Trojan horse TR/Rootkit.L
|
|
Calvo69
Newbie
|
22. marraskuuta 2005 @ 18:03 |
Linkki tähän viestiin
|
Miten sais kyseisen heosen pois koneelta?
|
spertti
Senior Member
|
22. marraskuuta 2005 @ 19:47 |
Linkki tähän viestiin
|
|
Senior Member
|
22. marraskuuta 2005 @ 20:22 |
Linkki tähän viestiin
|
Voisit samalla pistää eScan lokin muiden tapaan arvoisan raadin analysoitavaksi.
Sekä jos haluat niin myös Hjt loki voisi olla käytännöllinen tässä
Lataa Hjt -> http://koti.mbnet.fi/pattaya1/HijackThis.exe Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.
|
AfterDawn Addict
|
23. marraskuuta 2005 @ 04:01 |
Linkki tähän viestiin
|
Juu, laita HjT-loki vaan tänne. Tuo lienee ns. "rdriv.sys", jolle on ihan oma fixi eli ei lähde eScanilla.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 23. marraskuuta 2005 @ 04:13
|
Calvo69
Newbie
|
23. marraskuuta 2005 @ 11:26 |
Linkki tähän viestiin
|
Noniin , mulla ei oo mitää minne tän uppisin niin pasteen tän login sitten suoraan tähän :>
Logfile of HijackThis v1.99.1
Scan saved at 13:14:47, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Calvo\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/ O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: Windows Terminal Services - Unknown owner - C:\WINDOWS\csmss.exe
|
AfterDawn Addict
|
23. marraskuuta 2005 @ 11:40 |
Linkki tähän viestiin
|
Juuri tänne se pitikin uppia :)
Siirrä HjT omaan kansioonsa -> C:\Documents and Settings\Calvo\Desktop\HijackThis.exe -> C:\hjt\HijackThis.exe
Fixaa HjT:llä (do a system scan only, merkkaa ja paina fix checked):
O23 - Service: Windows Terminal Services - Unknown owner - C:\WINDOWS\csmss.exe
Sitten käynnistä -> suorita -> services.msc. Etsi listalta Windows Terminal Services, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi "ei käytössä".
Hae täältä -> http://www.atribune.org/downloads/rdrivrem.zip rdrivrem ja pura se työpöydälle.
EDIT: Sulla olikin jo ewido :) Päivitä se sitten vaan. Älä skannaa sillä kuitenkaan vielä.
Hae cleanup -> http://www.stevengould.org/software/cleanup/download.html ja asenna se.
Käynnistä vikasietotilaan (F8 käynnistyksen yhteydessä) ja poista:
C:\WINDOWS\==>csmss.exe<==
Avaa rdrivrem-kansio työpöydältä ja tuplaklikkaa rdrivRem.bat. Seuraa ohjeita. Kun fixi on valmis, löytyy rdriv.txt samasta kansiosta. Lähetä se tänne.
Aja ewido, anna poistaa mitä löytää ja tallenna raportti.
Käynnistä Cleanup!
Klikkaa Options...
Sitten Custom CleanUp
Merkkaa seuraavat ja katso, että mitään muuta ei ole valittuna
[*]Empty Recycle Bins
[*]Delete Cookies
[*]Delete Prefetch files
[*]Cleanup! All Users
Klikkaa OK
Paina Cleanup!
Jos Cleanup! haluaa käynnistää koneen uudestaan, paina No
Käynnistä kone uudestaan, lähetä uusi HjT-loki, ewidon raportti ja rdriv.txt-tiedoston sisältö
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 23. marraskuuta 2005 @ 11:43
|
Cardiz
Newbie
|
10. joulukuuta 2005 @ 07:03 |
Linkki tähän viestiin
|
Moro, meitsillä sama vaiva mutta kertokaas viisaammat mitä tehdä.
Logfile of HijackThis v1.99.1
Scan saved at 11:32:36, on 10.12.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\drwtsn32.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\System32\taskmgr.exe
C:\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fi/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\System32\winamp.exe
O4 - HKLM\..\Run: [DGam prosessor] wgpzpbi.exe
O4 - HKLM\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKLM\..\RunServices: [DGam prosessor] wgpzpbi.exe
O4 - HKLM\..\RunServices: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl... O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe
eli meneeks tuo viimeinen fixiin vai?ja mites sitten jatketaan.
|
Mainos
|
|
|
AfterDawn Addict
|
10. joulukuuta 2005 @ 07:08 |
Linkki tähän viestiin
|
@Cardiz:
Fixaa HjT:llä (do a system scan only, merkkaa ja paina fix checked):
O4 - HKLM\..\Run: [DGam prosessor] wgpzpbi.exe
O4 - HKLM\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKLM\..\RunServices: [DGam prosessor] wgpzpbi.exe
O4 - HKLM\..\RunServices: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKCU\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe
Sitten käynnistä -> suorita -> services.msc. Etsi listalta MicroSoft Media Tools, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi "ei käytössä".
Hae täältä -> http://www.atribune.org/downloads/rdrivrem.zip rdrivrem ja pura se työpöydälle.
Hae ewido -> http://www.ewido.net/en/download Asenna ja päivitä, mutta älä skannaa vielä.
Hae cleanup -> http://www.stevengould.org/software/cleanup/download.html ja asenna se.
Käynnistä vikasietotilaan (F8 käynnistyksen yhteydessä) ja poista, jos löytyy:
C:\WINNT\==>MSmedia.exe<==
C:\WINNT\web\==>related.htm<==
Avaa rdrivrem-kansio työpöydältä ja tuplaklikkaa rdrivRem.bat. Seuraa ohjeita. Kun fixi on valmis, löytyy rdriv.txt samasta kansiosta. Lähetä se tänne.
Aja ewido, anna poistaa mitä löytää ja tallenna raportti.
Käynnistä Cleanup!
Klikkaa Options...
Sitten Custom CleanUp
Merkkaa seuraavat ja katso, että mitään muuta ei ole valittuna
[*]Empty Recycle Bins
[*]Delete Cookies
[*]Delete Prefetch files
[*]Cleanup! All Users
Klikkaa OK
Paina Cleanup!
Jos Cleanup! haluaa käynnistää koneen uudestaan, paina No
Käynnistä kone uudestaan, lähetä uusi HjT-loki, ewidon raportti ja rdriv.txt-tiedoston sisältö.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 10. joulukuuta 2005 @ 07:09
|