Podivný tarkmgr.exe - podivné řešení

29. května 2006 v 18:17 | jandys |  Střípky z IT
Minulý čtvtek se nám nějak zaviroval jeden stroj. Objevil se v něj podivný process tarkmgr.exe. Velmi se zpomalila činnost počítače, Průzkumník je nepoužitelný, otvírání dokumentů Office se zpomalilo několikrát. Antiviry a antispyware mlčí. Našel jsem řešení, ale dočasné ...
UPDATE 30.5.2006 18:25 Byly objeveny další části (iexplorer.exe a CFTM0N.exe-s nulou na předposlední pozici, když se smažou všechny tři z ze všech lokací tak to pomáhá :-) Iexplorer.exe NECHAT jen v adresáři c:\Program files\Internet explorer...

UPDATE 18:23 - Pro šťouraly dodávám, že čínsky neumím a informace v ENG nejsou k nalezení.
Tento text je výtahem se summary, které jsem dnes odeslal jedné antivirové společnosti:
Projevy nákazy:
zpomalení PC
velmi pomalé načítání souborů v Průzkumníku
několikanásobné zpomalení otvírání dokumentů Office v řádu desítek sekund - dříve jednotky sekund
při vypínání PC hlásí "WAB Notification window" nejde ukončit - pozn. pod tímto názvem ho identifikuje i pokročilý task mgr.
V taskmanageru naštěstí jde ukončit.
Pak následuje smazání z adresářů
C:Windoswssystem32
C:WindoswsPrefetch
C:System Volume information (detekce podle velikosti a obsahu - po přejmenování)
Po startu počítače se spustí znovu!!!!
Žádný BHO objekt se nám v infikovaném počítači nepodařilo objevit.(Toolbarcop)
pomocí Spybot-S&D, aplikace TeaTimer, jež hlídá registry (HCLM,HKCU - Run a spol.) se ukáže se se vždy po spuštění zkouší přidat tento klíč do registru
HKLMRun - "tarkmgr.exe"
vytvořen byl i klíč " -run" ten se ale obnovit nezkoušel
když byla v PC proxy nakonfigurovaná špatně, PC pracovalo bez problémů.
Po prvním restartu s dobře nakonfigurovanou proxy se po spuštění opět stáhl ze sítě a spustil. Nemám logy z Proxy serveru, takže nevím z jaké IP se stáhl.
Podle Processtree ho spouští přímo explorer.
Jinde v registru se nevyskytoval, po restartu se opět zapsal do větve HKLM . Teatimer mu sice zakázal se zapsat do registru ale stejně se odněkud spustil.

Mazání j ničemu nevedlo.....................

Jediné co pomohlo - jestli se tomu dá říkat pomoc - nechat tam kde je(prefetch+system32), ale odepřít přístup k souboru. Viz obrázek

Ani po opakovaném restartu se se nespustil. Nějaký rootkit zřejmě jen kontroluje, že se nachází tam kde má a zavoláho. Neočekává že k danému souboru není přístup. Rootkit revealer nic nenašel...
Toolbarcop - na infikovaném počítači nic, žádné BHO objekty, mimo standartních(adresa atp.) - http://windowsxp.mvps.org/toolbarcop.htm
Spybot S&D - nic , jen po spuštění zjistil snahu se přidat do registru - http://www.safer-networking.org/en/download/
Prcview - processtree ukázal že ho spouští přímo explorer - http://www.pcworld.com/downloads/file_description/0,fid,6102,00.asp
 

Buď první, kdo ohodnotí tento článek.

Komentáře

1 jandys jandys | 3. června 2006 v 23:42 | Reagovat

od středy od rána již tuto potvoru zachycuje i náš antivirový program. Třeba jim pomohl i naš email z pondělního večera ;-)

Nový komentář

Přihlásit se
  Ještě nemáte vlastní web? Můžete si jej zdarma založit na Blog.cz.
 

Aktuální články

Reklama