Virus löytynyt
|
|
vebo
Suspended due to non-functional email address
|
27. marraskuuta 2005 @ 16:23 |
Linkki tähän viestiin
|
Eli koneeltani on löytynyt viirus eikä norttoni saa poistettua sitä
Filename rdriv.sys
Threatname Trojan.cachecachekit
Mitä teen, että saan sen pois?
|
Member
|
27. marraskuuta 2005 @ 16:40 |
Linkki tähän viestiin
|
Jos käyttiksenä 2000/xp niin käy tuo -> http://www.ewido.net/en/?section=download
* Latauslinkistä tulee paketti mikä sisältää molemmat versiot ( Plus ja Free ). Asennuksen jälkeen voit kokeilla niitä Plus-version ominaisuuksia 14 pv ajan , jonka jälkeen ohjelma muuttuu Free -versioksi. Ohjelma on tarkoitettu toimimaan ainoastaan käyttöjärjestelmissä Windows 2000 / XP . Ohjelma on keskittynyt troijalaisiin, keyloggereihin ja muuhun spywareen
* Asennuksen ja päivityksen jälkeen valitse vasemmalta scanner => Settings => tarkista,että jokaisessa kohdassa on ruksi paikallaan ja muuta kohdassa What to scan? täppi kohtaan Scan every file.Paina OK.
* Tämän jälkeen vasta valitse kohta Complete System Scan ja scannaus alkaa. Jos tulee ilmoitus Infected object found! Tarkista,että kohdassa Create encrypted backup in the quarantine on ruksi ja laita ruksi itse kohtaan Perform action with all infections. Kohdassa Perform action: on oletuksena Remove. Suosittelen jättämään sen paikalleen vaikka sieltä voi myös valita None. Paina OK. Scannauksen päätyttyä voit tallentaa raportin teksti muodossa.
|
Senior Member
|
27. marraskuuta 2005 @ 18:04 |
Linkki tähän viestiin
|
|
AfterDawn Addict
|
28. marraskuuta 2005 @ 04:16 |
Linkki tähän viestiin
|
Sori, mutta toi ei lähde pois kummallakaan :) Se on rootkit ja sille on ihan oma fixinsä.
Laita ensin HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.
|
vebo
Suspended due to non-functional email address
|
28. marraskuuta 2005 @ 09:26 |
Linkki tähän viestiin
|
Logfile of HijackThis v1.99.1
Scan saved at 14:26:15, on 28.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\RevConnect\DCPlusPlus.exe
C:\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl... O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
|
Senior Member
1 tuotearvio
|
28. marraskuuta 2005 @ 09:38 |
Linkki tähän viestiin
|
Lisää/poista -sovelluksesta:
Alexa Toolbar <- Jos on
Sitten fixaukseen, eli do a system scan only, laita rastit seuraaviin ja fix checked:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Käynnistä vikasietotilaan (F8 käynnistyksen yhteydessä) poista seuraavat:
C:\WINDOWS\web\related.htm <- tiedosto
http://www.f-secure.com/blacklight/ <- Lataa, skannaa ja sano löytikö se mitään.
Windows update on ystäväsi ;)
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2005 @ 09:41
|
AfterDawn Addict
|
28. marraskuuta 2005 @ 09:52 |
Linkki tähän viestiin
|
Sori Disa-, mut mä tulen nyt väliin :)
Noi muut voit tehdä paitsi tuon blacklightin.
Hae ewido -> http://www.ewido.net/en/download Asenna ja päivitä, mutta älä skannaa vielä
Hae rdrivrem -> http://www.atribune.org/downloads/rdrivrem.zip ja pura se työpöydälle
Hae cleanup -> http://www.stevengould.org/software/cleanup/download.html ja asenna se
Käynnistä vikasietotilaan (F8 käynnistyksen yhteydessä)
Avaa rdrivrem-kansio työpöydältä ja tuplaklikkaa rdrivRem.bat
Seuraa ohjeita. Kun fixi on valmis, rdriv.txt-tiedosto löytyy
ko. kansiosta
Skannaa ewidolla. Anna poistaa, mitä löytää ja tallenna sen raportti
Avaa Cleanup!
options -> custom cleanup!
Valitse nämä ja katso, ettei mitään muuta ole valittuna:
[*]Empty Recycle Bins
[*]Delete Cookies
[*]Delete Prefetch files
[*]Cleanup! All Users
Paina ok ja sitten cleanup!
Jos cleanup! haluaa käynnistää koneen, paina no.
Käynnistä normaalisti.
Lähetä rdriv.txt-tiedoston sisältö ja ewidon raportti tänne.
|
vebo
Suspended due to non-functional email address
|
28. marraskuuta 2005 @ 10:06 |
Linkki tähän viestiin
|
Anteeksi laitoin vahingossa eka tuon hjk login ja sitten vasta scannasin
ewidolla
Tuossa on uus logi ewidon jälkeen:
Logfile of HijackThis v1.99.1
Scan saved at 15:05:02, on 28.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\MSmedia.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\RevConnect\DCPlusPlus.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\taskmgr.exe
C:\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl... O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
|
AfterDawn Addict
|
28. marraskuuta 2005 @ 10:09 |
Linkki tähän viestiin
|
Siis teitkö noiden mun ohjeiden mukaan? Ewidon skanni piti tehdä vikasietotilassa ja lisäksi ajaa rdrivrem ja cleanup!
EDIT: Samalla vaivalla voit tehdä sitten tämän:
Fixaa:
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
sitten suorita -> services.msc. Etsi listalta MicroSoft Media Tools, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi "ei käytössä".
Sitten kun ewidon skannia ym. varten käynnistät vikasietotilaan, niin poista tämä ennen rdrivfixiä ja ewidon skannia:
C:\WINDOWS\==>MSmedia.exe<==
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2005 @ 10:14
|
vebo
Suspended due to non-functional email address
|
28. marraskuuta 2005 @ 10:13 |
Linkki tähän viestiin
|
Siis se ei mennyt vikasietotilaan F8 painamalla.
Painoin F8 ja se meni ihan normaalisti windowsiin
|
AfterDawn Addict
|
28. marraskuuta 2005 @ 10:15 |
Linkki tähän viestiin
|
Pidä sitä F8:a pohjassa käynnistyksen yhteydessä niin kauan, kunnes tulee käynnistysvalikko. Valitse siitä valikosta vikasietotila.
|
vebo
Suspended due to non-functional email address
|
28. marraskuuta 2005 @ 10:48 |
Linkki tähän viestiin
|
Sori en jotenkin nähny tuota yhtä tekstii joten en poistanut enen msmedia.exe
rdrivren laitto tämmösen
~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~
~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~
~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~
~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~
rdriv.sys present!
~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~
~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~
~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~
Onko tuo se oikee`? ^^
ja ewido
---------------------------------------------------------
ewido security suite - Scan report
---------------------------------------------------------
+ Created on: 15:39:14, 28.11.2005
+ Report-Checksum: A02A4436
+ Scan result:
:mozilla.27:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Questionmarket : Cleaned with backup
:mozilla.28:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Ru4 : Cleaned with backup
:mozilla.29:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
:mozilla.31:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Ru4 : Cleaned with backup
:mozilla.34:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Burstnet : Cleaned with backup
:mozilla.35:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Burstnet : Cleaned with backup
:mozilla.37:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
:mozilla.38:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
:mozilla.39:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
:mozilla.40:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
:mozilla.57:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Spylog : Cleaned with backup
:mozilla.59:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Cleaned with backup
:mozilla.60:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Cleaned with backup
:mozilla.61:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Cleaned with backup
:mozilla.62:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Cleaned with backup
:mozilla.75:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Fastclick : Cleaned with backup
:mozilla.76:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Fastclick : Cleaned with backup
:mozilla.77:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Fastclick : Cleaned with backup
:mozilla.78:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Casalemedia : Cleaned with backup
:mozilla.79:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Casalemedia : Cleaned with backup
:mozilla.80:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Casalemedia : Cleaned with backup
:mozilla.87:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
:mozilla.88:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
:mozilla.90:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Cleaned with backup
:mozilla.105:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.107:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.108:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.109:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.110:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.111:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.112:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.113:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.114:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.115:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.116:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.117:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.118:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.119:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.120:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.121:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.122:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.123:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.124:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.125:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.126:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.127:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.128:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.129:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.130:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
:mozilla.134:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
:mozilla.135:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
:mozilla.136:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
:mozilla.138:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Atdmt : Cleaned with backup
:mozilla.139:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Pointroll : Cleaned with backup
:mozilla.140:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Pointroll : Cleaned with backup
:mozilla.141:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Pointroll : Cleaned with backup
:mozilla.147:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Googleadservices : Cleaned with backup
:mozilla.152:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Advertising : Cleaned with backup
:mozilla.154:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup
:mozilla.155:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup
:mozilla.157:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Trafic : Cleaned with backup
:mozilla.162:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
:mozilla.163:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
:mozilla.164:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup
:mozilla.166:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Mediaplex : Cleaned with backup
:mozilla.171:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
:mozilla.172:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
:mozilla.175:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
::Report End
Ja vielä hjt logi perään
Logfile of HijackThis v1.99.1
Scan saved at 15:55:45, on 28.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\RevConnect\DCPlusPlus.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl... O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2005 @ 10:56
|
AfterDawn Addict
|
28. marraskuuta 2005 @ 10:55 |
Linkki tähän viestiin
|
Ok, rdriv.sys on ilmeisesti lähtenyt pois. Teitkö varmasti "Complete System Scan"in ewidolla? Jollet, tee se uudestaan vikasietotilassa.
Tee tämä, jos et jo tehnyt:
Fixaa:
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
sitten suorita -> services.msc. Etsi listalta MicroSoft Media Tools, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi "ei käytössä".
Laita piilotiedostot näkyviin, ohje -> http://keskustelu.afterdawn.com/thread_view.cfm/248944
Katso löydätkö tämän ja kerro löytyykö:
C:\Windows\system32\==>rdriv.sys<==
Poista vikasietotilassa:
C:\WINDOWS\==>MSmedia.exe<==
Lähetä uusi HjT-loki
|
vebo
Suspended due to non-functional email address
|
28. marraskuuta 2005 @ 11:02 |
Linkki tähän viestiin
|
laitoin hjt login tuohon äskeisen jutun loppuun.
ewidolla tein varmasti "Complete System Scan"
Öö..löysin rdriv ja en se oli siinä mutta kun ''mustasin'' sen ni se katosi ja norttoni valitti sitä viirusta
|
benalma
Inactive
|
28. marraskuuta 2005 @ 11:07 |
Linkki tähän viestiin
|
Niinhän se norttoni herjaa melkein aina.Asenna f-secure niin ongelma poistuu,Mullahan oli tuo nortton ongelma just-mutta f-secure auttoi poistamaan pöpöt.
|
AfterDawn Addict
|
28. marraskuuta 2005 @ 11:08 |
Linkki tähän viestiin
|
Selvä. Sitten käynnistä uudestaan vikasietotilaan ja tee uudestaan tämä:
Avaa rdrivrem-kansio työpöydältä ja tuplaklikkaa rdrivRem.bat
Seuraa ohjeita. Kun fixi on valmis, rdriv.txt-tiedosto löytyy
ko. kansiosta.
Käynnistä uudelleen ja lähetä sen rdriv.txt:n sisältö.
Jos ei auta, niin pitää keksiä muuta.
|
AfterDawn Addict
|
28. marraskuuta 2005 @ 11:09 |
Linkki tähän viestiin
|
Quote: Niinhän se norttoni herjaa melkein aina.Asenna f-secure niin ongelma poistuu,Mullahan oli tuo nortton ongelma just-mutta f-secure auttoi poistamaan pöpöt.
Ei Norton eikä F-secure osaa poistaa tuota, ihan vaan tiedoksi ;)
|
vebo
Suspended due to non-functional email address
|
28. marraskuuta 2005 @ 11:17 |
Linkki tähän viestiin
|
Joo en löytäny msmedia.exee
koitan enää yhen kerran tuota rdrivremiä!
|
vebo
Suspended due to non-functional email address
|
28. marraskuuta 2005 @ 11:30 |
Linkki tähän viestiin
|
~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~
~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~
Tuommonen tuli
Siis siinä ei sanota kun kaksi vaihentta paina enttieriä eka jolloin siin lukee että 1 file copied ja sitten paina jotain nappia jatkaaksesi
ja kun sitä painaa niin se vaan sammuu
Anteeksi tyhmyyttäni mutta en tiedä onko tuo .bat, mutta ainakin se on
ms-dos komentojonotiedosto
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2005 @ 11:35
|
AfterDawn Addict
|
28. marraskuuta 2005 @ 11:34 |
Linkki tähän viestiin
|
Selvä.
Kato nyt löytyykö:
C:\Windows\system32\==>rdriv.sys<==
Jos löytyy, tee näin:
Hae KillBox
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
Pura,avaa ja täppi kohtaan Delete on Reboot
Sitte kopioi rivi tosta alapuolelta
C:\Windows\system32\rdriv.sys
Sitten KillBoxissa ylhäältä File > Paste from Clipboard
Sen jälkeen paina Delete (punainen, jossa on valkonen X)
Vastaa myöntävästi kysymyksiin ja jos kone ei itestään käynnisty uudestaan,niin käynnistä se.
Ja katso lähtikö rdriv.sys ja kerro se tänne.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2005 @ 11:35
|
vebo
Suspended due to non-functional email address
|
28. marraskuuta 2005 @ 11:36 |
Linkki tähän viestiin
|
Onko tuo vaarallista?
|
vebo
Suspended due to non-functional email address
|
28. marraskuuta 2005 @ 11:38 |
Linkki tähän viestiin
|
tai oota sitä ei löydy
Koitan etsii ja sitten katon norttonilla vielä
|
spertti
Senior Member
|
28. marraskuuta 2005 @ 11:40 |
Linkki tähän viestiin
|
Ei ole vaarallista, kunhan teet kaiken niinkuin kemisti neuvoo.
|
vebo
Suspended due to non-functional email address
|
28. marraskuuta 2005 @ 11:53 |
Linkki tähän viestiin
|
Joo system 32 ei löytyny.
etsinnällä ei löytyny
Norttoni ei löytänyt enää
Ei kai sitä ole enää kiiitooooosss Kemisti ja muutkin jotka auttoivat
|
Mainos
|
|
|
AfterDawn Addict
|
28. marraskuuta 2005 @ 11:56 |
Linkki tähän viestiin
|
Ole hyvä :)
|