|
Viruksen poisto
|
|
|
Takajammu
Member
1 tuotearvio
|
1. maaliskuuta 2005 @ 15:18 |
Linkki tähän viestiin
|
|
Miten saa sellaisen viruksen poistettua, jonka eScan ilmoittaa olevan System volume information kansiossa, mutta sinne kansioon ei pääse millään. Virus on jotain Adwarea tai spywarea. Onko mitään tehtävissä.
|
|
Toymaatti
Senior Member
|
2. maaliskuuta 2005 @ 05:55 |
Linkki tähän viestiin
|
|
|
|
Takajammu
Member
1 tuotearvio
|
2. maaliskuuta 2005 @ 13:12 |
Linkki tähän viestiin
|
|
C:\WINDOWS\Downloaded Program Files\secureweb.ocx
miten tällaisen sit saa poistettua kun sitä ei löydy koneelta ollenkaan
|
|
Takajammu
Member
1 tuotearvio
|
2. maaliskuuta 2005 @ 13:47 |
Linkki tähän viestiin
|
|
|
|
Toymaatti
Senior Member
|
2. maaliskuuta 2005 @ 16:50 |
Linkki tähän viestiin
|
Kyllä siellä kerrotaan, eli kun poistat
järjestelmänpalautuksen käytöstä se örkki häviää. Voi laittaa sen takaisin päälle käynnistyksen jälkeen.
Siis tuolla Downloaded Program Files kansiossako ei ole tuota secureweb.ocx?
Laita piilotiedostot näkyviin, jos se sitten löytyisi
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339
Onko tuo eScan se poistava versio vai näyttääkö se vain uhat mutta ei tee niille mitään?
|
|
Takajammu
Member
1 tuotearvio
|
2. maaliskuuta 2005 @ 17:11 |
Linkki tähän viestiin
|
|
Aijaa en heti tajunnu, sori. Tuolta yheltä sivulta latasin, jonka taisit olla juuri sinä pistänyt eli se poistava versio ja onkin poistanut jo useammankin örmykörmyn. Siis kyllä se löytää, mut ei tee sille mitään ja "käsin" sellaista tiedostoa ei löydy mistään.
|
|
Toymaatti
Senior Member
|
2. maaliskuuta 2005 @ 17:29 |
Linkki tähän viestiin
|
|
|
|
Takajammu
Member
1 tuotearvio
|
3. maaliskuuta 2005 @ 12:06 |
Linkki tähän viestiin
|
On näkyvis ja ei löydy
Logfile of HijackThis v1.99.1
Scan saved at 17:05:13, on 3.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\dna Nettiturva\Common\FSM32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\DNANET~1\backweb\4653381\Program\SERVIC~1.EXE
C:\Program Files\dna Nettiturva\Anti-Virus\fsgk32st.exe
C:\Program Files\dna Nettiturva\Anti-Virus\FSGK32.EXE
C:\Program Files\dna Nettiturva\backweb\4653381\program\fsbwsys.exe
C:\Program Files\dna Nettiturva\Anti-Virus\fssm32.exe
C:\Program Files\dna Nettiturva\fswsclds.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\dna Nettiturva\backweb\4653381\Program\BackWeb-4653381.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\dna Nettiturva\Common\FSMA32.EXE
C:\Program Files\dna Nettiturva\Common\FSMB32.EXE
C:\Program Files\dna Nettiturva\Common\FCH32.EXE
C:\Program Files\dna Nettiturva\Common\FAMEH32.EXE
C:\Program Files\dna Nettiturva\Anti-Virus\fsav32.exe
C:\Program Files\dna Nettiturva\DFW\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe
Explorer\Main,Window Title = dna Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://paivitys.dnainternet.fi/yhteys/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\dna Nettiturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\dna Nettiturva\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\googletoolbar.dll/cmtrans.html
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.salonseutu.fi
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/209a356f4749198dc205/netzip/RdxIE601.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1031_pack_XP.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1009_1035_pack_XP.cab
O16 - DPF: {CF5F84EB-D3FC-4F98-BE3B-F5B56B962CED} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_XP.cab
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_EN_XP.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: dna Nettiturva (BackWeb Client - 4653381) - Unknown owner - C:\PROGRA~1\DNANET~1\backweb\4653381\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\dna Nettiturva\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\dna Nettiturva\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\dna Nettiturva\backweb\4653381\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\dna Nettiturva\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\dna Nettiturva\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\dna Nettiturva\fswsclds.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 3. maaliskuuta 2005 @ 12:07
|
|
Toymaatti
Senior Member
|
3. maaliskuuta 2005 @ 12:33 |
Linkki tähän viestiin
|
|
|
|
Takajammu
Member
1 tuotearvio
|
3. maaliskuuta 2005 @ 15:00 |
Linkki tähän viestiin
|
|
File C:\WINDOWS\Downloaded Program Files\secureweb.ocx tagged as not-a-virus:Porn-Dialer.Win32.ALifeDialer. No Action Taken.
File C:\WINDOWS\system32\Macromed\Shockwave 10\Download.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File D:\vanhastac\Paikallinen levy (E)\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File E:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken
Kaiken näköisiä sitä koneelta löytyy :D
|
|
Toymaatti
Senior Member
|
3. maaliskuuta 2005 @ 17:50 |
Linkki tähän viestiin
|
|
Voihan helevata!!
En sitten muistanut kertoa että käynnistä uudelleen Hjt:n jälkeen.
Luulisin että tuo File C:\WINDOWS\Downloaded Program Files\secureweb.ocx ei enää löydy, ehkä, tai sitten, no minun moka :(
Ajatko vielä eScanin, ja laita lista... sorry.
Tiedätkö/tunnetko tämän ohjelman, onko se OK
E:\WINDOWS\COMMAND
|
|
Takajammu
Member
1 tuotearvio
|
3. maaliskuuta 2005 @ 18:04 |
Linkki tähän viestiin
|
|
No voihan prkele. ei mitään tietoa tuosta tiedostosta.
EDIT: Itse asiassa tuossa vähän aikaa sitten ajoin eScanin ja löytys tuo secureweb homma ja buuttasin koneen sen jälkeen eikä se näköjään ole sieltä mihinkään kadonnu
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 3. maaliskuuta 2005 @ 18:06
|
|
Toymaatti
Senior Member
|
3. maaliskuuta 2005 @ 18:32 |
Linkki tähän viestiin
|
No voihan..Heh täähän menee kiroilukilpailuks.
Jos tuo on miettimisenkin jälkeen ihan outo niin katso Lisää/Poista sovelluksesta löytyykö, jos niin poista, ellei niin poista koko kansio käsin.
E:\WINDOWS\COMMAND\EBD\EBD.CAB
Ota linkistä KillBox.
http://www.bleepingcomputer.com/files/killbox.php
Avaa se ja pistä rasti ruutuun(taitaa olla jo oletuksena)
Standart file kill
Sitten tähän kohtaan
Full Path of File to Delete
Kopioi tuo rivi siihen
C:\WINDOWS\Downloaded Program Files\secureweb.ocx
ja paina sitä punaista ympyrää jossa on valkoinen X ja vastaa Yes.
Jokohan nyt lähti??
|
|
Toymaatti
Senior Member
|
3. maaliskuuta 2005 @ 18:34 |
Linkki tähän viestiin
|
|
Siellä kuitenkaan mitään erroreita ollu kun kerran tuli tuplana.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 3. maaliskuuta 2005 @ 18:36
|
|
Takajammu
Member
1 tuotearvio
|
4. maaliskuuta 2005 @ 18:02 |
Linkki tähän viestiin
|
|
Samassa kansiossa on Microsoft console based script host ja monta .exe tiedostoa. Eli uskaltaako poistaa koko COMMAND kansion?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 4. maaliskuuta 2005 @ 18:03
|
|
Toymaatti
Senior Member
|
5. maaliskuuta 2005 @ 05:51 |
Linkki tähän viestiin
|
|
Anna olla, ei taida olla pahis. Katsele jos jostain esim. tekstitiedostosta selviäisi mitä se tekee. On vaan niin outo paikka koko Windows kansiolla(E:), kun käyttis on kuitenkin C:llä, tosin ei tuo command XP:hen kuulukkaan.
Mitenkäs sen secureweb.ocx kanssa kävi??
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
|
Takajammu
Member
1 tuotearvio
|
5. maaliskuuta 2005 @ 08:31 |
Linkki tähän viestiin
|
|
Websecure katos :) mut noi kaks muuta jäi eli annanko asian vaan olla kun ei ne mitään näytä haittaavan. Ja kiitos sulle kovasti, taidat olla virusmaailman terminaattori kun näytät kaikkia meitä tyhmempiä neuvovan näissä asioissa.
|
|
Toymaatti
Senior Member
|
5. maaliskuuta 2005 @ 14:11 |
Linkki tähän viestiin
|
Kyllä näyttäis siltä että puhdasta on.
Tarkoitat näitä kahta??
E:\WINDOWS\COMMAND\EBD\EBD.CAB
Paikka on outo mutta ei varmaankaan ole pahis, tosin lieneekö mitään hyötyäkään?
Ne toiset kaksi on hoidettu :D
Hyvä että siitä secureweb.ocx päästiin eroon.
Ja örkkien kaveri en ainakaan ole mutta että ihan Terminaattori...no ei sentään... tai pitäisköhän vaihtaa nikki ;)
Eipä täällä taida olla muita viisaampia eikä tyhmempiä, toiset tietää jostain asiasta enemmän kuin toiset ja toiset taas enemmän jostain muusta asiasta. Kun autellaan muita niissä asioissa joissa voidaan niin kaikilla menee hieman paremmin.
Ainiin, sulla on Internet Explorer käytössä, jos ei vielä ole niin hommaa SpywareBlaster lisäsuojaksi
http://koti.mbnet.fi/pattaya1/spywareblaster.htm
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
|
Takajammu
Member
1 tuotearvio
|
5. maaliskuuta 2005 @ 14:48 |
Linkki tähän viestiin
|
|
Turha tajusin jo itekki
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 5. maaliskuuta 2005 @ 16:21
|
|
Toymaatti
Senior Member
|
5. maaliskuuta 2005 @ 16:42 |
Linkki tähän viestiin
|
|
Hyvä!!
Jos en ihan väärin arvaa niin nyt luit rivin loppuunasti.
Sinussa on Terminaattori ainesta ;)
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
|
Mainos
|
|
|
|
Takajammu
Member
1 tuotearvio
|
5. maaliskuuta 2005 @ 18:01 |
Linkki tähän viestiin
|
|
Pienes myötäises jäi "kiireessä" sivun lukeminen jäi siihen kun latauslinkin löysin.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 5. maaliskuuta 2005 @ 18:02
|
