|
ihmeellisiä kansioita lisäytyy , hjt logi
|
|
|
oliko
Member
|
4. huhtikuuta 2006 @ 11:17 |
Linkki tähän viestiin
|
Elikkä siis C asemaan tulee ihan ihme kansioita/tiedostoja lisää , katsoin niin siellä oli tiedostoja troj. ja jotain virus ?? Sitten joku dealer ohjelma yrittää sulkea tätä mun netti yhteyttä aina välillä. No kuitenkin nyt on jotain vikana !
Logfile of HijackThis v1.99.1
Scan saved at 15:14:26, on 4.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS.0\System32\nvsvc32.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\FSPC\fspc.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS.0\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\F-Secure Internet Security\Anti-Spyware\Anti-Spyware.exe
C:\Documents and Settings\Jani\Työpöytä\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.motot.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: MSN-työkalurivi - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fi\msntb.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS.0\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Näytä &Web-sivuluettelo... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Keskeytä Web-sivujen suodatus - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Kiellä tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Salli tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7A30415-0F76-4CA4-892E-07F4E8701C8B}: NameServer = 192.168.252.17 192.168.252.16
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: F-Secure product (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 4. huhtikuuta 2006 @ 11:32
|
|
Yuza81
Account closed as per user's own request
|
4. huhtikuuta 2006 @ 11:28 |
Linkki tähän viestiin
|
hae ens alkuun ewido.tossa ohje ja lataus linkki----> http://keskustelu.afterdawn.com/thread_view.cfm/269186
asenna ja päivitä ohjeen mukaan. scannaa kone full system scannilla,anna poistaa mitä poistaa ja tallnna logi myöhempää tarkastelu varten.joku kokeneempi kattoo hjt:n =) tästä hyvä alku ;)
hp pavilion t549.fi
AMD athlon xp 3000+1024 ram
nvidia geforce fx 5500
|
|
oliko
Member
|
4. huhtikuuta 2006 @ 12:01 |
Linkki tähän viestiin
|
|
Kiitti , kohta asennan ton ohjelman .. Mutta mikäs tää testiviirus juttu ois ? Antakaa mulle linkki siihen ja eihän se nyt vaan oikeesti ota mun konetta haltuun ;) Mua pikkasen epäilyttää toi f-securen varmuus , kun se ei ikinä ilmota trojanista :( Vaikka asetuksetkin oon kattonu ja laittanu "täysille" :)
|
Senior Member
|
4. huhtikuuta 2006 @ 12:07 |
Linkki tähän viestiin
|
|
Minun silmiin loki näyttäis olevan ok. :O Aja kuitenkin se Ewido.
ASAP & UNITE member since 2006
 |
|
oliko
Member
|
4. huhtikuuta 2006 @ 12:47 |
Linkki tähän viestiin
|
|
Mulla on nyt menossa tossa toi scannaus , se tavallaan jumiutui 50 % kohdalle , kun se käsitteli kuvatiedostoja , niistä löytyi kymmeniä tuhansia jotain tiedostoja ja se nytten 52 & kohdalla ja aikaa on kulunut 2 % kohdalla 17minuuttia :( Ei oo kovin lupaavaa ! Mitä ne mun "ihme" tiedostot on ? Mitä näkyy ihan jatkuvasti tossa listalla , tiedostoja tulee lisää mutta scannaus ei mene eteenpäin.. Koittakaahan saaha selvää tosta tekstistä , sekavaahan se taitaa olla :P
|
|
Yuza81
Account closed as per user's own request
|
4. huhtikuuta 2006 @ 13:14 |
Linkki tähän viestiin
|
|
siis se Ewidon scani saattaa kestää helposti 2 tuntii ;)
tallena se loki sit ja lähetä tänne tähän ketjuun,niin katotaan mitä ne tiedostot on :) niitä voi löytyy aikas paljon... rauhallisuutta :D ja ei niistä voi sanoo,enneku näkee login et mitä no on :):)
hp pavilion t549.fi
AMD athlon xp 3000+1024 ram
nvidia geforce fx 5500
|
|
oliko
Member
|
4. huhtikuuta 2006 @ 15:25 |
Linkki tähän viestiin
|
|
Se ensimmäinen scanni meni överiks kun tähän koneelle tuli toinen tyyppi ja sitten kun kirjauduin sisään niin siinähän luki : "jos äsken käsittelit jotain tietoja ne ovat nyt hävinneet" jotain tollasta , niin eihän se tietenkään tallentanut logia , mutta poisti varmaan kaikki 30 pöpöä .. Nyt laitoin uuen scannin meneeen , jumiutu tossa 50 %kohdalla ja taitaapi löytää samat pöpöt samasta paikasta.. Noh , laitan sitten sen login kun tuo päättyy. On muuten pirun hyvä/yksinkertanen ohjelma tää Ewido !
|
Senior Member
1 tuotearvio
|
4. huhtikuuta 2006 @ 21:18 |
Linkki tähän viestiin
|
|
Yleensä se Ewido tahtoo viettää eniten aikaa siinä 50% tuntumassa, ainakin minulla. Ne ewidon löydökset eivät sitten tod. näk. poistuneet edellisellä scannilla.. Anna sen nyt rauhassa surrata loppuun ja lähetä sitten se loki kuten neuvottiin.
Siinä olet kyllä oikeassa että ewido on loistava ohjelma.
Paljon vanhaa romurautaa.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 4. huhtikuuta 2006 @ 21:19
|
|
oliko
Member
|
5. huhtikuuta 2006 @ 11:06 |
Linkki tähän viestiin
|
|
Eli siis siinä tuli tämmönen raportti :
ewido anti-malware - Scan report
---------------------------------------------------------
+ Created on: 20:47:38, 4.4.2006
+ Report-Checksum: 37E09F4
+ Scan result:
:mozilla.6:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Statcounter : Cleaned with backup
:mozilla.8:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.10:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.21:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Atdmt : Cleaned with backup
:mozilla.22:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.23:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.24:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Revenue : Cleaned with backup
:mozilla.25:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Revenue : Cleaned with backup
:mozilla.33:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup
:mozilla.36:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Fastclick : Cleaned with backup
:mozilla.37:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.38:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.39:C:\Documents and Settings\Elina.PITK-XFUBEHTB5G\Application Data\Mozilla\Firefox\Profiles\u68nusam.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.20:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned with backup
:mozilla.21:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Adbrite : Cleaned with backup
:mozilla.23:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.24:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.25:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.27:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.28:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.29:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.30:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.31:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.32:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Casalemedia : Cleaned with backup
:mozilla.33:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Fastclick : Cleaned with backup
:mozilla.34:C:\Documents and Settings\Jani\Application Data\Mozilla\Firefox\Profiles\4dkt780v.default\cookies.txt -> TrackingCookie.Fastclick : Cleaned with backup
C:\System Volume Information\_restore{C5610E4C-0DE7-4FE1-8BFF-538F68848291}\RP381\A0082974.exe -> Dialer.SexProvider : Cleaned with backup
C:\System Volume Information\_restore{C5610E4C-0DE7-4FE1-8BFF-538F68848291}\RP388\A0084004.exe -> Dialer.SexProvider : Cleaned with backup
C:\System Volume Information\_restore{C5610E4C-0DE7-4FE1-8BFF-538F68848291}\RP395\A0084103.exe -> Dialer.SexProvider : Cleaned with backup
C:\System Volume Information\_restore{C5610E4C-0DE7-4FE1-8BFF-538F68848291}\RP395\A0084114.exe -> Dialer.SexProvider : Cleaned with backup
C:\System Volume Information\_restore{C5610E4C-0DE7-4FE1-8BFF-538F68848291}\RP403\A0084764.exe -> Dialer.SexProvider : Cleaned with backup
::Report End
|
Senior Member
|
5. huhtikuuta 2006 @ 12:08 |
Linkki tähän viestiin
|
ASAP & UNITE member since 2006
|
|
oliko
Member
|
5. huhtikuuta 2006 @ 15:08 |
Linkki tähän viestiin
|
|
Hyvä juttu :)
Ihmeellistä tää nykyajan netti , viiruksia tulee jatkuvasti lisää (siis tehdään) :( No hyvä juttu toi hosts , toimiiko se nytten siis kun vain klikautin sitä kuvaketta , mitään sen jälkeen ei ole kuitenkaan tapahtunut ?..
|
|
s0k00L
Junior Member
|
5. huhtikuuta 2006 @ 15:58 |
Linkki tähän viestiin
|
|
Voit tarkistaa asentuiko HOSTS oikeaan paikkaan. Windows\system32\drivers\etc\ <---- tuolta pitäisi löytyä se HOSTS -tiedosto. Muista laittaa piilotiedostot sun muut näkyviin niin saat auki oikeat kansiot. :)
|
|
Mainos
|
|
|
Senior Member
|
5. huhtikuuta 2006 @ 16:29 |
Linkki tähän viestiin
|
|
Juu, eli tee kuten s0k00L neuvoi, niin selviää onko hosts filu asentunut (koko reilu 400kb tuolla mvps:n hostsilla). :)
ASAP & UNITE member since 2006
|
