Reading time: 2 – 4 minutes
Resulta que fa temps que tenia infectat el W2k server que uso com a Workstation de proves a casa amb algún tipus de malware, no sé si li hauria de dir adware o spyware. La qüestió és que després de provar almenys 5 anti-malwares cap me l’havia aconseguit eliminar. Fins que després de dies i dies pensant formes i buscant coses, vaig decidir usar el mètode manual per solucionar el problema. Què quin és aquest mètode? doncs agafar un programa que identifiques els programes que hi ha corrent en memòria i un altre que perseguís les dependencies dels mateixos. D’aquesta segona utilitat en vaig parlar fa temps en un article: Dependències dels mòduls de windows (.dll, .ocx, .exe, …) i l’altre eina que vaig usar és: Process Explorer for Windows 9x/NT/2000/XP/S2K3 de la companyia Sysinternals.
Gràcies a aquesta útlima eina vaig poder detectar que hi havia un procés que es llençava periódicament aquest procés es diu: okaygpl.exe i s’encarregava d’anar donant pel sac a totes les coses que jo arreglava. O sigui, canviava la URL per defecte del navegador per defecte, m’afegia una barra de búsqueda al IE, m’instal·lava un fotimer d’icones d’accés directa a l’escriptori quan li donava la gana, etc. Cada cop que ho arreglava ell anava i ho borrava tot. Per cert, tot una odisea era desactivar aquella barra de ‘search’ del IE, ja que per desactivar-ho s’havia d’anar amb el botó dret del ratolí a la opció de ‘Help’ i dins del submenú hi havia ‘disabe’ llavors et demanava que entressis un codi que sortia amb unes lletres migborroses i desapareixia la barra, per sempre? NOO! fins que el procés torracollons tornava a instal·lar tota la pesca.
Doncs bé si a algú li passa el mateix, ja ho sap només ha de buscar el okaygpl.exe al disc dur i eliminar-lo arracant el Win en mode a prova d’errors, sinó no podrà perquè li dirà que el procés està en execusió. En el meu cas el vaig trobar a: f:\documents and settings\all users\…\okaygpl.exe. Fins aquí la meva odisea de mesos i mesos intentant eliminar aquest coi de malware.
Com a referència a aquestes temàtiques podeu usar un foro molt complert:: SpywareInfo