|
Norman havaitsi troijahevosen ja siirsi sen karanteeniin
|
|
|
zewe
Suspended due to non-functional email address
|
24. kesäkuuta 2006 @ 19:29 |
Linkki tähän viestiin
|
Joo elikkä Norman havaitsi troijanhevosen ja siirsi sen karanteeniin. Diagnoosi on seraavanlainen W32/DLoader.ADGW Miten saan sen pois koneelta. Ammattilaisapua tarvitaan.
Tässä HjT logi:
Logfile of HijackThis v1.99.1
Scan saved at 23:29:01, on 24.6.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\CAP3RSK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Norman\Nvc\BIN\Nvcut.exe
C:\Norman\Nvc\BIN\Nvcut.exe
C:\hjt\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fi/0SEFIFI/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hifilehti.fi/keskustelu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://elisa.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: MSN-työkalurivi - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fi\msntb.dll
O4 - HKLM\..\Run: [High Definition Audio -ominaisuussivun pikakuvake] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Canon LASER SHOT LBP-1120 - Tilaikkuna.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://elisa.net/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x8...
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Kiitos jo etukäteen.
|
|
Kellopeli
Suspended due to non-functional email address
|
24. kesäkuuta 2006 @ 19:40 |
Linkki tähän viestiin
|
|
Yllättävää, että Normani ylipätään havaitsee mitään :D Toi ohjelma vuotaa kun itäraja.
Logi on puhdas. Niin ja karanteenin ideahan on juuri se, että siitä viiruksesta ei koidu mitään haittaa. Norman pitää vissiin oletusarvoisesti 2 viikkoo virusta karanteenissa ja poistaa sen jälkeen viruksen automaattisesti.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 24. kesäkuuta 2006 @ 20:18
|
|
zewe
Suspended due to non-functional email address
|
24. kesäkuuta 2006 @ 19:45 |
Linkki tähän viestiin
|
|
Itse asiassa tämä on ensimmäinen tälläinen tapaus Normannin aikana mitä se on tällä koneella ollut käytössä. ;D Mutta mitä tälle pitää tehdä että siitä ei ole haittaa? Ammattitaitoa kaivataan edelleen :)
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 24. kesäkuuta 2006 @ 19:47
|
|
raziella
Suspended due to non-functional email address
|
24. kesäkuuta 2006 @ 21:06 |
Linkki tähän viestiin
|
|
Mene sinne sun normannin karanteeni asetuksiin mikä löytyy sun normannin apuohjelmasta. Sieltä voit itse poistaa sen. Sieltä löytyy ohje. Simppeli juttu.
|
|
zewe
Suspended due to non-functional email address
|
24. kesäkuuta 2006 @ 21:41 |
Linkki tähän viestiin
|
Quote:
Mene sinne sun normannin karanteeni asetuksiin mikä löytyy sun normannin apuohjelmasta. Sieltä voit itse poistaa sen. Sieltä löytyy ohje. Simppeli juttu.
Silläkö se on sitte kuitattu vaan, eikä koneelle jää mitään jämiä tosta?
|
|
zewe
Suspended due to non-functional email address
|
25. kesäkuuta 2006 @ 08:49 |
Linkki tähän viestiin
|
Voisiko joku vielä tarkastaa tuon HjT login ja kertoa että onko kaikki siinä kunnossa?
|
Senior Member
|
25. kesäkuuta 2006 @ 17:27 |
Linkki tähän viestiin
|
|
Ei näy haittaohjelmia
|
|
zewe
Suspended due to non-functional email address
|
25. kesäkuuta 2006 @ 18:00 |
Linkki tähän viestiin
|
|
Hyvä että logi on kunnossa ja kiitokset vastanneille :)
|
Member
|
25. kesäkuuta 2006 @ 18:10 |
Linkki tähän viestiin
|
@zewe
Javan voisit vielä päivittää, ohjeita:
# Klikkaa Käynnistä > Ohjauspaneeli ja tupla-klikkaa Java kuvaketta (kahvikuppi) Ohjauspaneelissa.
# Mene "Update" -välilehteen Java asetusikkunassasi. Päivitä Javasi klikkaamalla "Update Now" ja sitten käynnistä uudelleen.
# Jos et pysty päivittämään automaattisesti, hae manuaalisesti täältä:
http://www.java.com/en/download/manual.jsp
# Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja siitä Java asetuksiisi.
# Temporary Internet Files -osion alla, klikkaa Delete Files nappia.
# Varmista että kaikki kolme valintaa ovat rastitettuja:
Downloaded Applets
Downloaded Applications
Other Files
# Klikkaa OK "Delete Temporary Internet Files" -ikkunassasi.
Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.
# Klikkaa OK jättääksesi Java asetusikkunasi.
|
|
zewe
Suspended due to non-functional email address
|
25. kesäkuuta 2006 @ 18:52 |
Linkki tähän viestiin
|
|
Pitääkö vanha java poistaa ennen uuden asentamista?
|
|
zewe
Suspended due to non-functional email address
|
25. kesäkuuta 2006 @ 18:55 |
Linkki tähän viestiin
|
|
Sekä mikä noista vaihtoehdoista valitaan?
|
|
Werewolf_
Member
|
25. kesäkuuta 2006 @ 19:15 |
Linkki tähän viestiin
|
Quote:
Pitääkö vanha java poistaa ennen uuden asentamista?
ei tarvitse :) kannattaa hakea se päivitys
http://www.java.com/en/download/windows_xpi.jsp
sivulta, koska se mitä ilmeisimmin sanoo 6 version olevan uusin, vaikka javan sivuilta saa ladattua 7 version.
tuolla sivulla sitten painat vain Windows (XPI) tekstin vieressä olevaa download nappia :) jos selain kysyy jotain tai ei anna asentaa, laita se sallimaan :)
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. kesäkuuta 2006 @ 19:18
|
|
zewe
Suspended due to non-functional email address
|
25. kesäkuuta 2006 @ 20:47 |
Linkki tähän viestiin
|
|
Päivitys onnistui, kiitokset neuvoista. :)
|
|
Mainos
|
|
|
Member
|
26. kesäkuuta 2006 @ 07:00 |
Linkki tähän viestiin
|
|
@zewe
Ohjauspaneelin lisää poista sovelluksella voit poistaa aiemmat versiot mutta ei sitä uusinta 7 päivitystä eli ne vanhemmat poistat vaan sieltä turhaan tilaa viemästä :)
|
