|
Trojan.Win32 , StartPage.uz
|
|
|
ande
Suspended due to non-functional email address
|
8. toukokuuta 2005 @ 10:34 |
Linkki tähän viestiin
|
Meikäläisellä on pieni ongelma tuollaisen pöpön kanssa. Käyttiksenä win xp.
Se luo automaattisesti internet exploreria avattaessa c:\documents and settings\käyttäjä\local settings\temp\se.dll tiedoston jota ei voi sen syntymisen jälkeen poistaa kuin vikasietotilassa.
Se syntyy uudestaan myös vikasietotilassa jolloin kone on käynnistettävä uudelleen. Virus vaihtaa aloitus sivuksi about blank sivuston jne.
Olen yrittänyt spybottia, adawarea, microsoft antispywarea ja olen etsinyt regeditillä nuo se.dll tiedostoon viittaavat rekisterit ja poistanut suon se.dll tiedoston, sekä hijackthis:llä vielä tarkistanur rekisterin. Olen myös vaihtanut aloitus sivuksi googlen. Mutta ei... se vain luo rekisterinsä uudestaan ja uudestaan ja luo sen se.dll:n uudestaan . Mikä avuksi. Joku on varmaan törmännyt samaiseen joskus ja tietää mihin kaikkialle tuo virus oikein pesiytyy..
hijackthis loki nyt:
Logfile of HijackThis v1.99.1
Scan saved at 14:32:44, on 8.5.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\rundll32.exe
C:\Documents and Settings\Hannu\Työpöytä\hijackthis\hijackthis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3C9D8F8F-DA60-4884-841F-33D932BEC950} - C:\WINDOWS\System32\fknn.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Program Files\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://elisa.net/
O18 - Filter: text/html - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll
O18 - Filter: text/plain - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: F-Secure Internet Security 2004 (BackWeb Client - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\fswsclds.exe
Olen poistanut jo useampaan otteeseen nuo aboutblank/se.dll rekisterimerkinnät mutta ne vain uusiutuvat!!!
|
Senior Member
|
8. toukokuuta 2005 @ 10:56 |
Linkki tähän viestiin
|
|
Tuo voi olla aikaa sitkee pirulainen, mutta toivotaan että se lähtee ku näkee Toymaatin.
|
|
ande
Suspended due to non-functional email address
|
8. toukokuuta 2005 @ 11:08 |
Linkki tähän viestiin
|
|
Mikähän tuo fknn.dll oikein on. Ei tuntunut oikein löytyvän tietoa tuosta tiedostosta. Voisinpa melkein kokeilla sen poistamista.
|
|
morbir
Senior Member
|
8. toukokuuta 2005 @ 11:48 |
Linkki tähän viestiin
|
|
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 8. toukokuuta 2005 @ 11:50
|
|
ande
Suspended due to non-functional email address
|
8. toukokuuta 2005 @ 12:12 |
Linkki tähän viestiin
|
|
Enpä ole löytänyt korjaustiedostoja. SP2:nen on harkinnassa. Tuo keskustelu tuli kyllä tutkittua, mutta vahingolisesti nuokaan ei tepsineet. Taitaa olla hiukan eri versio, kun ei ole noita acbodda.dll:ään viittaavia rekistereitä. Selaimen vaihtokin voisi olla hyvä idea.
|
AfterDawn Addict
3 tuotearviota
|
8. toukokuuta 2005 @ 13:41 |
Linkki tähän viestiin
|
Quote:
Selaimen vaihtokin voisi olla hyvä idea.
Ei kai...mitä turhaan IE tuo jännitystä elämään..se on ihan ehdottomasti superparas selain...NOT! En ymmärrä ihmisiä jotka käyttää IE:tä muuhun kuin Windows Updateen. No ei kaikki voi olla kaukaa viisaita.
Kuten ande sanoi toi taitaa olla jokin random generoitu dll. Ei löydy tietoa netistä.
O2 - BHO: (no name) - {3C9D8F8F-DA60-4884-841F-33D932BEC950} - C:\WINDOWS\System32\fknn.dll
O18 - Filter: text/html - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll
O18 - Filter: text/plain - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll
Toi nyt on ihan selvä ongelmakohta.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll,DllInstall
Sulla taitaa olla useampi antispyware tutka päällä...tarpeetonta.
Give a man a fish and you feed him for a day.
Teach a man to fish and you feed him for a lifetime.
|
|
Toymaatti
Senior Member
|
8. toukokuuta 2005 @ 13:56 |
Linkki tähän viestiin
|
Moro ande, tiiäkkö mitä nyt tehdään?? Nyt annetaan örkille kyytiä :)) (toivottavasti)
Ihan ensimmäiseksi siirrä Hjt kansioineen tuonne C:\hijackthis\hijackthis.exe
Laita piilotiedostot näkyviin
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339
Hae linkistä työkalu, pura se työpöydälle, tuplaklikkaa kuvaketta ja kun kone käynnistyy uudelleen niin mene VIKASIETOTILAAN.
http://www.derbilk.de/SpSeHjfix112.zip
Merkkaa nuo HjT:ssä, sulje muut ikkunat, klikkaa Fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {3C9D8F8F-DA60-4884-841F-33D932BEC950} - C:\WINDOWS\System32\fknn.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll
O18 - Filter: text/plain - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll
Etsi ja poista tuo
C:\WINDOWS\System32\===>fknn.dll<===
Tyhjennä tuo temp kansio
C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp
Käynnistä normaalisti, kokeile ja kuulostele, aja HjT ja katso pysyivätkö nuo poistetut rivit poissa??
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
|
ande
Suspended due to non-functional email address
|
8. toukokuuta 2005 @ 17:03 |
Linkki tähän viestiin
|
Jep. Lähtihän se pöpö menemään!!! Oli tuo kyllä etsinnän alla. Koneessa oli lisäksi win32.blaster mato yms.
Uskoakseni tuo fknn.dll oli juuri siitä viruksesta.
Kun se mato oli poistettu symantecin sivuilta löytyvällä poisto työkalulla, ajoin cwshedderillä tarkistuksen ja sieltä löytyi coolwebsearchista erilaisia versioita.
Sen jälkeen poistin hijackthis:illa seuraavat rekisterit:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll,DllInstall
Ne fknn.dll tiedoston rekisterit olivat poistuneet uskoakseni blaster wormin poisto-ohjelmalla.
Sitten tuli käytettyä tuota http://www.derbilk.de/SpSeHjfix112.zip :iä
Jonka jälkeen poistin fknn.dll:n ja käyttäjien temp kansioiden sisällön uudemman kerran (olin jo ennen varsinaista urakkaa kerran tyhentänyt kaikki väliaikaistiedostot yms.)
Lopuksi ajoin scannit spybotilla ja microsoftin antispywarella sekä xoftspylla. spybot ja antispyware löysivät molemmat vielä tuosta viruksesta jämiä ja ne poistettiin.
xoftspysta meikäläisellä ei ollut kuitenkaan rekisteröityä versiota ja joudui poistamaan sen löytämät rekisterivirheet manuaalisesti regeditin avulla. Niitä oli noin kahdeksan. Samalla löysin muutamia muitakin oleellisia rekistereitä jotka oli syytä poistaa. mm. toolbareihin liittyviä jne. Ja oli tuosta coolwebsearchista vielä pieni jämä tuonne jäänyt.
Mutta nyt kaikki toimii niin kuin pitääkin.
Ei enää virhe ilmoituksia. Latasin vielä varmuuden vuoksi mozilla ja otin sen koekäyttöön. Nyt ei pitäisi nuo samat enää vaivata.
Sen näistä käytetyistä koneista saa. Kunnon matolaatikko tämäkin...
|
|
sakke99
Suspended due to non-functional email address
|
21. toukokuuta 2005 @ 09:16 |
Linkki tähän viestiin
|
|
Itse painin saman ongelman kanssa ja en sitten löytänyt muuta ratkaisua
että koko winToosa uusiksi.
Mulla lakkasi toimimasta palomuurit ja virustarkistus ohjelmat
prosessit juoksi 100% eli koneestani tuli oikea muurais virus pesäke
- arvaa Kypsyttikö?
|
|
Mainos
|
|
|
Senior Member
|
21. toukokuuta 2005 @ 15:56 |
Linkki tähän viestiin
|
Kyllähän se varmaan kypsyttää. Pidä windows päivitettynä, virustorjunta ajantasalla, käytä firefoxia ja asenna SpyweraBlaster ja joku spywarenpoisto ohjelma niin olet paremmin suojassa. Tutustu tuosta linkistä löytyviin muihinkin ohjelmiin.
http://keskustelu.afterdawn.com/thread_view.cfm/162275
|
