User Käyttäjä Salasana  
   
tiistai 24.12.2024 / 03:00
Hae keskustelualueilta:        In English   Suomeksi   På svenska
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat > trojan horse tr/rootkit.l
Näytä aiheet
 
Keskustelualueet
Keskustelualueet
Trojan horse TR/Rootkit.L
  Siirry:
 
Kirjoittaja Viesti
Calvo69
Newbie
_
22. marraskuuta 2005 @ 18:03 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Miten sais kyseisen heosen pois koneelta?
spertti
Senior Member
_
22. marraskuuta 2005 @ 19:47 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Kokeile Escania. Lataa tuolta, ja lue ohjeet. >http://koti.mbnet.fi/pattaya1/escanmwav.htm
Jos ei lähde tuolla kokeillaan jotain muuta. Muista päivittää tuo ennenkuin scannaat.
Senior Member
_
22. marraskuuta 2005 @ 20:22 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Voisit samalla pistää eScan lokin muiden tapaan arvoisan raadin analysoitavaksi.

Sekä jos haluat niin myös Hjt loki voisi olla käytännöllinen tässä
Lataa Hjt -> http://koti.mbnet.fi/pattaya1/HijackThis.exe Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.

AfterDawn Addict
_
23. marraskuuta 2005 @ 04:01 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Juu, laita HjT-loki vaan tänne. Tuo lienee ns. "rdriv.sys", jolle on ihan oma fixi eli ei lähde eScanilla.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 23. marraskuuta 2005 @ 04:13

Calvo69
Newbie
_
23. marraskuuta 2005 @ 11:26 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Noniin , mulla ei oo mitää minne tän uppisin niin pasteen tän login sitten suoraan tähän :>

Logfile of HijackThis v1.99.1
Scan saved at 13:14:47, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Calvo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: Windows Terminal Services - Unknown owner - C:\WINDOWS\csmss.exe
AfterDawn Addict
_
23. marraskuuta 2005 @ 11:40 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Juuri tänne se pitikin uppia :)

Siirrä HjT omaan kansioonsa -> C:\Documents and Settings\Calvo\Desktop\HijackThis.exe -> C:\hjt\HijackThis.exe

Fixaa HjT:llä (do a system scan only, merkkaa ja paina fix checked):

O23 - Service: Windows Terminal Services - Unknown owner - C:\WINDOWS\csmss.exe

Sitten käynnistä -> suorita -> services.msc. Etsi listalta Windows Terminal Services, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi "ei käytössä".

Hae täältä -> http://www.atribune.org/downloads/rdrivrem.zip rdrivrem ja pura se työpöydälle.

EDIT: Sulla olikin jo ewido :) Päivitä se sitten vaan. Älä skannaa sillä kuitenkaan vielä.

Hae cleanup -> http://www.stevengould.org/software/cleanup/download.html ja asenna se.

Käynnistä vikasietotilaan (F8 käynnistyksen yhteydessä) ja poista:

C:\WINDOWS\==>csmss.exe<==

Avaa rdrivrem-kansio työpöydältä ja tuplaklikkaa rdrivRem.bat. Seuraa ohjeita. Kun fixi on valmis, löytyy rdriv.txt samasta kansiosta. Lähetä se tänne.

Aja ewido, anna poistaa mitä löytää ja tallenna raportti.

Käynnistä Cleanup!

Klikkaa Options...
Sitten Custom CleanUp
Merkkaa seuraavat ja katso, että mitään muuta ei ole valittuna
[*]Empty Recycle Bins
[*]Delete Cookies
[*]Delete Prefetch files
[*]Cleanup! All Users
Klikkaa OK
Paina Cleanup!
Jos Cleanup! haluaa käynnistää koneen uudestaan, paina No

Käynnistä kone uudestaan, lähetä uusi HjT-loki, ewidon raportti ja rdriv.txt-tiedoston sisältö

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 23. marraskuuta 2005 @ 11:43

Cardiz
Newbie
_
10. joulukuuta 2005 @ 07:03 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Moro, meitsillä sama vaiva mutta kertokaas viisaammat mitä tehdä.
Logfile of HijackThis v1.99.1
Scan saved at 11:32:36, on 10.12.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\drwtsn32.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\System32\taskmgr.exe
C:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\System32\winamp.exe
O4 - HKLM\..\Run: [DGam prosessor] wgpzpbi.exe
O4 - HKLM\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKLM\..\RunServices: [DGam prosessor] wgpzpbi.exe
O4 - HKLM\..\RunServices: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe


eli meneeks tuo viimeinen fixiin vai?ja mites sitten jatketaan.
Mainos
_
__
 
_
AfterDawn Addict
_
10. joulukuuta 2005 @ 07:08 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
@Cardiz:

Fixaa HjT:llä (do a system scan only, merkkaa ja paina fix checked):

O4 - HKLM\..\Run: [DGam prosessor] wgpzpbi.exe
O4 - HKLM\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKLM\..\RunServices: [DGam prosessor] wgpzpbi.exe
O4 - HKLM\..\RunServices: [Life FireWall Update1] FireWall-Update1.exe

O4 - HKCU\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe

Sitten käynnistä -> suorita -> services.msc. Etsi listalta MicroSoft Media Tools, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi "ei käytössä".

Hae täältä -> http://www.atribune.org/downloads/rdrivrem.zip rdrivrem ja pura se työpöydälle.

Hae ewido -> http://www.ewido.net/en/download Asenna ja päivitä, mutta älä skannaa vielä.

Hae cleanup -> http://www.stevengould.org/software/cleanup/download.html ja asenna se.

Käynnistä vikasietotilaan (F8 käynnistyksen yhteydessä) ja poista, jos löytyy:

C:\WINNT\==>MSmedia.exe<==
C:\WINNT\web\==>related.htm<==

Avaa rdrivrem-kansio työpöydältä ja tuplaklikkaa rdrivRem.bat. Seuraa ohjeita. Kun fixi on valmis, löytyy rdriv.txt samasta kansiosta. Lähetä se tänne.

Aja ewido, anna poistaa mitä löytää ja tallenna raportti.

Käynnistä Cleanup!

Klikkaa Options...
Sitten Custom CleanUp
Merkkaa seuraavat ja katso, että mitään muuta ei ole valittuna
[*]Empty Recycle Bins
[*]Delete Cookies
[*]Delete Prefetch files
[*]Cleanup! All Users
Klikkaa OK
Paina Cleanup!
Jos Cleanup! haluaa käynnistää koneen uudestaan, paina No

Käynnistä kone uudestaan, lähetä uusi HjT-loki, ewidon raportti ja rdriv.txt-tiedoston sisältö.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 10. joulukuuta 2005 @ 07:09

afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat > trojan horse tr/rootkit.l
 

Apua ongelmiin: AfterDawnin keskustelualueet | AfterDawnin Vastaukset
Uutiset: IT-alan uutiset | Uutisia puhelimista
Musiikkia: MP3Lizard.com
Tuotearviot: Laitevertailu | Vertaa puhelimia | Vertaa kännykkäliittymiä
Pelit: Pelitiedostot, pelidemot ja trailerit
Ohjelmat: download.fi | AfterDawnin ohjelma-alueet
International: AfterDawn in English | Software downloads | Free, legal MP3s | AfterDawn på svenska
RSS -syötteet: AfterDawnin uutiset | Uusimmat ohjelmapäivitykset | Keskustelualueiden viestit
Tietoja: Tietoa AfterDawn Oy:stä | Mainosta sivuillamme | Sivuston käyttöehdot ja tietoja yksityisyydensuojasta
Ota yhteyttä: Lähetä palautetta | Ota yhteyttä mainosmyyntiimme
 
  © 1999-2024 AfterDawn Oy