupdate1c98796c93f15ee) - Google Inc. - C:Program FilesGoogleUpdateGoogleUpdate.exe
O23 - Service: Služba Google Update (gupdatem) (gupdatem) - Google Inc. - C:Program FilesGoogleUpdateGoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:Program FilesJavajre6injqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:Program FilesCommon FilesUlead SystemsDVDULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:Program FilesSonicDigitalMedia LE v7MyDVD LEUSBDeviceService.exe
-
End of file - 7124 bytes
Spusťte HijackThis, klikněte na Do a system scal only a zaškrtejte čtverečky u následujících položek:
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:Program FilesDAEMON Tools ToolbarDTToolbar.dll (file missing) - zrovna jukněte do Ovládacího panelu Přidat nebo odebrat programy - Daemon Toolbar odinstalujte - brzdí počítač a Internet Explorer
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe"-atboottime - hrozná brzda počítače a jeho startu. Nepoužíváte-li tento jabkovej program, který na Windosech jede opravdu těžkopádně, odinstalovat. Používáte-li ho, zvažte jeho odinstalaci a instalaci QuickTime Alternative...
O14 - IERESET.INF: START_PAGE_URL= format.packardbell.com.../... - fixnout, divné
Pak klikněte na Fix Checked /před kliknutím zavřte všechny spouštěné programy/ a poté restartujte počítač.
Dále, navrhuju stáhnout a nainstalovat program SUPERANtispyware a udělat úplnou kontrolu systému a klidně zaškrtnout před kontorlou Enable deepscan nebo takněco /používá se to na zavirovaný počítače/ - nezvpomenu si jak se to přesně jmenuje ale je to hned podtím
A zkusil bych udělat Test po restartu v avastu - nastavit VYSOKOU heuristiku - heuristiku má antivir proto, aby odhalil viry, jejihž vzorky nemá - ozančí soubor jako vir, když se chová nebo jeho obsah je podezřelý. Soubory přesuňte do truhly, příapdně smažte
0x
Děkuji ještě za další rady, ale řešení bylo až překvapivě snadné- takže to dělal nějaký tester nebo vtipálek. QuickTime odinstaluji, ale postup řešení:
Dokumenty => Nástroje => Možnosti složky => Zobrazení => Zobrazovat skryté soubory a složky => Plocha
A co nevidím? Plocha plná zase, tak soubory smažu, zkusím restartovat explorer.exe a ono nic! Zato se mi na ploše objevili mezi soubory i zástupci na adresy(zkráceno):
www.youtube.com/watch
VYŘEŠENO
Neneseme odpovědnost za správnost informací a za škodu vzniklou jejich využitím. Jednotlivé odpovědi vyjadřují názory jejich autorů a nemusí se shodovat s názorem provozovatele poradny Poradte.cz.
Používáním poradny vyjadřujete souhlas s personifikovanou reklamou, která pomáhá financovat tento server, děkujeme.