|
Backweb vakoiluohjelma. HijackThis logi
|
|
|
pihlis75
Suspended due to non-functional email address
|
15. heinäkuuta 2005 @ 10:52 |
Linkki tähän viestiin
|
Mitenkäs kyseisen ohjelman saa poistettua koneelta, hidastaa konetta älyttömästi.
Tai tiedän kyllä miten poistettaan, mutta mitä poistan, ettei mene liikaa tavaraa kerralla. Olen saanut HijackThis ohjelmalla monesti enemmän pahaa aikaan, kun haittaohjelmat... ;)
Logfile of HijackThis v1.99.1
Scan saved at 20:42:06, on 15.7.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\FSPC\fspc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LVCOMS.EXE
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Macromedia\Dreamweaver MX\Dreamweaver.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\hjk\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yle.fi/lapset/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.10:81
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\system32\LVCOMS.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Näytä &Web-sivuluettelo... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Keskeytä Web-sivujen suodatus - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Kiellä tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Salli tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x8...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0A9E02F-CFE5-4EE9-ACC4-A17E4A7EFFB9}: NameServer = 192.168.0.10
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. heinäkuuta 2005 @ 16:43
|
|
pkaksp
Moderator
|
15. heinäkuuta 2005 @ 10:57 |
Linkki tähän viestiin
|
|
Älä vain poista sitä Backweb:iä. Se ei ole vakoiluohjelma vaan osa F-Securea. Jos tuon poistat niin F-Securen päivitykset eivät enää toimi.
|
|
pihlis75
Suspended due to non-functional email address
|
15. heinäkuuta 2005 @ 11:11 |
Linkki tähän viestiin
|
Spybot kertoo seuraavaa löytyy backweb lite, eikä suostu poistamaan...
Yritys: http://www.backweb.com/
Tuote: BackWeb lite
Uhka: Adware/Spyware
Yrityksen web-osoite:
http://www.backweb.com/
Tuotteen web-osoite:
http://www.backweb.com/products/html/backweb_eaccelerator.html
Tietoturva- ja yksityisyysseikat:
http://www.cameocast.com/legal/privacypolicy.asp
Ohjelman käyttötarkoitus
Installs unknown items & advertisement popups on your system.
Kuvaus
Comes with Western Digital Data Lifeline as well as with HP & Compaq systems. If you intended to install the normal BackWeb, please add BackWeb to your exclude list. But if you know nothing about installing BackWeb, chances are good that it is the 'lite' version. This one connects to a Cameocast server (Source: http://www.cexx.org/dlgli.htm), and you can read Cameo's privavy statement above.
Riskit
BackWeb: Stay in the loop With BackWeb's reporting capabilities, you'll know who received each delivery, when they received it, and how they interacted with it.
CameoCast: CameoCAST pushes content to your hard drive while you are online.
[...]This information such as the type of browser being used, its operating system, and your IP address, is gathered in order to enhance your online experience.
|
|
jersi
Member
|
15. heinäkuuta 2005 @ 11:20 |
Linkki tähän viestiin
|
|
joo backweb tiedosto löytyy ainakin f-securesta ja muistaakseni spybotti on joskus herjannut sitä ongelmana.jos tuo on viirus ni eikös antiviirusohjelma hoida ongelman.
|
|
pihlis75
Suspended due to non-functional email address
|
15. heinäkuuta 2005 @ 11:24 |
Linkki tähän viestiin
|
|
Nyt rupes pomppimaan jotakin varoitusikkunoita ruudulle.
Runner Error
Runner file name (fspex.exe) lacks a '-' (the app id separator)
-----------
/ OK /
-----------
Tämä poistui f-securen uudelleen asennuksella
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. heinäkuuta 2005 @ 11:53
|
|
pkaksp
Moderator
|
15. heinäkuuta 2005 @ 11:27 |
Linkki tähän viestiin
|
Menitkö spybotilla poistamaan tuota backweb:iä? Edelleenkin se on osa F-Securea vaikka Spybot sanois mitä.
|
|
pihlis75
Suspended due to non-functional email address
|
15. heinäkuuta 2005 @ 11:40 |
Linkki tähän viestiin
|
Quote:
Menitkö spybotilla poistamaan tuota backweb:iä? Edelleenkin se on osa F-Securea vaikka Spybot sanois mitä.
Joo menin poistamaan, mutta poistin jo f-securen ja asennsin jo uusiksi...
|
|
Uukoo
Member
|
15. heinäkuuta 2005 @ 12:36 |
Linkki tähän viestiin
|
Backweb tosiaan hoitaa F-Securen automaattisen päivityksen. Jos sen vahingossa poistaa niin softan uudelleen asennuksen sijaan nopeampi keino on hakea pelkkä backweb tiedosto yrityksen sivuilta. Jatkossa backweb kannattaa lisätä sinne ignore (tms.) listalle jottei Spybot enää varoittele siitä..
|
|
pihlis75
Suspended due to non-functional email address
|
15. heinäkuuta 2005 @ 12:43 |
Linkki tähän viestiin
|
|
Miltäs tuo logi muuten näyttää...
|
Senior Member
|
15. heinäkuuta 2005 @ 18:11 |
Linkki tähän viestiin
|
Quote:
Mitenkäs kyseisen ohjelman saa poistettua koneelta, hidastaa konetta älyttömästi.
Heh heh. Kuulostaa ihan itse F-securelta :)
Logi näyttää pääosittain puhtaalta.
Mutta korjataan ainakin tuo.
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
Ohjeet korjaamiseen. Suora lainaus Toymaatilta
Quote:
Tuo O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing ei välttämättä vaadi toimenpiteitä, mutta tehdään kuitenkin näin.
Hae LSPFix
http://cexx.org/lspfix.htm
Avaa LSPFix
Laita rasti ruutuun, "I know what I?m doing".
Klikkaa vasemmassaruudussa olevaa winsflt.dll, siirrä se oikealla olevaan ruutuun
nuolinäppäimellä, klikkaa "Remove" ja sulje LSPFix.
Ja sitten vielä nämä:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.10:81
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0A9E02F-CFE5-4EE9-ACC4-A17E4A7EFFB9}: NameServer = 192.168.0.10
Joku proxy käytössä? En sano mitään?!
Annetaan Toymaatin kertoa myös mielipiteensä kyseisistä riveistä.
Edit: Spybot advanced modessa, asetuksista ohitettaviin kohteisiin rasti kohtaan Backweb Lite. Muista että tuo rasti voi poistua Spybotin päivityksen jälkeen.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. heinäkuuta 2005 @ 18:21
|
|
Toymaatti
Senior Member
|
15. heinäkuuta 2005 @ 19:20 |
Linkki tähän viestiin
|
|
Samaa kysyn kuin V-kos, eli onko proxy(välityspalvelin)käytössä.
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
|
Mainos
|
|
|
|
pihlis75
Suspended due to non-functional email address
|
17. heinäkuuta 2005 @ 16:07 |
Linkki tähän viestiin
|
|
Joo linux muuri ja välityspalvelin...
Löysinkin jo vian... ei se ollutkaan backweb, vaan yksi toinen ohjelma, mikä ei päässyt linux muurista läpi, ja yritti kokoajan uudestaan.
Kiitokset kuitenkin vaivautuneille.
|
