|
Epäilyttävä piilotiedosto - C:\WINDOWS\SYSTEM32\ils.dll
|
|
|
orriz
Junior Member
|
15. joulukuuta 2008 @ 13:27 |
Linkki tähän viestiin
|
Hei!
Avast ilmoitti käynnistyksen jälkeen, että koneesta on löytynyt epäilyttävä piilotiedosto. Olisiko tähän jotain ratkaisua? Kannattaako poistaa vai ohittaa? Tässä ilmoitus:
"Epäilyttävä tiedosto löytynyt!
Epäilyttävä piilotiedosto löytynyt (heuristista etsintää käytettäessä). Tämä saattaa johtua haitaaohjelmatartunnasta. Salli tiedoston lähetys viruslaboratorioomme jatkotutkimuksia varten.
Tiedosto: C:\WINDOWS\SYSTEM32\ils.dll
Tyyppi: Piilo-ohjelma: piilotettu prosessi"
|
|
Bindon
Newbie
|
15. joulukuuta 2008 @ 14:01 |
Linkki tähän viestiin
|
Jaaha, ... mahtaisko olla joku Avastin bugin koska perheen toisessa koneessa on Avast ja samana päivänä täysin sama ilmoitus : Suspicious file: C:\WINDOWS\SYSTEM32\ils.dll kun koneen kännistää.
Laititoin itse siihen että "ignore".
|
Member
1 tuotearvio
|
15. joulukuuta 2008 @ 14:03 |
Linkki tähän viestiin
|
|
Itselläni tuli tänään kans tuommoinen hälytys.
Saattaa olla että on väärä hälytys.
|
|
katri_
Junior Member
|
15. joulukuuta 2008 @ 14:13 |
Linkki tähän viestiin
|
|
juuri tulin tuosta samasta etsimään infoa, tänään tullut kahdesti ja olen ignoorannut molemmilla kerroilla.
|
|
ulahti
Suspended due to non-functional email address
|
15. joulukuuta 2008 @ 14:18 |
Linkki tähän viestiin
|
|
Sama ilmoitus 15.12.2008. Otin ils.dll:n käsin pois. En tiedä, mitä tapahtuu. Katsotaan.
John
|
|
jylyppy
Newbie
|
15. joulukuuta 2008 @ 14:33 |
Linkki tähän viestiin
|
|
Samaa täälläkin avasti herjaa.
|
|
Gamehero
Junior Member
|
15. joulukuuta 2008 @ 14:39 |
Linkki tähän viestiin
|
|
Juu täälläkin herjaa samaa. Tuli heti kun päivitin virustunnisteet. Taidan vaan ignorettaa.
|
|
orriz
Junior Member
|
15. joulukuuta 2008 @ 14:41 |
Linkki tähän viestiin
|
|
Painoin ohita. Ei kai tästä sit mitään vaaraa ole. Voisin kysellä avastilta vielä, jos osaisivat vastata.
|
|
SynDe
Newbie
|
15. joulukuuta 2008 @ 14:47 |
Linkki tähän viestiin
|
|
Heitin kans ignorea, sen jälkeen tulee "Muistista on löytynyt virus......." Teillä myös? ettei tarvii pelästyä :)
<3
|
|
Tomillo
Newbie
|
15. joulukuuta 2008 @ 14:52 |
Linkki tähän viestiin
|
|
Sama täällä. Kävin koko koneen Avastin skannausohjelmalla läpi, mutta mitään ei löytynyt.
|
|
orriz
Junior Member
|
15. joulukuuta 2008 @ 14:53 |
Linkki tähän viestiin
|
|
Avastin foorumilla sanottiin näin:
"The problem should be fixed in a few minutes (with a new VPS update)."
Eli päivitystä kehiin ja toivotaan parasta :)
|
|
Kitiini
Junior Member
|
15. joulukuuta 2008 @ 14:54 |
Linkki tähän viestiin
|
|
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. joulukuuta 2008 @ 14:54
|
|
Knight_R
Newbie
|
15. joulukuuta 2008 @ 14:57 |
Linkki tähän viestiin
|
|
Joo mullakin tuli sama ilmoitus 15.12.2008 klo 14.45 kun avasin koneen.
|
|
orriz
Junior Member
|
15. joulukuuta 2008 @ 14:58 |
Linkki tähän viestiin
|
|
|
|
Bindon
Newbie
|
15. joulukuuta 2008 @ 15:26 |
Linkki tähän viestiin
|
|
Scannasin Kasperskyllä ja TrendMicrolla varmuuden vuoksi:
Kaspersky:
No malware has been detected. The scan area is clean.
TrendMicro:
HouseCall did not find any potential threats to your computer. Please use HouseCall weekly to keep your PC virus and malware free.
|
|
ruutti
Newbie
|
15. joulukuuta 2008 @ 17:09 |
Linkki tähän viestiin
|
|
Jep samaa herjas täälläkin. Poistin kyllä tiedoston kanssa ihan "käsin", mutta toista kovalevyä ei löydä enää.
Plöp
Uusi pelikone etsinnässä !
|
Junior Member
|
15. joulukuuta 2008 @ 17:16 |
Linkki tähän viestiin
|
|
Se on joku avastin bugi, tuo vissiin liittyy johonkin Windows NetMeeting ohjelmaan, mullakin kahessa koneessa löyty tuo sama, jonka poistin sitte käsin. Löyty kahesta hakemistosta, c:\windows\system32 ja sitte vielä jostain muualtakin. Ainakin live messenger toimii poiston jälkeenkin. Mikä lie mikkisoftan tai avastin bugi.
epr
|
|
Hujo
Suspended permanently
|
15. joulukuuta 2008 @ 17:28 |
Linkki tähän viestiin
|
Lataa TÄSTÄ HJTInstall.exe
* Tallenna HJTInstall.exe työpöydällesi.
* Tuplaklikkaa HJTInstall.exe-kuvaketta työpöydälläsi.
* Oletuksena se asentaa itsensä hakemistoon C:\Program Files\Trend Micro\HijackThis.
* Klikkaa Install.
* Asennusohjelma luo HijackThis-kuvakkeen työpöydälle.
* Kun asennus on valmis, se käynnistää HijackThisin.
* Klikkaa Do a system scan and save a logfile-painiketta. Ohjelma aloittaa skannauksen ja lokin pitäisi avautua Muistioon.
* Klikkaa ensin "Muokkaa > Valitse kaikki" sitten "Muokkaa > Kopioi" kopioidaksesi koko lokin sisällön.
* Liitä lokin sisältö seuraavaan vastaukseesi.
* ÄLÄ käytä Analyse This-nappulaa, sen löydöt ovat vaarallisia väärinymmärrettyinä.
* ÄLÄ fixaa HijackThis-ohjelmalla vielä mitään. Suurin osa sen löydöistä ovat joko harmittomia tai jopa tarpeellisia.
Voiko tietsikka koskaan toimia?
|
|
orriz
Junior Member
|
15. joulukuuta 2008 @ 17:58 |
Linkki tähän viestiin
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:51, on 15.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Raxco\PerfectDisk\PD91Agent.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Ohjelmat\mIRC\mirc.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smb.sygate.com/ref/proref_sos.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: mIRC.lnk = D:\Ohjelmat\mIRC\mirc.exe
O8 - Extra context menu item: Lähetä &Bluetooth-laitteeseen... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupd...b?1179679757515
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PD91Engine.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 8657 bytes
|
|
ruutti
Newbie
|
15. joulukuuta 2008 @ 18:13 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti ruutti:
Jep samaa herjas täälläkin. Poistin kyllä tiedoston kanssa ihan "käsin", mutta toista kovalevyä ei löydä enää.
Liekö sitten tuo poistanut kovalevyn ajurit tms asetukset kun hävis kovalevy :O ? APujaaa kiitos !
Plöp
Uusi pelikone etsinnässä !
|
|
Hujo
Suspended permanently
|
15. joulukuuta 2008 @ 18:51 |
Linkki tähän viestiin
|
orriz
Lataa Winsockfix
työpöydällesi
pura zip, Avaa Winsockfix paina Fix
==================
scannaa hjt:llä merkkaa paina Fix checked
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smb.sygate.com/ref/proref_sos.php
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
==========================
Lataa Malwarebytes' Anti-Malware työpöydällesi.
1. Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
2. Lopuksi varmistu, että seuraavat on valittu: Update Malwarebytes', Anti-Malwareja
Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaaFinish.
3. Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
4. Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
5. Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
6. Varmistu, että kaikki on merkitty ja klikkaa Remove Selected.
7. Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki
löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application
Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
8. Lähetä lokin sisältö seuraavassa viestissäsi
Voiko tietsikka koskaan toimia?
|
|
Liipi
Junior Member
1 tuotearvio
|
15. joulukuuta 2008 @ 19:44 |
Linkki tähän viestiin
|
|
Täällä sama herjaus kuin yllämainituissa viesteissä. Onkohan virusta vai ei?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. joulukuuta 2008 @ 18:52
|
|
Hujo
Suspended permanently
|
15. joulukuuta 2008 @ 19:55 |
Linkki tähän viestiin
|
|
Liipi poista lokisi ketjusta
aloita oma viestiketju
Voiko tietsikka koskaan toimia?
|
|
orriz
Junior Member
|
16. joulukuuta 2008 @ 13:59 |
Linkki tähän viestiin
|
Ei mitään löytynyt. Neljä päivää aikaisemmin löysin samalla ohjelmalla rekisteristä yhden avaimen, joka on karanteenissa ollu siitä lähtien. Kannattaako poistaa?
Lainaus:
Saastuneita rekisteriavaimia:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{870e3b1b-d1c6-4b91-864c-90043cf02e56} (Adware.Agent) -> Quarantined and deleted successfully.
Tässä Malwaren logi:
Malwarebytes' Anti-Malware 1.31
Tietokantaversio: 1506
Windows 5.1.2600 Service Pack 3
16.12.2008 13:52:14
mbam-log-2008-12-16 (13-52-14).txt
Tarkistustyyppi: Täysi tarkistus (C:\|D:\|)
Tarkistetut kohteet: 183665
Kulunut aika: 59 minute(s), 52 second(s)
Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 0
Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)
Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)
Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)
Saastuneita tiedostoja:
(Haitallisia kohteita ei löydetty)
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 16. joulukuuta 2008 @ 14:17
|
|
Mainos
|
|
|
|
Hujo
Suspended permanently
|
16. joulukuuta 2008 @ 14:26 |
Linkki tähän viestiin
|
|
laitas uusi hjt:n loki
se rekisteri avain on jo hoidettu.
Voiko tietsikka koskaan toimia?
|
