|
HiJackThis logi? JOKU VOIS KATTOO TÄN?
|
|
|
HeeFeeldi
Newbie
|
28. joulukuuta 2006 @ 17:46 |
Linkki tähän viestiin
|
Logfile of HijackThis v1.99.1
Scan saved at 22:04:22, on 28.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\F-Secure Anti-Virus\fswsclds.exe
c:\windows\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\amd\Työpöytä\HijackThis.exe
C:\WINDOWS\system32\svchost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fi/0SEFIFI/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fi/0SEFIFI/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fi/0SEFIFI/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Avaa uuteen etuvälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/230?9afde1c61b8c43a7be01b565280f4679
O8 - Extra context menu item: Avaa uuteen taustavälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/229?9afde1c61b8c43a7be01b565280f4679
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: Avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure Anti-Virus\fswsclds.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - c:\windows\svchost.exe" /service (file missing)
Koneessa oleva vika on virus / mato vaikka logissa näkyy jotakin F-securesta niin sitä ei oo enää tässä koneessa mutta jotaki tiedostoja siitä on näköjään jääny :S ja sain tartunnan kun yritin ladata limewirellä NeedForSpeed Carbonii.. Avast Antivirus valittaa tälläistä: "Tietokoneestasi löytyi troijalainen / virus Nimi: Win32:Trojan-gen [VC] Tyyppi: virus / mato" vika on siis tämä kohta.. kun se valittaa tuota niin valintoina on esim siirrä karanteeriin ja kun yritän siirtää niin scannauksen lopussa tulee logissa näkymään "Tätä tiedosto tyyppiä ei voitu siirtää karanteeriin / tätä tiedosto tyyppiä ei voi poistaa" Sitä en tajua kun ensi niitä oli 1 sitte 3 sitte 4 ja nyt on jo 6 ja miksi suurin osa niistä viruksista menee systems volume tiedostoon siel on niitä ainaki 3
Jos joku voi auttaa että saan tän koneen taas kuntoo nii kiitosta hänelle :E
Kysymys vielä: Sisko osti kannettavan jossa on tyhjäys levy ja xp asennus levy .. säästänkö paljo vaivaa jos pistän ne levyt tänne pyörimää ja eikös virus silloin ainaki lähde?
Voieij :(
|
|
fixeri
Member
|
28. joulukuuta 2006 @ 18:06 |
Linkki tähän viestiin
|
Merkkaa ja paina Fix checked:
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure Anti-Virus\fswsclds.exe
Klikkaa käynnistä --> suorita --> kirjoita services.msc
Sammuta palveluiden hallinnasta tuo F-securen prosessi: Fswsclds
Tyhjennä järjestelmänpalautus kansio:
Järjestelmän palautus kansion tyhjentäminen.
1. Klikkaa oikealla oma tietokone-kuvaketta
2. Valitse ominaisuudet
3. Valitse järjestelmän palauttaminen välilehti
4. Valitse "poista järjestelmän palauttaminen kaikissa asemissa"
5. Paina "käytä"
6. Paina OK
7. Käynnistä kone uudelleen
8. Tarkista kone virustorjuntaohjelmalla
9. Poista kaikki saastuneet tiedostot
10. Laita järjestelmän palautus uudelleen päälle.
Sitten aja eScan: http://koti.mbnet.fi/pattaya1/escanmwav.htm
Päivitä ihan ekaks, ohjeet on tuolla sivulla, päivitystapa 2.
Lähetä eScan viruslog jos jotain löytyy.
|
|
HeeFeeldi
Newbie
|
28. joulukuuta 2006 @ 18:22 |
Linkki tähän viestiin
|
|
Fixeri, toimisko sulla messengeris toi etätuki ja voisitko sen kautta korjata noi viat mulla? kun en ole varma teenkö kaikkia juttuja oikein..? :E
Voieij :(
|
|
HeeFeeldi
Newbie
|
28. joulukuuta 2006 @ 19:22 |
Linkki tähän viestiin
|
|
Ominaisuudet oma tietokone? ei täs oo välilehtee missä ois järjestelmän palautus :EE jos siis oon tajunnu ees mitä mun piti tehä
Voieij :(
|
|
HeeFeeldi
Newbie
|
29. joulukuuta 2006 @ 13:59 |
Linkki tähän viestiin
|
|
Heips, joku joka tietää näistä paljo niin vois auttaa mua mesessä tän ongelman kans :I Oon nii huono sählää tälläsen asian kans :E
*edit by Jannejt*
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 31. joulukuuta 2006 @ 21:28
|
|
HeeFeeldi
Newbie
|
30. joulukuuta 2006 @ 13:56 |
Linkki tähän viestiin
|
Fixeri, nyt tein niinkuin käskit toi järjestelmä pois.. pysäytin F-securen sieltä palvelu jutusta ja sitte Avast Antivirus käyntiin:
Tiedoston nimi: C:\WINDOWS\Temp\data_1.set\winmech\ntservice\srunner.exe Tulos: Tartunta: Win32:Trojan-gen. {VC} Toiminto: Tiedoston poisto ei onnistunut. Virhe: Tätä toimintoa ei voi käyttää valitsemallesi tiedostotyypille.
Testasin siirtää karanteeriin.. sitäkään ei pysty mutta yks juttu on uus? viruksii ei oo 6 vaan 1? WTF!!! :S
Sitte eScan:
File c:\windows\svchost.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.
File c:\windows\svchost.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.
File C:\WINDOWS\AdmDll.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.
File C:\WINDOWS\raddrv.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.
File C:\WINDOWS\svchost.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.
File C:\Program Files\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.62. No Action Taken.
File C:\WINDOWS\AdmDll.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.
File C:\WINDOWS\raddrv.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.
File C:\WINDOWS\svchost.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.
File C:\WINDOWS\Temp\unlock.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.
Painoin ton scannin lopuks "ok" kun en tiennyt mitä pitää painaa :S
eScan jälkeen ajoin läpitte Spybot 1.4 + Avast Antiviruksen
Avast valittaa taas samaa 1 virus ja toi sama Win32:Trojan-gen :(
Voieij :(
|
|
fixeri
Member
|
31. joulukuuta 2006 @ 05:08 |
Linkki tähän viestiin
|
Joo elikkä ei oo mulla messengeriä niin ei voi käyttää etätukea.
Siirrä HjT omaan kansioon, esim, C:\hjt\hjt, ja nimeä HijackThis.exe --> Skanneri.exe
Merkkaa tuo ja paina Fix checked:
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - c:\windows\svchost.exe" /service (file missing)
Klikkaa käynnistä --> suorita --> kirjoita services.msc
Sammuta palveluiden hallinnasta tuo prosessi jos se sieltä löytyy: Remote Administrator Service (r_server)
Sitten mene vikasietotilaan.
Vikasietotilaan pääset näin:
Käynnistä tietokone uudelleen, naputtele käynnistyksessä alkutekstien aikana F8 näppäintä, aukeaa valikko josta valitset nuolinäppäimillä ylimmän kohdan "Vikasietotila" ja paina enter.
Kun käynnistynyt vikasietotilaan niin laita piilotiedostot näkyviin.
Piilotiedostot näkyviin saat näin:
1.Napsauta Käynnistä-painiketta ja valitse Ohjauspaneeli.
2.Valitse "Kansion asetukset"
3.Valitse" Näytä välilehti"
4.Valitse Näytä-välilehden Piilotetut tiedostot ja kansiot -kohdassa" Näytä piilotetut tiedostot ja kansiot."
Poista nämä tiedostot koneelta:
c:\windows\---->svchost.exe<-----
C:\WINDOWS\Temp\data_1.set\winmech\ntservice\---->srunner.exe<----
C:\WINDOWS\Temp\---->unlock.exe<----
C:\WINDOWS\---->AdmDll.dll<----
C:\WINDOWS\---->raddrv.dll<----
Tarkkana sitten tuon Svchost.exe tiedoston kanssa, poista se tosiaan AINOASTAAN tuosta "c:\windows" kansiosta, ÄLÄ MISSÄÄN TAPAUKSESSA POISTA SITÄ TÄSTÄ KANSIOSTA!: "C:\WINDOWS\system32"
Käynnistä kone normaalitilaan ja aja sitten tuo eScan uudestaan ja lähetä sen raportti tänne jos vielä löytyy jotain, sekä uusi HjT logi.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 31. joulukuuta 2006 @ 05:08
|
AfterDawn Addict
|
31. joulukuuta 2006 @ 07:24 |
Linkki tähän viestiin
|
|
Ennen remoteadminin poistoa kannattaa kysyä onko se asennettu tarkoituksella ;) Niinkin voi olla asian laita.
Ei HjT-lokeja tms. yksityisviestillä!
|
|
HeeFeeldi
Newbie
|
31. joulukuuta 2006 @ 09:52 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti -kemisti-:
Ennen remoteadminin poistoa kannattaa kysyä onko se asennettu tarkoituksella ;) Niinkin voi olla asian laita.
Mitäs tuo tarkoitti? tai siis jos osaat niin selitä ku en tajunnu :D
Voieij :(
|
AfterDawn Addict
|
31. joulukuuta 2006 @ 10:43 |
Linkki tähän viestiin
|
|
Niin oletko itse asentanut remote admin-ohjelman koneelle?
Ei HjT-lokeja tms. yksityisviestillä!
|
|
HeeFeeldi
Newbie
|
31. joulukuuta 2006 @ 14:29 |
Linkki tähän viestiin
|
no voi ***** kerro mikä se remote admin on äläkä kysele mistä mä voin tietää? :D
Asiasta toiseen: C:\WINDOWS\Temp\data_1.set tämä kohta löytyi.. ku painoin data_1.set kuvaketta nii se valitti jtn että etsi valikosta ohjelma mil avataan tai jtn.. eli en pystyny poistamaa tätä: C:\WINDOWS\Temp\data_1.set\winmech\ntservice\---->srunner.exe<---- Muuten voisitkos kertoo mikä toi unlock.exe oli minkä poistin ku oli aika makee kuvake sillä :O
Seuraava [ Uusi HjT -logi ]:
Logfile of HijackThis v1.99.1
Scan saved at 17:23:04, on 31.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\program files\steam\steam.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\F-Secure Anti-Virus\fswsclds.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\amd\Työpöytä\Kaikki muut\HJT;HJT\Skanneri.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fi/0SEFIFI/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fi/0SEFIFI/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fi/0SEFIFI/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Avaa uuteen etuvälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/230?9afde1c61b8c43a7be01b565280f4679
O8 - Extra context menu item: Avaa uuteen taustavälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/229?9afde1c61b8c43a7be01b565280f4679
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: Avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure Anti-Virus\fswsclds.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - c:\windows\svchost.exe" /service (file missing)
Mä en kyllä tajuu mitä toi f-secure ja remote adminni tekee vieläki tos logis? :S tai sitte en vaa oo osannu jotaki juttua taas..
eScan:
File C:\Program Files\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.62. No Action Taken.
File C:\RECYCLER\S-1-5-21-842925246-1897051121-725345543-1004\Dc10.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.
File C:\RECYCLER\S-1-5-21-842925246-1897051121-725345543-1004\Dc7.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.
File C:\RECYCLER\S-1-5-21-842925246-1897051121-725345543-1004\Dc8.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.
File C:\RECYCLER\S-1-5-21-842925246-1897051121-725345543-1004\Dc9.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.
Varmaa virukset vieläki konees :(
Voieij :(
|
AfterDawn Addict
|
31. joulukuuta 2006 @ 15:08 |
Linkki tähän viestiin
|
|
Remote admin on pc:n etäkäyttösofta...
Ei HjT-lokeja tms. yksityisviestillä!
|
|
HeeFeeldi
Newbie
|
31. joulukuuta 2006 @ 16:12 |
Linkki tähän viestiin
|
no voi ***** kerro mikä se remote admin on äläkä kysele mistä mä voin tietää? :D
Asiasta toiseen: C:\WINDOWS\Temp\data_1.set tämä kohta löytyi.. ku painoin data_1.set kuvaketta nii se valitti jtn että etsi valikosta ohjelma mil avataan tai jtn.. eli en pystyny poistamaa tätä: C:\WINDOWS\Temp\data_1.set\winmech\ntservice\---->srunner.exe<---- Muuten voisitkos kertoo mikä toi unlock.exe oli minkä poistin ku oli aika makee kuvake sillä :O
Seuraava [ Uusi HjT -logi ]:
Logfile of HijackThis v1.99.1
Scan saved at 17:23:04, on 31.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\program files\steam\steam.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\F-Secure Anti-Virus\fswsclds.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\amd\Työpöytä\Kaikki muut\HJT;HJT\Skanneri.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fi/0SEFIFI/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fi/0SEFIFI/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fi/0SEFIFI/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Avaa uuteen etuvälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/230?9afde1c61b8c43a7be01b565280f4679
O8 - Extra context menu item: Avaa uuteen taustavälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/229?9afde1c61b8c43a7be01b565280f4679
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: Avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure Anti-Virus\fswsclds.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - c:\windows\svchost.exe" /service (file missing)
Mä en kyllä tajuu mitä toi f-secure ja remote adminni tekee vieläki tos logis? :S tai sitte en vaa oo osannu jotaki juttua taas..
eScan:
File C:\Program Files\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.62. No Action Taken.
File C:\RECYCLER\S-1-5-21-842925246-1897051121-725345543-1004\Dc10.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.
File C:\RECYCLER\S-1-5-21-842925246-1897051121-725345543-1004\Dc7.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.
File C:\RECYCLER\S-1-5-21-842925246-1897051121-725345543-1004\Dc8.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.
File C:\RECYCLER\S-1-5-21-842925246-1897051121-725345543-1004\Dc9.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.
Varmaa virukset vieläki konees :(
Voieij :(
|
|
HeeFeeldi
Newbie
|
31. joulukuuta 2006 @ 17:10 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti -kemisti-:
Remote admin on pc:n etäkäyttösofta...
En mää sellasista tiiä..
Toi muuten tuli vahingos 2 kertaa ku tää pugitti :D
VOI JUMALAUTA säikähdin pikkasen ku täl foorumil o tos joku nokian mainos ja kuuntelin musiikkia nii kuuluu: "Hello!" vittu mä jo ajattelin et se virus osaa puhuakki mulle :Q
Voieij :(
|
|
HeeFeeldi
Newbie
|
31. joulukuuta 2006 @ 17:19 |
Linkki tähän viestiin
|
|
Noniin kattelin tota kohtaa Temp:stä missä on "data_1.set" "data1.set" tollasii teidostoi tai jtn.. tarkistin data_1.setin ja sieltä löyty se srunner systeemi virus.. poistin ton ja avastin pistin käyntiin niin nyt näyttää 0 virusta?
ONKO NYT PUHDASTA? :O
Vai oisko toi pitäny poistaa vikatilassa? ku poistin sen ihan tavallisesti :S
Voieij :(
|
Moderator
7 tuotearviota
|
31. joulukuuta 2006 @ 21:29 |
Linkki tähän viestiin
|
|
HeeFeeldi, ei yhteystietoja foorumiin, lue säännöt.
|
|
HeeFeeldi
Newbie
|
3. tammikuuta 2007 @ 08:26 |
Linkki tähän viestiin
|
|
Muuten mitä nuo eScanilla löytyvät jutut on ja poistaako se eScan ne ite? :S ja onko ne ees jotaki viruksii vai jtn? :P
Voieij :(
|
|
HeeFeeldi
Newbie
|
6. tammikuuta 2007 @ 21:43 |
Linkki tähän viestiin
|
|
niin voisko joku sitten vastata, että onko virukset poissa?
Voieij :(
|
|
fixeri
Member
|
7. tammikuuta 2007 @ 06:28 |
Linkki tähän viestiin
|
|
Tyhjennä roskakori vielä.
Onko vielä ongelmaa?
|
|
Mainos
|
|
|
|
HeeFeeldi
Newbie
|
7. tammikuuta 2007 @ 09:39 |
Linkki tähän viestiin
|
|
Joo, mä oon tyhjänny sen jo...
Avast ei löydä ainakaa viruksii? mut onko tää kone nyt sitte puhdas?
Voieij :(
|
