|
Prosessori käy kierroksilla, spyware?
|
|
|
juuei
Newbie
|
11. tammikuuta 2006 @ 11:25 |
Linkki tähän viestiin
|
|
Täällä taas uusi tietotekniikan ihmelapsi kaipaa viisaampien neuvoja! Ongelma seuraava, tänään ilmeni ensimmäisen kerran: avasin koneen, prosessori huutaa viimeistä päivää, ja windowsiin kirjautuminen kesti tuhottoman kauan. Toistin tämän useita kertoja, ja aina sama homma. Aiemmin ollut kolme kertaa puolen vuoden aikana sellainen vika, että yhtäkkiä käytön aikana näyttö menee valkoiseksi, eikä muu auta kuin koneen buuttaus.
Vikasietotilassa kone toimi äsken normaalisti, ja ajoin siinä viime yönä päivitetyn eScanin läpi, eikä se löytänyt mitään paitsi "total number of errors: 2", ja siitä ei logiin tullut mitään mainintoja. Ad-Aware SE personal ei myöskään löytänyt mitään, eikä Ewidon anti malwarekaan. Eilen ajoin myös koneen oman virusskannerin Normanin ilman löydöksiä. Nyt kun pääsin normaalitilassa tänne nettiin, niin prosessori lopetti täysillä kierroksilla käyntinsä vasta kun pääsin tänne AfterDawnin sivuille.
Eilen yöllä kävin koneen läpi Pandan online skannerilla, joka löysi jotain. En tosin niille ole uskaltanut ilman ammattiauttajaa tehdä mitään! Samoin ystäväni suositteleman Spy Sweeperin kanssa tutkin koneen, ja sekin löysi jonkun örkkelin. Sekin jäi rauhaan, sillä ohjelma vaan tutkii koneen.
Ei kai näillä online skannauksilla voi olla vaikutusta asiaan? Jostain keskustelupalstalta muistan lukeneeni, että jollain oli kone mennyt pahemman kerran sekaisin niitä käytettyään.
Ohessa kuitenkin se Pandan logi,
Incident Status Location
Adware:adware/p2pnetworking Not disinfected C:\WINDOWS\SYSTEM32\P2P Networking v126.cpl
Spyware:application/bestoffer Not disinfected C:\WINDOWS\smdat32m.sys
Potentially unwanted tool:application/myway Not disinfected HKEY_CLASSES_ROOT\CLSID\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}
Spyware:spyware/altnet Not disinfected Windows Registry
Spyware:Cookie/Microsofte Not disinfected C:\Documents and Settings\?MÄ?\Cookies\a-p@microsofteup.112.2o7[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\?MÄ?\Application Data\Mozilla\Firefox\Profiles\wgcjwuo4.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\?MÄ?\Application Data\Mozilla\Firefox\Profiles\wgcjwuo4.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\?MÄ?\Application Data\Mozilla\Firefox\Profiles\wgcjwuo4.default\cookies.txt[]
Spyware:Cookie/Microsofte Not disinfected C:\Documents and Settings\?MÄ?\Cookies\a-p@microsofteup.112.2o7[1].txt
Adware:Adware/P2PNetworking Not disinfected C:\WINDOWS\system32\P2PNetworking v126.cpl
Ja sitten vielä se Spy Sweeperin löydös,
HKU\WRSS_PROFILE_S-1-5-21-3445796488-2583101042-2551043353-1008\SOFTWARE\INSTAFINK
Ja vielä tämän romaanin jatkeeksi sellainen loppuhuipennus, että latasin juuri Spybotin Search & Destroyn, latasin päivitykset ja käynnistin. Tämä skannaus kesti tasan sekunnin, ja ilmoitus tuli, että onnittelut puhtaasta järjestelmästä?
APUVA!
|
AfterDawn Addict
|
11. tammikuuta 2006 @ 11:59 |
Linkki tähän viestiin
|
Laita HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne. Tuon P2P Networkingin voit jo valmiiksi poistaa lisää/poista sovellus-kohdasta (ohjauspaneeli).
|
|
juuei
Newbie
|
11. tammikuuta 2006 @ 12:23 |
Linkki tähän viestiin
|
No nyt on jo sellanen tilanne, ettei Hjt:n lataus ala ollenkaan. Yritin myös sieltä fcok:n linkkilistaltakin, mutta ei onnistu. Ja toi P2P Networking sanoi ohjauspaneelissa jotain seuraavanlaista, että ei onnistu, P2P ollaan mahdollisesti jo poistettu. Lisäksi tehtäväpalkissa Normanin virusohjelman päällä villkkuu rasti punasella pohjalla, 'Ajastin' ei ole käynnissä. Mutta Tietoturvakeskus kuitenkin ilmottaa, että palomuuri, virustorjunta ja päivitykset on kunnossa. Kannattaako kuitenkaan täällä netissä enää pyöriä? Alkaa täällä päässä näyttää epätoivoselta. Mitäs vois tehä, kaveri suositteli Windowsin uudelleenasennusta.. Ja miten se sitten tapahtuu, jos vaan jotain linkkejä on aiheeseen liittyen?
Nyt sain Hjt:n ladattua, miksiköhän ei aiemmin suostunu?
Logfile of HijackThis v1.99.1
Scan saved at 17:30:14, on 11.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Documents and Settings\A-P\Työpöytä\ewido anti-malware\ewidoctrl.exe
c:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Npf\BIN\NPFSVICE.EXE
C:\NORMAN\bin\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\bin\nvcoas.exe
C:\NORMAN\bin\NJEEVES.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\WinTasks\wintasks.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\NORMAN\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Messenger\msmsgs.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\bin\cclaw.exe
C:\NORMAN\Npf\BIN\npfmsg2.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\"MÄ"\LOCALS~1\Temp\Tilapäinen kansio 1 hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinTasks Traybar] C:\Program Files\WinTasks\wintasks.exe traybar
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by10fd.bay10.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/...
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4624/mcfs...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\"MÄ"\Työpöytä\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Npf\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\NORMAN\bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 11. tammikuuta 2006 @ 12:37
|
AfterDawn Addict
|
11. tammikuuta 2006 @ 12:39 |
Linkki tähän viestiin
|
Loki on kyllä puhdas.
Ole varmaan ajanut jo ewidon, niin aja seuraavaksi eScan.
Tämän hakemiston voit poistaa ennen sitä, jos löytyy:
C:\WINDOWS\SYSTEM32\==>P2P Networking<==
Hae eScan -> http://koti.mbnet.fi/pattaya1/escanmwav.htm .
Asenna, päivitä, skannaa sivulla olevien ohjeiden mukaan. Lähetä sitten "örkkitulokset" tänne (ohje tuolla sivulla, alin kuva ja sen yläpuolella oleva teksti).
|
|
juuei
Newbie
|
11. tammikuuta 2006 @ 14:21 |
Linkki tähän viestiin
|
|
eScanista ei tullut örkkituloksia, ainoastaan "Total number of errors: 1", mitä lie tarkoittaa? Tosiaan muistin että laitteistoni valmistajalla on puhelintuki jonne sitten soitin. Palautettiin siinä yhdessä tuumin järjestelmäni toissapäiväiseen tilanteeseen, ja ongelma hävisi ainakin toistaiseksi. Tuhannet kiitokset kuitenkin -kemistille- nopeasta toiminnasta ja asiaan paneutumisesta!
P.S. Noille Pandan ja Spy Sweeperin muille löydöksille ei siis tehdä mitään?
P.P.S. eScan ilmoitti tarkastaneensa n. 50 000 tiedostoa, kun taas ewido n. 250 000 tiedostoa, onko tällä käytännön merkitystä?
|
AfterDawn Addict
|
11. tammikuuta 2006 @ 14:25 |
Linkki tähän viestiin
|
Tämän hakemiston voit poistaa, jos löytyy:
C:\WINDOWS\SYSTEM32\==>P2P Networking<==
Ja tämän tiedoston:
C:\WINDOWS\==>smdat32m.sys<==
Olivatko eScanin skannausasetukset kuvan mukaiset?
|
|
juuei
Newbie
|
11. tammikuuta 2006 @ 14:34 |
Linkki tähän viestiin
|
|
Kuvan mukaiset olivat rukseja myöten. Ainoastaan Scan nappulassa luki Scan clean, joka ei varmastikaan vaikuta asiaan? Ja skannaukseen meni hiukan alle tunti.
Ja nyt huomasin, että Documents and Settings kansioon on tullut kaksi uutta kansiota "Järjestelmänvalvoja" ja "Omistaja", omien käyttäjätilien lisäksi. Kyseiset tilit eivät näy Ohajuspaneelin Käyttäjätileissä. Ovatko seurausta siitä, että käytin konetta aiemmin vikasietotilassa?
Niin sellainen vielä, kun Ewido ilmoittaa, että scanned objects, ja eScan, että scanned files. Näillä siis ilmeisesti joku ero - kun en ole mikään nero?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 11. tammikuuta 2006 @ 15:20
|
AfterDawn Addict
|
11. tammikuuta 2006 @ 15:22 |
Linkki tähän viestiin
|
|
Ei noilla termeillä eroa ole tässä tapauksessa. Annoitko ewidon poistaa löytämänsä asiat?
|
|
juuei
Newbie
|
11. tammikuuta 2006 @ 15:46 |
Linkki tähän viestiin
|
|
Saman minkä Pandakin eilen löysi, niin nyt Ewido siivosi:
:mozilla.13:C:\Documents and Settings\"MÄ"\Application Data\Mozilla\Firefox\Profiles\wgcjwuo4.default\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
Miten sen eScanin kanssa, onkohan siinä asetukset jotenkin päin mäntyä, kun Ewido tarkastaa enemmän?
|
AfterDawn Addict
|
11. tammikuuta 2006 @ 15:50 |
Linkki tähän viestiin
|
|
Ewido laskee myös rekisteriavaimet tuohon lukuun mukaan, eli ei siinä mitään ihmeellistä :)
|
|
juuei
Newbie
|
11. tammikuuta 2006 @ 15:57 |
Linkki tähän viestiin
|
|
Kiitos vielä kerran! Se puhelintukimies muuten epäili, että oon ladannu koneelle jotain mikä laitto järjestelmän sekasin, ehkäpä juuri sen Pandan online skannerin takia.. Tiedä häntä, mutta nyt on ainakin loppupäivästä kone toiminu niinkuin ennenkin.
|
|
Snowfun
Suspended due to non-functional email address
|
11. tammikuuta 2006 @ 16:02 |
Linkki tähän viestiin
|
|
Sori mutta nyt tulee vähän mutu vastaus. Mulla oli Normannin kanssa samanlainen ongelma, että prossu huuti 100% koko ajan. Mulla vika poistui vasta kun asensin Normanin uudestaan. Normanniin tuli joku isompi päivitys ja se pisti prossun kyykkyyn. Jos vika uusiutuu niin kokeile asentaa Norman uudestaan. Jos tarviit apuja siihen niin neuvotaan sitten.
|
|
juuei
Newbie
|
11. tammikuuta 2006 @ 16:57 |
Linkki tähän viestiin
|
|
Jep! Tällä kertaa ei ilmeisesti ollu siitä kiinni. Silloin joskus kun en ymmärtäny käyttää muuta virusohjelmaa kuin valmiiksi asennettua Normania, niin jouduin kyseisen operaation tekemään, kun eräs kaunis päivä koko Normanin palomuuri oli koneelta kadonnut. Ei auttanu edes asennus cd, sillä siinä oli vanha versio, joka ei sitten ohjeista huolimatta halunnut päivittyä - tarkoitan tässä nyt niitä päivämäärien vaihtosessioita yms. kivaa. Onneksi sen sai netistä ladattua uudestaan. No mutta, en kyllä enää viitsi sillä Pandalla sutasta, tuntuu antavan mun koneelle liian jykevän tujauksen! =)
|
Senior Member
|
11. tammikuuta 2006 @ 22:29 |
Linkki tähän viestiin
|
Minusta ongelma ei voi johtua pandasta ja konehan oli jo enne sitä käyttäytynyt oudosti. Itsekkin tuota pandan online scanneria pari kertaa kokeillut mitään löytämättä mutta myös mitää sekoittamatta koneessa.
Tuosta ewidosta muuten tein oppaan ja saattaa olla toki tuo pikku asetuksien säätö paikallaan eli "Scan every file" asetuksista päälle.
-> http://keskustelu.afterdawn.com/thread_view.cfm/269186
|
|
Mainos
|
|
|
|
juuei
Newbie
|
12. tammikuuta 2006 @ 13:33 |
Linkki tähän viestiin
|
|
Juuh tein kaiken noiden sun ohjeiden mukaan, oli varsin pätevät. Katotaan miten tilanne edistyy.
|
