|
vielä joku örkki koneessa hjt-log
|
|
|
Keila
Junior Member
|
6. heinäkuuta 2006 @ 19:48 |
Linkki tähän viestiin
|
Ajoin Ewido anti-spywaren safe modessa ja poistin (Quarantine) kaikki sen löytämät pöpöt. Minuutin kone näyttikin jo ihan normaalilta, mutta nyt on taas keltainen varoituskolmio vilkkumassa tuolla ala oikealla.
Alla HjT-logi, itse veikkaisin, että 018 ja 021 alkuiset pitäisi poistaa, mutta kun en ole asiantuntija, niin voisiko saada varmistuksen.
Logfile of HijackThis v1.99.1
Scan saved at 23:38:02, on 6.7.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\Program Files\Winamp3\winampa.exe
E:\program files\F-Secure\Common\FSM32.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\Program Files\D-Tools\daemon.exe
C:\Program Files\OpenVPN\bin\openvpn-gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
e:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
e:\program files\F-Secure\Anti-Virus\fsgk32st.exe
e:\program files\F-Secure\Anti-Virus\FSGK32.EXE
e:\program files\F-Secure\Anti-Virus\fssm32.exe
e:\program files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
e:\program files\F-Secure\Common\FSMA32.EXE
e:\program files\F-Secure\Common\FSMB32.EXE
e:\program files\F-Secure\Common\FCH32.EXE
e:\program files\F-Secure\Common\FAMEH32.EXE
e:\program files\F-Secure\Common\FNRB32.EXE
e:\program files\F-Secure\Common\FIH32.EXE
e:\program files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\NOTEPAD.EXE
E:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\Documents and Settings\Minä\Desktop\HijackThis_v1.99.1.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.cs.helsinki.fi/u/meamusta/aloitussivu.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WinampAgent] "E:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "e:\program files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [openvpn-gui] C:\Program Files\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Program Files\Adobe\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: altmannsberger - {210b4043-35ca-4aa0-8796-191f9663dfb3} - C:\WINDOWS\system32\vpxnk.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - e:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - e:\program files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - e:\program files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - e:\program files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - e:\program files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - e:\program files\F-Secure\Common\FSMA32.EXE
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
|
Senior Member
1 tuotearvio
|
6. heinäkuuta 2006 @ 19:51 |
Linkki tähän viestiin
|
Lataa SmitfraudFix -> http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Pura sisältö (kansio nimeltä SmitfraudFix) työpöydällesi:
Avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi.
Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
http://www.beyondlogic.org/consulting/processutil/processutil.htm
|
|
Keila
Junior Member
|
6. heinäkuuta 2006 @ 20:00 |
Linkki tähän viestiin
|
|
SmitFraudFix v2.68b
Scan done at 23:59:18,96, to 06.07.2006
Run from C:\Documents and Settings\Min?\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\atmclk.exe FOUND !
C:\WINDOWS\system32\dcomcfg.exe FOUND !
C:\WINDOWS\system32\hp???.tmp FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld???.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\regperf.exe FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !
C:\WINDOWS\system32\ts.ico FOUND !
C:\WINDOWS\system32\1024\ FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Min?\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MIN~1\FAVORI~1
C:\DOCUME~1\MIN~1\FAVORI~1\Antivirus Test Online.url FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
C:\DOCUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !
C:\DOCUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"altmannsberger"="{210b4043-35ca-4aa0-8796-191f9663dfb3}"
»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
|
Senior Member
1 tuotearvio
|
6. heinäkuuta 2006 @ 20:04 |
Linkki tähän viestiin
|
Printtaa ohjeet ulos.
Käynnistä koneesi vikasietotilaan (F8 käynnistyksen yhteydessä) ja valitse tavallinen käyttäjätilisi.
Kun vikasietotilassa, avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #2 - Clean kirjoittamalla 2 ja painamalla "Enter" poistaaksesi tarttuneet tiedostot.
Sinulta kysytään: "Registry cleaning - Do you want to clean the registry ?"; vastaa "Yes" kirjoittamalla Y ja paina "Enter" poistaaksesi työpöydän taustakuvan ja puhdistaaksesi tarttuneet rekisteriavaimet.
Työkalu tarkistaa jos wininet.dll on tarttunut. Sinua saatetaan pyytää korvaamaan tarttunut .dll (jos löytyy); vastaa "Yes" kirjoittamalla Y ja painamalla "Enter".
Työkalun saattaa tarvita käynnistää kone uudelleen; jos ei tee niin, käynnistä normaaliin Windowsiin.
Tekstitiedosto ilmestyy, puhdistusprosessin jäljiltä; kopioi & liitä tämän raportin tulokset vastaukseesi.
Raportti löytyy paikalliselta levyltäsi, useimmiten C:\rapport.txt.
Lähetä uusi HjT-loki ja C:\rapport.txt-tiedoston sisältö.
|
|
Keila
Junior Member
|
6. heinäkuuta 2006 @ 20:24 |
Linkki tähän viestiin
|
|
SmitFraudFix v2.68b
Scan done at 0:09:57,78, pe 07.07.2006
Run from C:\Documents and Settings\Min?\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"altmannsberger"="{210b4043-35ca-4aa0-8796-191f9663dfb3}"
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
C:\WINDOWS\system32\vpxnk.dll -> Missing File
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld???.tmp Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOCUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOCUME~1\MIN~1\FAVORI~1\Antivirus Test Online.url Deleted
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
|
|
Keila
Junior Member
|
6. heinäkuuta 2006 @ 20:27 |
Linkki tähän viestiin
|
niin ja HjT vielä
Logfile of HijackThis v1.99.1
Scan saved at 0:25:13, on 7.7.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\Program Files\Winamp3\winampa.exe
E:\program files\F-Secure\Common\FSM32.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\Program Files\D-Tools\daemon.exe
C:\Program Files\OpenVPN\bin\openvpn-gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
e:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
e:\program files\F-Secure\Anti-Virus\fsgk32st.exe
e:\program files\F-Secure\Anti-Virus\FSGK32.EXE
e:\program files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
e:\program files\F-Secure\Anti-Virus\fssm32.exe
e:\program files\F-Secure\Common\FSMA32.EXE
e:\program files\F-Secure\Common\FSMB32.EXE
e:\program files\F-Secure\Common\FCH32.EXE
e:\program files\F-Secure\Common\FAMEH32.EXE
e:\program files\F-Secure\Common\FNRB32.EXE
e:\program files\F-Secure\Common\FIH32.EXE
e:\program files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Minä\Desktop\HijackThis_v1.99.1.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WinampAgent] "E:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "e:\program files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [openvpn-gui] C:\Program Files\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Program Files\Adobe\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - e:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - e:\program files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - e:\program files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - e:\program files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - e:\program files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - e:\program files\F-Secure\Common\FSMA32.EXE
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
|
|
Keila
Junior Member
|
6. heinäkuuta 2006 @ 20:45 |
Linkki tähän viestiin
|
|
Vaikuttaisi toimivan ihan ok. Kiitti Disa!
|
|
Keila
Junior Member
|
7. heinäkuuta 2006 @ 22:26 |
Linkki tähän viestiin
|
Ei se homma ihan vielä ollutkaan tehty. Ekan leffan aikana f-secure löysi kaks troijalaista. Kaveri käski hakea spybotin http://security.kolla.de, hain sen ja ajoin. Löyty vielä viis erilaista jotain juttuja, ne kun poisti, niin toisen leffan aikana ei enää tullu ilmotuksia troijalaisesta.
|
Senior Member
1 tuotearvio
|
8. heinäkuuta 2006 @ 09:49 |
Linkki tähän viestiin
|
|
Unohtu kokonaan tämä threadi, sori!
Poista lisää/poista sovelluksesta:
PartyPoker tai PartyPoker.Net
Fixaa seuraavat, eli do a system scan only, laita rastit seuraaviin ja fix checked:
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Program Files\PartyPoker\PartyPoker\RunApp.exe
Poista seuraava:
E:\Program Files\PartyPoker\PartyPoker\ < kansio
|
|
spertti
Senior Member
|
8. heinäkuuta 2006 @ 10:21 |
Linkki tähän viestiin
|
|
Nyt muuten kiinnostaisi tietää miksi tuo Partypoker pitää poistaa? Sehän on maailman suurin internetissä toimiva pokerisivusto. Itse en tuota siis käytä, vaan Expektia, Nordicbetia ja JetBetpokeria. Onko tuossa siis jotain AdWarea/Spywarea mukana?
|
AfterDawn Addict
|
8. heinäkuuta 2006 @ 10:24 |
Linkki tähän viestiin
|
Ei HjT-lokeja tms. yksityisviestillä!
|
|
spertti
Senior Member
|
8. heinäkuuta 2006 @ 10:30 |
Linkki tähän viestiin
|
Teenpä pienen testin, ja asennan sen koneelle, ja skannailen sen jälkeen kaikilla mahdollisilla härpäkkeillä. Kerron sitten löysikö mikään ohjelma siitä mitään.
EDIT: Ainakaan a2 squared, Ad-Aware, Ewido, Avast, eScan, ja Virustotal ei löytänet mitään tuosta PartyPoker kansiosta. Mutta netistä löytyi kyllä paljon tietoa tuosta Partypoker adwaresta, mutta se taitaa olla täysin eri ohjelma ( PartyPoker.net }?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 8. heinäkuuta 2006 @ 10:47
|
|
Keila
Junior Member
|
8. heinäkuuta 2006 @ 14:28 |
Linkki tähän viestiin
|
|
Tämä PartyPoker ei ole haittaohjelma, päinvastoin, hyvin tuottava ;)
Spybotin löytämät haittaohjelmat olivat kaiketi jotain sellaista, mikä jäi Ewidolta ja SmitfraudFixiltä huomaamatta. Vai johtuiko tämä örkkien recovery siitä että ajoin ensin Ewidon ja sitten vasta SmitfraudFixin?
On kylläkin hieman hämäävää, että muut pokerisoftat eivät noissa logeissa näy.
|
AfterDawn Addict
|
8. heinäkuuta 2006 @ 15:39 |
Linkki tähän viestiin
|
Johtui juurikin siitä :)
Tuokin näkyy HjT-lokissa vain siksi että se luo oman "nappulansa" IE:hen
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Program Files\PartyPoker\PartyPoker\RunApp.exe
Muut koneellasi olevat pokerit eivät taida tehdä tuota :)
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Keila
Junior Member
|
9. heinäkuuta 2006 @ 10:23 |
Linkki tähän viestiin
|
Päivitin f-securen uudempaan versioon tässä viestien välissä. Nyt se löytää tämän tästä troijalaisen (Trojan-Downloader.Win32.Zlob.xj). Ajoin spybotin ja f-securen täydellisen scannauksen (virukset ja spyware), mutta ne eivät löytäneet mitään. Näkyykö tossa logissa syytä tälle troijalaisten hyökkäykselle?
F-securen asennuksen myötä HjT-logiin tuli muutama rivi lisää, 010 alkuiset.
Logfile of HijackThis v1.99.1
Scan saved at 14:15:28, on 9.7.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
e:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
e:\program files\F-Secure\Anti-Virus\fsgk32st.exe
e:\program files\F-Secure\Anti-Virus\FSGK32.EXE
e:\program files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
e:\program files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
e:\program files\F-Secure\Common\FSMA32.EXE
e:\program files\F-Secure\Common\FSMB32.EXE
e:\program files\F-Secure\Anti-Virus\fssm32.exe
e:\program files\F-Secure\Common\FCH32.EXE
E:\Program Files\Winamp3\winampa.exe
E:\program files\F-Secure\Common\FSM32.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\Program Files\D-Tools\daemon.exe
C:\Program Files\OpenVPN\bin\openvpn-gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
e:\program files\F-Secure\Common\FAMEH32.EXE
e:\program files\F-Secure\Common\FNRB32.EXE
e:\program files\F-Secure\Anti-Virus\fsqh.exe
e:\program files\F-Secure\Anti-Virus\fsrw.exe
e:\program files\F-Secure\Common\FIH32.EXE
e:\program files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
e:\program files\F-Secure\Anti-Virus\fsav32.exe
E:\Program Files\Mozilla Firefox\firefox.exe
e:\PROGRA~1\F-Secure\ANTI-S~1\fsaw.exe
e:\program files\F-Secure\FSGUI\fsguidll.exe
C:\Documents and Settings\Minä\Desktop\HijackThis_v1.99.1.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WinampAgent] "E:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "e:\program files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [openvpn-gui] C:\Program Files\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [F-Secure TNB] "e:\program files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Program Files\Adobe\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = E:\Program Files\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
O8 - Extra context menu item: &Block this popup - e:\program files\F-Secure\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - e:\program files\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - e:\program files\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: e:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: e:\program files\f-secure\fsps\program\fslsp.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - F-Secure Automatic Update - e:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - e:\program files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe (file missing)
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - e:\program files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - e:\program files\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - e:\program files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - e:\program files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - e:\program files\F-Secure\Common\FSMA32.EXE
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
|
|
spertti
Senior Member
|
9. heinäkuuta 2006 @ 10:33 |
Linkki tähän viestiin
|
|
Mistäs kansiosta tuo löytyy? Jos se on järjestelmänpalautuskansiossa, niin se täytyy tyhjentää. Tuo on nimittäin Smitfraud örkki, joka juuri poistettiin sinulta muutama viesti takaperin =)
Eli kerro se polku mistä tuo löytyy, niin katsellaan jatkotoimenpiteitä
|
|
Keila
Junior Member
|
9. heinäkuuta 2006 @ 10:45 |
Linkki tähän viestiin
|
|
C:\SYSTEM VOLUME INFORMATION\_RESTORE{6B0BE181-B5D2-4657-87C2-7AA2AE670A89}\RP149\A0012504.EXE
Sepä se näyttää olevan. Kuinkas tuo järjestelmänpalautuskansio tyhjennetään?
|
AfterDawn Addict
|
9. heinäkuuta 2006 @ 10:59 |
Linkki tähän viestiin
|
|
Näin se käy :)
1. Valitse Oma tietokone (klikkaa oikealla).
2. Valitse Ominaisuudet.
3. Valitse Järjestelmän palauttaminen- välilehti.
4. Valitse "Poista järjestelmän palauttaminen käytöstä".
5. Paina Käytä.
6. Paina OK.
7. Käynnistä kone uudelleen
8. Tee kohdat 1.-3.
9. Ota rasti pois kohdasta "Poista järjestelmän palauttaminen käytöstä"
10. Tee kohdat 5. ja 6.
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Keila
Junior Member
|
9. heinäkuuta 2006 @ 11:23 |
Linkki tähän viestiin
|
Kiitti kaverit :D
Eiköhän tää taas toimi ihan normaalisti.
Tuli mieleen, että voiko tuolla HjT:llä muokata noita rivejä niin, että jos joku ohjelma käyttää nyt IE:n selainta, niin sen voisi pakottaa käyttämään Mozillaa? Muutamissa pokerisoftissa on esim. help nappeja, jotka avaavat IE:n siitä huolimatta, että Mozilla (tai FireFox) on oletusselaimena, eikä missään päin softan käyttöliittymää ole paikkaa, missä voisi selainta vaihtaa.
|
AfterDawn Addict
|
9. heinäkuuta 2006 @ 11:27 |
Linkki tähän viestiin
|
|
Ei voi muokata HjT:llä. Jos ei itse ohjelmasta voi muokata, niin en osaa neuvoa. Kannattaa katsoa, jos ko. ohjelmien kotisivuilta löytyy tuohon neuvoa.
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Mainos
|
|
|
|
spertti
Senior Member
|
9. heinäkuuta 2006 @ 11:30 |
Linkki tähän viestiin
|
|
Jeps. Muistaakseni ainakin PrimaPokerin ( esim: NordicBet ) verkossa toimivat clientit osaavat käyttää Mozillaa. Tainin verkosta en ole ihan varma ( esim: Expekt ). Mutta tosiaan pokerisoftan forumeilta kannattaa kysellä enemmän.
|
