|
EXP/ASF.GetCodec.Gen
|
|
Senior Member
9 tuotearviota
|
19. marraskuuta 2008 @ 22:51 |
Linkki tähän viestiin
|
Elikkä antivir löytää yhdestä mp3 tiedostostani EXP/ASF.GetCodec.Gen nimisen viruksen. tiedostoa ei pysty lisäämään foobariin joten varmaan joku pöpö on. tiedosto ei ole exe tai muu vastaava vaan ihan mp3. olisi kiva tietää onko tuo pöpö jotenkin saastuttanut konetta.
antivir logista:
Begin scan in 'D:\kansio\08-rihanna-disturbia__craig_cs_disturbstram ental_mix_.mp3'
D:\kansio\08-rihanna-disturbia__craig_cs_disturbstramen tal_mix_.mp3
[DETECTION] Contains recognition pattern of the EXP/ASF.GetCodec.Gen exploit
kiitos vastauksista etukäteen.
virustotalin scan tulos:
Complete scanning result of "08-rihanna-disturbia__craig_cs_disturbstramental_mix_.m p3", processed in VirusTotal at 11/17/2008 06:37:02 (CET).
[ file data ]
* name..: 08-rihanna-disturbia__craig_cs_disturbstramental_mix_.mp3
* size..: 11565140
* md5...: 295e1c069ccccbe8a14adef9ce9514eb
* sha1..: abd3b8a51df20b4c91bea30f55d03c25ff67b841
* peid..: -
[ scan result ]
AhnLab-V3 2008.11.14.3/20081117 found nothing
AntiVir 7.9.0.31/20081116 found [EXP/ASF.GetCodec.Gen]
Authentium 5.1.0.4/20081117 found nothing
Avast 4.8.1281.0/20081116 found [WMA:Wimad]
AVG 8.0.0.199/20081116 found nothing
BitDefender 7.2/20081117 found [Trojan.Wimad.Gen.1]
CAT-QuickHeal 10.00/20081115 found nothing
ClamAV 0.94.1/20081117 found nothing
DrWeb 4.44.0.09170/20081117 found nothing
eSafe 7.0.17.0/20081116 found nothing
eTrust-Vet 31.6.6209/20081114 found [ASF/Wimad!generic]
Ewido 4.0/20081116 found nothing
F-Prot 4.4.4.56/20081116 found nothing
F-Secure 8.0.14332.0/20081117 found nothing
Fortinet 3.117.0.0/20081115 found nothing
GData 19/20081117 found [Trojan.Wimad.Gen.1]
Ikarus T3.1.1.45.0/20081117 found nothing
K7AntiVirus 7.10.526/20081115 found nothing
Kaspersky 7.0.0.125/20081117 found nothing
McAfee 5436/20081116 found nothing
Microsoft 1.4104/20081117 found [TrojanDownloader:ASX/Wimad.I]
NOD32 3616/20081117 found [a variant of WMA/TrojanDownloader.GetCodec.gen]
Norman 5.80.02/20081114 found nothing
Panda 9.0.0.4/20081116 found nothing
PCTools 4.4.2.0/20081116 found nothing
Prevx1 V2/20081117 found nothing
Rising 21.04.00.00/20081117 found [Trojan.DL.Win32.GetCodec.b]
SecureWeb-Gateway 6.7.6/20081116 found [Exploit.ASF.GetCodec.Gen]
Sophos 4.35.0/20081117 found nothing
Sunbelt 3.1.1801.2/20081114 found nothing
Symantec 10/20081117 found nothing
TheHacker 6.3.1.1.155/20081115 found nothing
TrendMicro 8.700.0.1004/20081117 found nothing
VBA32 3.12.8.9/20081116 found nothing
ViRobot 2008.11.17.1471/20081117 found nothing
VirusBuster 4.5.11.0/20081116 found nothing
tiedän siis että kysessä on varmaan jonkun moinen virus koska tiedosto ei edes toimi mutta mitä se on koneelleni mahdollisesti tehnyt?
HJT
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:55, on 17.11.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\foobar2000\foobar2000.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.11\RivaTunerWrapper.exe" /S
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwa...ash.cab
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
Mbam ja superin free versio scannattu ja mitään ei löytänny. (ei ollu vikasietotilassa)
|
AfterDawn Addict
|
20. marraskuuta 2008 @ 13:58 |
Linkki tähän viestiin
|
|
Moi "Jupsu" oltiin samaan aikaa fixari koulussa !!!
Se toinen logi jonka lähetit VT:nettiin oli puhdas ja tässäkään
ei ole muutakuin poistat tuon mp3:sen (tarviitko tarkemmat ohjeet ?)
D:\kansio\08-rihanna-disturbia__craig_cs_disturbstramen tal_mix_.mp3
D:
.
(:)
|
Senior Member
9 tuotearviota
|
20. marraskuuta 2008 @ 15:01 |
Linkki tähän viestiin
|
selvä, kiitos paljon.. ai oltii samaa aikaa.. no mulla se jäi "vähän" kesken se hjt koulu kun innostus meni. liian aikaa vievää oli siinä alissa löytää oikeat ohjeet että pää meinasi hajota.. varmaan se helpompaa sitten on ku olis "valmistunnu" ku ois perus asiat tienny.
mutta, poistelen ton tiedoston (oli kyllä jos poistettu muutenki). onko sulla tietoa mitä toi tiedosto mahollisesti tekis koneelle jos pääsis jotain tekemään, ja millä mp3 soittimella mahtas olla tohon joku haavoittuvuus ku foobarilla ei ainakaa mitään tullut..=)
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 20. marraskuuta 2008 @ 15:07
|
AfterDawn Addict
|
20. marraskuuta 2008 @ 16:44 |
Linkki tähän viestiin
|
Enpä ole kerinnyt tutia sen sielunelämää.
Mutta noita vastaavan näköisiä ilmestyy silloin täälöin koneille
Terolla se poisti winampin koneelta useamman kerran, kunnes
se mp3 poistettiin.
PS.
Tosi on se HJT koulu.
mulla meni 8 kk vaikka lähes jokapäivä olin asialla HI
D:
(:)
|
Senior Member
9 tuotearviota
|
22. marraskuuta 2008 @ 00:08 |
Linkki tähän viestiin
|
muuten yhtä et huomannut..=) mutta "2" palomuuria.. comodo jättänny vanhanki exen tonne käynnistymää ku jouduin uudellee asentaa ku ei enää security centteri tunnistannu comodoa ku tuli toi uus 3.5 päivitys.. nojoo.. nyt ei enää ole kahta comodoa ku poistin uudellee ja käytin jonku comodo uninstallerin läpi.. alkaa men hermo ton securitycentterin kaa ku eka wines et palomuuri puuttuu sit korjasin sen ja nyt ilmottelee et ei antivirusta vaik antivir koneella.. noh antaa olla sit ku ei tykkää musta.. toivottavasti uusimmassa windowsissa taas korjattais jotain näytä ihania bugeja.
|
AfterDawn Addict
|
22. marraskuuta 2008 @ 11:12 |
Linkki tähän viestiin
|
msconfigista tuo kannattais ruxia
käynnistyvistä pois COMODO Internet Security
Nuo joutaa HJT:llä pois kans:
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
Mulla on Vista koneessa SP1 ollut 2 kk vistan oma palomuuri ainoastaan.
Se kysyy luvan uusille ohjelmille luvan ulosmenoon ja sisälle tuloon.
Enkä laita muuta ennenkun joku tai jollain tapaa todistetaan
sen olevan kelvoton kokeile.
Laita logi niin katsotaan.
D:
PS.
Kyllä sitä S-Centerin ilmoittelua voi ohjata
turhia rutkuttamasta.
(:)
|
|
Mainos
|
|
|
Senior Member
9 tuotearviota
|
24. marraskuuta 2008 @ 11:25 |
Linkki tähän viestiin
|
|
mä oon tykästynny comodoo nii en kyl siit luovu..=) enbkä kyl tohon vistan omaan luota vaikka ihan ok olisikin, onhan se microsoftin tekemä ja se kertoo jo paljon..:P
|
