|
marshal.dll virus
|
|
|
ifa
Newbie
|
10. maaliskuuta 2006 @ 06:55 |
Linkki tähän viestiin
|
|
joo elikkä tommonen virus tuli eilen ku kaveri näytti mukamas hauskan sivun. avasti torju sen ja siirsin karanteeniin. tänään kun aukasin koneen niin avasti ilmoitti löytäneen sen uudestaan ja siirsin karanteeniin. ennen toista ilmoitusta löysin kyseisen tiedoston "etsi" ohjelmalla mutta sitä ei voi poistaa ja kun olin laittanut sen karanteeniin niin en löytänyt sitä tiedostoa "etsi" ohjelmalla. tuommonen C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL. mites nyt pitäisi toimia? voinko luottaa nyt siihen että se pysyy karanteenissa vai tuleeko se taas kun käynnistän koneen uusiksi?
lisäystä vielä:
tässä vähän lokia avastin raporttikatselijasta
käyttäjä: minä sovellusohjelma: 4012 kuvaus: Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL"file
käyttäjä: minä sovellusohjelma: 240 kuvaus: Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL"file
ylempi minkä löys eilen ja alempi tänään
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 10. maaliskuuta 2006 @ 07:08
|
AfterDawn Addict
|
10. maaliskuuta 2006 @ 07:04 |
Linkki tähän viestiin
|
P2P networking on haittaohjelma. Poista se ohjauspaneelin kautta (lisää/poista sovellus). Tyhjennä myös avastin karanteeni. Jos ei auta -> Laita HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.
|
|
ifa
Newbie
|
10. maaliskuuta 2006 @ 07:14 |
Linkki tähän viestiin
|
poistin p2p ja tyhjensin karanteenin. tässä loki
Logfile of HijackThis v1.99.1
Scan saved at 12:13:32, on 10.3.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fi/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\APPS\skype\phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "D:\hl2\Steam.exe" -silent
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fin.htm
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
|
AfterDawn Addict
|
10. maaliskuuta 2006 @ 07:29 |
Linkki tähän viestiin
|
|
Kazaan poistoa suosittelen lämpimästi, on roskapesäke. Muuten loki on ok.
|
|
ifa
Newbie
|
10. maaliskuuta 2006 @ 07:29 |
Linkki tähän viestiin
|
|
kiitos!
|
|
ifa
Newbie
|
10. maaliskuuta 2006 @ 07:58 |
Linkki tähän viestiin
|
|
niin vielä tuosta p2p netwonkingista. taisi kuitenkin jäädä "lisää/poista" homman jälkeen jotain tiedostoja vai?
P2P NETWORKING.EXE-3470F776.pf C:\WINDOWS\PREFETCH
P2P NETWORKINGP2P.EXE-113470C3.pf C:\WINDOWS\PREFETCH
p2p.dll C:\WINDOWS\system32
p2pgasvc.dll C:\WINDOWS\system32
p2pgraph.dll C:\WINDOWS\system32
p2pnetsh.dll C:\WINDOWS\system32
p2psvc C:\WINDOWS\system32
|
AfterDawn Addict
|
10. maaliskuuta 2006 @ 08:04 |
Linkki tähän viestiin
|
|
Nuo kaksi ensimmäistä voi poistaa, ovat vaan prefetchejä, tiedostoja ei enää ole olemassa. Muut ovat tietääkseni windowsin omia dll-tiedostoja, koska löytyvät myös omasta koneestani :) Eli niitä ei kannata kyllä poistaa.
|
|
ifa
Newbie
|
10. maaliskuuta 2006 @ 08:06 |
Linkki tähän viestiin
|
|
ok ja kiitos taas
|
Senior Member
|
10. maaliskuuta 2006 @ 09:26 |
Linkki tähän viestiin
|
|
|
|
ifa
Newbie
|
10. maaliskuuta 2006 @ 09:51 |
Linkki tähän viestiin
|
|
tässä ewidon raportti
---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------
+ Created on: 14:49:35, 10.3.2006
+ Report-Checksum: 39483354
+ Scan result:
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer -> Adware.P2PNetworking : Cleaned without backup
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer\CLSID -> Adware.P2PNetworking : Cleaned without backup
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer\CurVer -> Adware.P2PNetworking : Cleaned without backup
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer.1 -> Adware.P2PNetworking : Cleaned without backup
C:\Program Files\Altnet -> Adware.Altnet : Cleaned without backup
C:\Program Files\Altnet\DBBackup -> Adware.Altnet : Cleaned without backup
C:\Program Files\Altnet\DBBackup\Sigfiles.db -> Adware.Altnet : Cleaned without backup
C:\Program Files\Altnet\Download Manager -> Adware.Altnet : Cleaned without backup
C:\Program Files\INSTAFINK -> Adware.404Search : Cleaned without backup
C:\Program Files\RXToolBar -> Adware.RXToolbar : Cleaned without backup
C:\RECYCLER\S-1-5-21-3484776858-4123570926-3132503677-1006\Dc3\TopSearch.dll -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010713.dll -> Adware.BrilliantDigital : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010714.dll -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010715.dll -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010716.exe -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010718.dll -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010719.dll -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010720.dll -> Adware.Altnet : Cleaned without backup
D:\Documents and Settings\antti\Cookies\antti@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned without backup
D:\Documents and Settings\antti\Cookies\antti@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned without backup
D:\Documents and Settings\antti\Local Settings\Temp\asmfiles.cab/asm.exe -> Adware.Altnet : Cleaned without backup
D:\Documents and Settings\antti\Local Settings\Temp\asmfiles.cab/asmps.dll -> Adware.Altnet : Cleaned without backup
::Report End
|
Senior Member
|
10. maaliskuuta 2006 @ 10:06 |
Linkki tähän viestiin
|
|
Noita vähän odottelinkin, että varmasti poistuvat. Nyt pitäs olla asteen puhtaampi vielä :)
|
|
ifa
Newbie
|
10. maaliskuuta 2006 @ 17:24 |
Linkki tähän viestiin
|
|
niin vielä sellasta että jäi tonne avastiin kummittelemaan joku juttu.
taustasuojaus
tartuntoja: 1
viimeksi tartunnan saanut: C:\System volume information\_restore{214986C9-2D86-4D74-8DFD-F9210943C32C}\RP78\A0014041.DLL
ajoin ewidon ja avastin eikä löytänyt mitään mutta silti lukee että tartuntoja on 1.
|
|
Rutjake
Suspended permanently
|
10. maaliskuuta 2006 @ 17:38 |
Linkki tähän viestiin
|
|
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 10. maaliskuuta 2006 @ 17:41
|
Senior Member
|
11. maaliskuuta 2006 @ 02:46 |
Linkki tähän viestiin
|
|
Huomaa tässä se, että edelliset palautuspisteet lähtevät! Mutta suotavaa tehdä ettei kone saastu jos päätätkin palauttaa koneen edellisiin pisteisiin ja samalla poistuu varmasti virhe ilmoitus.
|
|
ifa
Newbie
|
11. maaliskuuta 2006 @ 08:07 |
Linkki tähän viestiin
|
|
hmm nyt kun käynnistin koneen ekan kerran tänään virheilmoitus on lähtenyt. tartuntoja taustasuojauksessa 0 ja "viimeksi tartunnan saanut" kohdassa ei lue mitään. ja koneen käynnistyksessä vilahti outo valikko mitä ei ennen ole näkynyt. siinä ennen windows logoa. rutjakkeen neuvoa en vielä tehnyt mutta ilmoitus oli hävinnyt itsestään.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 11. maaliskuuta 2006 @ 08:09
|
|
Mainos
|
|
|
Senior Member
|
11. maaliskuuta 2006 @ 22:00 |
Linkki tähän viestiin
|
|
No itsestään oikeastaan mikään ei tapahdu :) syy - seuraus aina. Mutta Rutjaken linkin ohjetta ei tarvitse sitten tehdä jos ei vaivaa enään.
|
