Help!
-
Dodo55 #4168 Hello
Bekaptam ma egy nagyon durva vírust, csak nem tudom hogyan, mert semmit nem csináltam szinte ma a gépen(neteztem kicsit, meg játszottam), az meg a másik, hogy természetesen van fent vírusírtó(NOD32).
A lényeg, hogy azt vettem észre, hogy szarakodik a Firefox. Bizonyos oldalak nem töltődtek be, újraindítottam, akkor igen, de utána meg más oldalak. IE-vel is próbáltam, azzal is ugyanez, és abban lett gyanús, hogy mindenféle fake hülyeségeket írt ki. Meg általában az volt, hogy olyan oldalakat behozott, aminek nem volt az url-jében GET adat, de amiben volt, azt nem, töltött a végtelenségig(pl a fórum topicjait sem, csak a főoldalt).
Aztán belenéztem msconfigba, és láttam, hogy 2 hülye nevű dll betöltődik a rundll32-vel. Megkeresetem ezeket, akkor láttam, hogy ma délután kerültek fel a gépre. NOD32 persze simán tisztának látta őket. Tettem fel gyorsan egy Ad-Aware-t, az se fogta meg(gondoltam lehet olyan spyware/adware, amit túl jelentéktelennek talált a nod, ezért nem került bele).
Aztán nem tudtam mást csinálni, mint unlockerrel feloldani a fájlokon lévő zárolást, majd miután elszállt minden, indítottam egy cmd-t feladatkezelővel, és töröltem a fájlokat. Aztán elindítottam az explorer.exe-t, azóta jó minden, a 2 fájl eddig nem jött vissza. Ami ilyesztő volt, hogy az Unlocker szerint egy csomó általános program zárolta az egyik fájlt, pl maga az unlocker is, a daemon tools is, tehát elég durva vírusról van szó.
Még most sem vagyok benne biztos, hogy megszabadultam tőle, de gondoltam írok ide mindenképp, mert elég durvának tűnt a dolog, főleg hogy sikerült bekapnom annak ellenére, hogy semmi olyat nem tettem, amivel egy vírus általánosan beszedhető, meg annyi tapasztalatom és tudásom van a számítógépekkel kapcsolatban(ne értsétek félre, nem nagyképű akarok lenni, de ez így van), hogy röhögve 1000km-ről kiszúrom egy fájlról, ha vírus(nem ártalmatlan utólag fertőzött fájlokról beszélek persze, hanem ami eleve vírus önmagában), úgyhogy elég komoly vírusról lehet szó, mert szerintem 100%, hogy valami Windows exploitot kihasználva célzott hálózati támadással jutott be.
Az mondjuk még hozzá tartozik, hogy minden portom nyitva van, mert szoktam olyan dolgokat csinálni, ami miatt ez szükséges.
A lényeg, hogy a 2 fájl neve knxhcdcl.dll és xerhnssj.dll, a System32 mappában találtam őket, és az eddig látottak alapján képesek magukat a memóriában lévő programokkal meghivatni(remélem csak sima dll call volt, de az is lehet ezek a fájlok a lemezen is megfertőzödtek, remélem nem). És a NOD32 egyelőre nem ismeri fel, más vírusírtót nem próbáltam, de az egyik(a durvábbik, ami vagy 8 program által volt zárolva) fájlt elküldtem a NOD32-vel, hogy valószínűleg ismeretlen vírus által fertőzött.