Otóż w pracy na jeden z kompów wlazł jakiś śmieć... Siedziałem 4 godziny i wypleniłem (np. przy każdym przeładowaniu strony w IE wyskakiwał msgbox z tekstem "asdkjakfbadfadkf" czy coś).
Niby wszystko jest ok, ale przy zamykaniu system czeka na zakończenie aplikacji NGHOII32.EXE. Teraz ciekawsza sprawa, takiego procesu nie ma na liście menedżera zadań, nie ma ani słowa w google, nie ma takiej aplikacji na dysku. Jedyny ślad jest w preftechu, skąd wygrzebałem takie info:
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\NTDLL.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\KERNEL32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\UNICODE.NLS
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\LOCALE.NLS
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SORTTBLS.NLS
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\NGHOII32.EXE
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WSOCK32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WS2_32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\MSVCRT.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WS2HELP.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\ADVAPI32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\RPCRT4.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\OLEAUT32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\OLE32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\GDI32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\USER32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WININET.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\CRYPT32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\MSASN1.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SHLWAPI.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\CRTDLL.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\CTYPE.NLS
\DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\X86_[...]\COMCTL32.DLL
\DEVICE\HARDDISKVOLUME1\WINDOWS\WINDOWSSHELL.MANIFEST
\DEVICE\HARDDISKVOLUME1
\DEVICE\HARDDISKVOLUME1\
\DEVICE\HARDDISKVOLUME1\WINDOWS\
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\
\DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\
\DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\X86_[...]\
Zakropkowałem ciąg MSWinComCtrl "6595B64144CCF1DF_6.0.2600.1643_X-WW_7C3A9BC6", żeby skrócić bo rozwalało stronę.
Od razu zaznaczam, że WINDOWS\SYSTEM32\NGHOII32.EXE nie istnieje, prawdopodobnie siedzi podpięta jakaś dllka i tworzy sobie ten plik, uruchamia, zamyka i potem usuwa, teraz szukam po całym dysku plików zawierających tekst NGHOII.
Macie jakieś propozycje jak to namierzyć i wywalić? Ani NAV, ani Avast, czy Ad-Aware nie znalazły nic.
Nie mogę też odpalić na tym kompie Process Explorera Sysinternals.
Dopisane: Dllka musiałą go blokować, teraz gdy jej nie ma program uruchamia się, wcześniej czasem też przy uruchamianiu taskmgr.exe wywalało błąd, przy Process Explorer zawsze.
[Dopisane 13:11]
Cały dysk przeszukany, rezultat to cache przeglądarek z urlem do googli oraz podejrzana 6kB dllka
C:\WINDOWS\System32\Gbjmcblf.dll
usunąć się nie da, więc odpalam ListDLLS i mam ją podpiętą pod explorera:
EXPLORER.EXE pid: 308
Command line: C:\WINDOWS\Explorer.EXE
Base Size Version Path
[...]
0x012e0000 0x8000 C:\WINDOWS\System32\Gbjmcblf.dll
[...]
Wywale to spod safe mode, może to rozwiąże problem. Jak nie to dam znać, jak tak to może to będzie wskazówka dla innych, którzy się z tym spotkają. Skoro na google nie ma to będe pierwszy :P