|
backdoor.tidserv htj-logi
|
|
|
marjannne
Newbie
|
18. marraskuuta 2009 @ 10:02 |
Linkki tähän viestiin
|
Hei!
Kertoilin ongelmastani jo toisella osastolla( http://keskustelu.afterdawn.com/t.cfm/f-...tidserv-815219/ ), mutta siis kone jumittaa kunnolla ja esim. ComboFix ei mene alkua pidemmälle, kun jumittuu.
Tuossa htj-logi:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:48:48, on 18.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal
Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Norton 360\Engine\3.5.2.11\ccSvcHst.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\program files\aol\aol toolbar 5.0\AolTbServer.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3...avilion&pf=cnnb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3...avilion&pf=cnnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3...avilion&pf=cnnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3...avilion&pf=cnnb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 134.151.255.180:3127
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton 360\Engine\3.5.2.11\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton 360\Engine\3.5.2.11\IPSBHO.DLL
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton 360\Engine\3.5.2.11\coIEPlg.dll
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: &AOL-työkalurivi Haku - C:\ProgramData\AOL\ieToolbar\resources\fi-FI\local\search.html
O8 - Extra context menu item: Lähetä kuva &Bluetooth-laitteeseen... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Lähetä sivu &Bluetooth-laitteeseen... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton 360\Engine\3.5.2.11\coIEPlg.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\aestsrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton 360 (N360) - Symantec Corporation - C:\Program Files\Norton 360\Engine\3.5.2.11\ccSvcHst.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Windows\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\STacSV.exe
O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\SupportSoft\bin\ssrc.exe
O23 - Service: Symantec RemoteAssist - Symantec, Inc. - C:\Program Files\Common Files\Symantec Shared\Support Controls\ssrc.exe
--
End of file - 6565 bytes
|
|
Hujo
Suspended permanently
|
18. marraskuuta 2009 @ 15:58 |
Linkki tähän viestiin
|
|
ookos käyttänyt hjt:tä ihan ite.
meinaan siellä on 04 rivejä aika paljon hukassa.
|
AfterDawn Addict
|
18. marraskuuta 2009 @ 16:05 |
Linkki tähän viestiin
|
|
Norttonin tässä versiossa ei ole
04 riviä.
Älä johda "marjannea" harhaan.
.
(:)
|
|
Hujo
Suspended permanently
|
18. marraskuuta 2009 @ 16:37 |
Linkki tähän viestiin
|
Vai on kysmyksen esitys ja 04 rivien pienuus epäily harhaan johtamista
O4 - Global Startup: Bluetooth.lnk = ? ainoo 04 rivi
|
|
marjannne
Newbie
|
18. marraskuuta 2009 @ 17:21 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Hujo:
Vai on kysmyksen esitys ja 04 rivien pienuus epäily harhaan johtamista
O4 - Global Startup: Bluetooth.lnk = ? ainoo 04 rivi
En ole käyttänyt hjt:ta.
|
|
Hujo
Suspended permanently
|
18. marraskuuta 2009 @ 17:45 |
Linkki tähän viestiin
|
Lataa Malwarebytes' Anti-Malware työpöydällesi.
1. Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
2. Lopuksi varmistu, että seuraavat on valittu: Update Malwarebytes', Anti-Malwareja
Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaaFinish.
3. Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
4. Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
5. Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
6. Varmistu, että kaikki on merkitty ja klikkaa Remove Selected.
7. Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki
löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application
Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
8. Lähetä lokin sisältö seuraavassa viestissäsi
|
|
marjannne
Newbie
|
18. marraskuuta 2009 @ 22:11 |
Linkki tähän viestiin
|
Ei löytänyt mitään.. En tajua, Nortonin auto-protect automaattisuojaus on yleensä estänyt backdoor.tidserv:in monia kertoja päivässä, mutta nyt sekään ei ole ilmoittanut siitä mitään koko päivänä. Kai se virus on sitten poistunut itsestään koneelta??
Kone ei kyllä muuten tunnu olevan kunnossa -> prosessori jatkuvasti 50-70%, vähänkin kuormittaessa 100%. Netti-tv:tä katsellessa kone kuumenee liikaa ja sammuu..
Tuossa tuo logi nyt kuitenkin:
Malwarebytes' Anti-Malware 1.41
Tietokantaversio: 3193
Windows 6.0.6002 Service Pack 2
18.11.2009 21:36:55
mbam-log-2009-11-18 (21-36-55).txt
Tarkistustyyppi: Täysi tarkistus (C:\|D:\|E:\|)
Tarkistetut kohteet: 377780
Kulunut aika: 2 hour(s), 51 minute(s), 10 second(s)
Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 0
Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)
Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)
Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)
Saastuneita tiedostoja:
(Haitallisia kohteita ei löydetty)
|
|
marjannne
Newbie
|
18. marraskuuta 2009 @ 22:28 |
Linkki tähän viestiin
|
|
Niin ja kun olen tuota ComboFix:ia koittanut, niin eilen se heitti kesken sinistä ruutua, jossa oli jotain virheestä, jonka ohjelma aiheutti--> kone täytyi sammuttaa, en sitten tiedä onko tuolla tekemistä sen kanssa, että virusta ei nyt näy. Se virhe tuli melkein heti kun alkoi tarkastamaan.
|
|
Hujo
Suspended permanently
|
19. marraskuuta 2009 @ 00:25 |
Linkki tähän viestiin
|
|
Tuota minkäs tehonen se kone on ja paljon on keskusmuistia
Mitäs noi lämmöt on niin kuin ilman neti tv katselua.
Onkos se pötytä kone vai läppäri
|
|
marjannne
Newbie
|
19. marraskuuta 2009 @ 10:40 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Hujo:
Tuota minkäs tehonen se kone on ja paljon on keskusmuistia
Mitäs noi lämmöt on niin kuin ilman neti tv katselua.
Onkos se pötytä kone vai läppäri
Amd turion x2 dual-core mobile rm-70 2,0 GHz
Ram 3 Gt
Läppäri
Everest ohjelma näytti seuraavia tietoja:
Suoritin 72 °C (162 °F)
1. suoritin / 1. ydin 85 °C (185 °F)
1. suoritin / 2. ydin 86 °C (187 °F)
Suorittimen käyttöaste
1. suoritin / 1. ydin 24 %
1. suoritin / 2. ydin 96 %
Korkeita lämpöjä? Tuo suoritinkin ihmetyttää, kun toinen jatkuvasti 7-30% ja toinen 90-100%
|
|
Hujo
Suspended permanently
|
19. marraskuuta 2009 @ 14:36 |
Linkki tähän viestiin
|
|
Saakos putsattua pölyt koneen sisältä.
Onkos se muussa käytössä sammunut itsestään.
Mahottoman korkeita lämpöjä.
|
|
marjannne
Newbie
|
19. marraskuuta 2009 @ 21:52 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Hujo:
Saakos putsattua pölyt koneen sisältä.
Onkos se muussa käytössä sammunut itsestään.
Mahottoman korkeita lämpöjä.
Onhan tää sammunut pari kertaa muutenkin. Pölyä ei saa pois jos ei avaa konetta, laite vuoden vanha - en usko että sitä olis vielä paljoa kertynyt.. Epäilen nyt noita lämpotilojen paikkansapitävyyksiä, kun kone oli kansi kiinni lepotilassa 2.5h ja avattuani koneen lämmöt oli muka heti +50. Monen eri ohjelman mukaan..
Laitoin HP:n tukeen pyynnön että ilmoittelisivat tämän laitteen "normaalilämpötilat ja linkin ohjelmistoon joka tukee just tätä konettä, että näkisi vähän pyöriikö tuulettimet yms.
Seuraavaksi asentelen vistan uudelleen ja toivon että siitä olisi sitten apua(saapahan turhat ohjelmat taas siivottua koneelta)
Jos kerta viruksia ei ole koneessa, niin eiköhän tän palstan anti tähän vaivaan ole tässä, kiitokset vastauksista. :)
|
|
Mainos
|
|
|
|
Hujo
Suspended permanently
|
19. marraskuuta 2009 @ 22:03 |
Linkki tähän viestiin
|
|
joo sillä ainakin lähtee se sininen taulu pidähän läppäri kovalla alustalla ettei karvalankamaton päällä. et kone saa jäähy ilmaa.
|
