HijackThis logi backdoor poebot.b
|
|
Toymaatti
Senior Member
|
20. toukokuuta 2005 @ 20:10 |
Linkki tähän viestiin
|
lettas, en ole ohjetta tehnyt mutta gerbiilillä on sellainen harkinnassa.
jussi_vaa, siinähän se oikeapaikka on lainauksessasi. Kyllä niitä TEMP kansioita kannattaisi tyhjennellä suht säännöllisesti.
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
jussi_vaa
Suspended due to non-functional email address
|
22. toukokuuta 2005 @ 12:03 |
Linkki tähän viestiin
|
njuuh vois kai sen sit tyhjentää..;D
|
olpp
Junior Member
|
29. kesäkuuta 2005 @ 18:36 |
Linkki tähän viestiin
|
Terve taas. Ostin uuden koneen ja heti siellä alkaa Norman huutelemaan muuttuneista tiedostoista jne. Onko tuossa lokissa jotain mätää?
Logfile of HijackThis v1.99.1
Scan saved at 22:34:02, on 29.6.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
C:\Program Files\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Norman\Nvc\BIN\NPFSVICE.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\BIN\npfmsg2.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Olpp\Omat tiedostot\Ladatut\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://laajakaista.elisa.net/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PMCS] C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\Norman\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
|
Divi
Member
|
20. lokakuuta 2005 @ 18:45 |
Linkki tähän viestiin
|
PoeBot iski koneelle kun formatoin ja oli jopa netistä irti... laitoin avastin ja sygaten ja iskin nettiin, backdoorihan sieltä tuli, sittemmin tapeltu sen kanssa eikä mitään tunnu auttavan. eScan löysi 11 kohdetta ja nimesi uudelleen, botti tuli takas 10 sekunnissa... Juu SP2 pitäs asentaa, kellään linkkiä?
Tässäpä Hijack This logi:
Logfile of HijackThis v1.99.1
Scan saved at 22:44:36, on 20.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Ohjelmat\Sygate PF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Ohjelmat\Avast!\ashDisp.exe
D:\Ohjelmat\Messenger Plus\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Ohjelmat\a2\a2guard.exe
D:\Ohjelmat\Avast!\aswUpdSv.exe
D:\Ohjelmat\Avast!\ashServ.exe
D:\Ohjelmat\Ewido\security suite\ewidoctrl.exe
D:\Ohjelmat\Ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
D:\Ohjelmat\Avast!\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
D:\Ohjelmat\Avast!\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Ohjelmat\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Ohjelmat\Adobe Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Ohjelmat\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\Ohjelmat\Avast!\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] D:\Ohjelmat\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Ohjelmat\Messenger Plus\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a-squared] "D:\Ohjelmat\a2\a2guard.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Ohjelmat\Adobe Acrobat\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl... O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.techsmith.com/codec/tsccinst.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Ohjelmat\Avast!\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Ohjelmat\Avast!\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Ohjelmat\Avast!\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Ohjelmat\Avast!\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Ohjelmat\Ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Ohjelmat\Ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Ohjelmat\Sygate PF\smc.exe
|
Toymaatti
Senior Member
|
20. lokakuuta 2005 @ 19:35 |
Linkki tähän viestiin
|
Et sitten yhtään vanhempaa ketjua löytänyt? Täällä on nykyään viruksille ja haittaohjelmille oma palsta. Loki näyttäisi puhtaalta(paitsi MessengerPlussan &/#¤¤""%#&&), Avastiko siitä hälyyttää?? Sanooko Ewido mitä?? Laita se eScanin loki tänne näytille.
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
Divi
Member
|
20. lokakuuta 2005 @ 20:21 |
Linkki tähän viestiin
|
ensimmäinen ketju joka tuli vastaan PoeBot nimellä... Juu avasti hälyyttää, ajan eScanin ja ewidon ja laitan logia tänne
|
Divi
Member
|
20. lokakuuta 2005 @ 21:26 |
Linkki tähän viestiin
|
noniin, ewido löysi 3 virusta ja "poisti" ne, avast! herjaa edelleen...
eScan ei löytäny mitään...
Mitä pitäs tehdä, aika häiritsevää tuo avastin ilmottelu.
EDIT* heh joo... eipä tullu heti mieleen...
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 20. lokakuuta 2005 @ 23:51
|
Moderator
7 tuotearviota
|
20. lokakuuta 2005 @ 23:04 |
Linkki tähän viestiin
|
ketju siirretty oikealle alueelle.
@Divi: viestejä voi sit muokata, edit-nappi näyttää tältä ->
|
Divi
Member
|
22. lokakuuta 2005 @ 18:22 |
Linkki tähän viestiin
|
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 22. lokakuuta 2005 @ 20:06
|
AfterDawn Addict
|
23. lokakuuta 2005 @ 09:05 |
Linkki tähän viestiin
|
Ota viestinvälityspalvelu pois käytöstä.
Käynnistä -> suorita -> services.msc -> ok -> etsi listalta viestienvälityspalvelu -> tuplaklikkaa sitä, paina seis ja valitse käynnistymistavaksi "ei käytössä" Auttoiko?
|
Divi
Member
|
23. lokakuuta 2005 @ 11:25 |
Linkki tähän viestiin
|
Auttoi, kiitos!!!
Mutta avasti tuli takas :D tai siis PoeBot.D
Avasti herjaa välillä tuosta eikä onnistu poistamaan sitä... muut ohjelmat ei löydä mitään:..
|
AfterDawn Addict
|
23. lokakuuta 2005 @ 11:29 |
Linkki tähän viestiin
|
|
Divi
Member
|
23. lokakuuta 2005 @ 12:51 |
Linkki tähän viestiin
|
ei löytänyt mitään... avast herjaa edelleen PoeBotista...
|
AfterDawn Addict
|
23. lokakuuta 2005 @ 12:53 |
Linkki tähän viestiin
|
Jollei löydä, niin luulen, että Avast!:in väärä hälytys koko juttu. Koska eScan ei löytänyt aiemmin myöskään.
|
Divi
Member
|
23. lokakuuta 2005 @ 16:12 |
Linkki tähän viestiin
|
no mitenkäs tuon hälytyksen sais blokattua... se kun on jokseenkin häiritsevää... pitäskö vaihtaa anti-virus softaa??
|
AfterDawn Addict
|
23. lokakuuta 2005 @ 16:29 |
Linkki tähän viestiin
|
Hae sitten täältä ewido -> http://www.ewido.net/en/download , asenna ja päivitä se. Skannaa sitten sillä ja tallenna raportti ja lähetä se tänne. Katotaan, jos se löytää sen.
|
Divi
Member
|
23. lokakuuta 2005 @ 16:33 |
Linkki tähän viestiin
|
kokeiltu jo, ei löytäny
|
Mainos
|
|
|
AfterDawn Addict
|
23. lokakuuta 2005 @ 16:35 |
Linkki tähän viestiin
|
Yks asia, mikä voi auttaa, on Windowsin päivitys SP2:teen. Noi botit ei toimi muistaakseni SP2:sessa, koska yks "reikä" on paikattu
|