|
XPC.Sony.Rootkit - Trojan, Hacker Tool (??)
|
|
|
heiku
Account closed as per user's own request
|
25. helmikuuta 2006 @ 15:06 |
Linkki tähän viestiin
|
|
Scannasin koneen zonealarmin palomuurin asennuksen yhteydessä ja tämmönen löyty. mikähän se on? olen todellinen keltanokka näissä asioissa...
|
Senior Member
|
25. helmikuuta 2006 @ 15:32 |
Linkki tähän viestiin
|
|
|
|
heiku
Account closed as per user's own request
|
26. helmikuuta 2006 @ 05:29 |
Linkki tähän viestiin
|
Tässäpä tämä
Logfile of HijackThis v1.99.1
Scan saved at 10:26:40, on 26.2.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\WIDCOMM\Bluetooth-ohjelmisto\bin\btwdins.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth-ohjelmisto\BTTray.exe
C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\hjt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ka.ramk.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone -pikakäynnistys.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://avustaja.sonera.fi/sdccommon/download/tgctlcm.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSSc...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth-ohjelmisto\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod-palvelu (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
|
Senior Member
|
26. helmikuuta 2006 @ 05:48 |
Linkki tähän viestiin
|
|
XPC on joissakin sonyn audio cd:ssä oleva kopiosuojaus joka piilottaa itsensä rootkitin avulla ja korvaa wintoosan normaalin cd-aseman ajurin, aiheuttaen näin tietoturva aukon koneelle jota muutamat virukset jo hyödyntävät. Aiheutti aika ison kohun jokunen kuukausi sitten.
うさぎ => Kubuntu 10.04 64b + W7Pro64 # EliteBook 8540w # Ci7 620M # 4GB # QFX 880M # 7k500 500GB
きつね => WXP32 # PIIX4 910e # 4GB # RHD 6870 # 500GB
くま => Linux/XBMC 64b # Zotac MAG HD-ND01 # N330 # 2GB # GF 9400M/ION
とら => Ubuntu Server 8.04 LTS 64b # Jetway NC62K-LF # AX2 4850e @1,7GHz/0,9V # 2GB # F1 4x1TB
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 26. helmikuuta 2006 @ 05:49
|
|
heiku
Account closed as per user's own request
|
26. helmikuuta 2006 @ 06:01 |
Linkki tähän viestiin
|
|
Mä vähän arvelinkin, että se olis se. Mut miten muistelen, et niitä levyjä ei ollu Suomen markkinoilla? En ole tuonu mistään levyjä. Ja miten mä saan sen pois? Sonyn sivuilla piti olla joku juttu(?) mut missä siellä.
|
Senior Member
|
26. helmikuuta 2006 @ 06:39 |
Linkki tähän viestiin
|
|
Vastaan pian :D
|
Senior Member
|
26. helmikuuta 2006 @ 07:02 |
Linkki tähän viestiin
|
Lokissa en näy mitään ihmeellistä, mutta tässä tulee ohjeet tuon Sony Rootkitin poistoon:
Annan kaksi tapaa:
Tapa 1
1. Klikkaa Käynnistä.
2. Klikkaa Suorita.
3. Kirjoita kenttään: cmd /k sc delete $sys$aries ja paina OK.
4. Käynnistä tietokone uudelleen.
5. Poista tiedosto C:\Windows\system32\$sys$filesystem\aries.sys
Tapa 2
Jos kuitenkin haluat mieluummin käyttää automaattista työkalua, valitse jokin seuraavista.
Virustorjuntayhtiöiden työkaluja:
Symantec's Tool: http://securityresponse.symantec.com/avcenter/venc/data/securityr...
Sophos Tool: http://www.sophos.com/support/disinfection/rkprf.html
Ohjeet on englanniksi.
|
|
heiku
Account closed as per user's own request
|
26. helmikuuta 2006 @ 11:03 |
Linkki tähän viestiin
|
|
Yritin ensin poistaa sitä ite, mut ei onnistunu. Tyhmä kysymys, et mistä voiv poistaa tuon tiedoston, kun en löydä sitä. Sitten yritin tuolla symantecin jutulla, mutta se ei löytänyt mitään, ei myöskään sophos (???). Alarmzonen scannaus löytää sen yhä. Kokeilen vielä ewidolla, löytääkö se mitään.
Ei löytäny ewidokaan mitään. Toi on viissiin hyvin piilossa?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 26. helmikuuta 2006 @ 11:24
|
|
Mainos
|
|
|
Senior Member
|
26. helmikuuta 2006 @ 13:31 |
Linkki tähän viestiin
|
|
|
