ad-aware

Vapaa kuvaus

Linkit: http://forums.techguy.org/, http://www.spywareinfoforum.com/, http://www.dslreports.com/forum/security,1, http://www.virustorjunta.net/, http://www.thaiklupi.fi/foorumi/ Kotimaa: --- Koulutus: --- Ammatti: Muu Siviilisääty: --- Lapset: ---

Aloituksia

0

Kommenttia

162

  1. Käytitkö sitä työkalua ja löysikö se

    Backdoor.Agent.B Removal Tool

    mitään ?

    FIXaa vielä nämä rivit logista.

    O15 - Trusted IP range: 67.19.185.246
    O15 - Trusted IP range: (HKLM)

    O16 - DPF: {5BDBD95C-1E7F-4FB1-8497-20AF879F8B68} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fi/filesharingctrl.cab
    O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB

    .
    .
  2. Moi

    Sammuta kone. Käynnistä VIKASIETOTILASSA.

    Poista ensimmäiseksi lisää / poista sovelluksen kautta seuraavat jos löytyy

    Windows ControlAd
    Windows ServeAd

    Paluu normaalitilaan. Sitten haet tuolta
    http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

    työkalun. Lue ohjeet tarkasti !

    How to download and run the tool

    Pistä uusi logi tämän jälkeen ja ilmoitus myös siitä löysikö kyseinen työkalu mitään.
    .
    .
  3. Moi

    Nämä rivit

    C:\WINDOWS\System32\unlodctl.exe
    C:\WINDOWS\System32\nlsfuncs.exe
    C:\WINDOWS\System32\openconf.exe

    + ne muut oireet viittaavat tähän uusimpaan infektioon mikä ilmestyi n.1-2 vko sitten.

    Kyseiseen infektioon EI vielä ole löydetty "lopullista" puhdistuskeinoa. Ratkaisu sen löytämiseen on kyllä lähellä.Huomattavaa edistystä sen suhteen on kyllä tapahtunut ja Expertit löytänevät siihen ratkaisun toivottavasti ensi viikon aikana. Valitettavasti vain näiden "örkkien havaitsemisohjelmien" tekeminen ja testaaminen vie hieman aikaa.

    >>>>>>>>>>>>>>>>
    tuli tohon alas oikealle(missä on noi kellot ym) semmonen viesti et "You computer might be in risk"
  4. Scannaa myös tämä

    C:\WINDOWS\SYSMD.EXE

    Se on myös "örkki",mutta katsotaan mitä noi scannerit siitä sanoo.
    .
    .
  5. Moi

    Scannaisitko tämän

    C:\WINDOWS\TLK0298.EXE

    täällä
    http://virusscan.jotti.dhs.org/

    sekä tässä beta-versiossa
    http://virusscan.jotti.dhs.org/new/

    Ilmoita tulos mitä löysi.
    .
    .
  6. Viittasit tuohon bugiin mikä on jo korjattu siinä vahhassa versiossa mitä Merijn teki. Viimeinen Merijnin tekemä versio on 1.59.1.

    Tästä uudesta versiosta 2.XX ei vielä ole kovin paljon tietoa....valitettavasti....ja mitä vikaa siinä mahdollisesti piilee....

    Mutta uusi versiopäivitys ilmestyi eilen / tänään Versio 2.12. Ehkä "bugi" on siinä korjattu.
    Ainakin tuolla ulkomaisilla foorumeilla näin ilmoittavat..
    ..
  7. Moi

    Mikähän versio sulla oli ?

    Kokeile viimeisintä 2.12 versiota.Ilmestyi eilen/tänään....
    ..
  8. pois vaan..
    Arvelisin,että se on SpyCleaner Gold

    Lainaus
    >>>>>>>>>
    aggressive, deceptive advertising (1, 2); false positives work as goad to purchase; "Free Spyware Scanner" uses out-of-date reference database w/ no update function; exploits name "Ad-aware" (1); Ad-aware rip-off (1, 2) [A: 6-26-04 / U: 11-6-04]
  9. Unohtuiko sultä nämä :)

    O15 - Trusted Zone: *.frame.crazywinnings.com
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicUnlimited/ie/bri dge-c8.cab

    Tosin toi 015 voi taas vaatia myös muita toimenpiteitä,että se lähtee koneelta.
    "Samanlainen" tapaus kuin se
    *.63.219.181.7
    .
    .
  10. Muutamia kysymyksiä..

    Mikä tuon ilmoituksen antaa ja koska ?
    Antaako virustorjuntaohjelmasi sen ilmoituksen silloin kun scannaat Ad-Awarella?

    Kyseinen polku
    C:\DOCUMENTS AND SETTINGS\TUIRE\LOCAL SETTINGS\TEMP\AAWTMP

    on Ad-Awaren scannauksen aikana sinne ilmestyvä polku ja sitä ei sieltä enää löydy jälkeenpäin.

    Löysikö / poistiko Ad-Aware jotain koneeltasi ?

    .
    .
  11. VASTATA tähän viestiin. Olet siellä kyllä jos vastannutkin :)

    http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=653&posting=22000000004266915


    Herjaako Norton mitään ? ;)

    jos ei herjaa katso onko Norton päällä :)
    .
    .
  12. täällä, vaikka Norton on mullakin ja yleensä se "herjailee" aika useasti tosta Bloodhound.Exploit.6 kun seurailen noita logeja ulkomaisilla foorumeilla tai haen Googlella tietoa jostain.

    Nyt Norton ei älähtänyt ollenkaan tässä linkissä.
    .
    .
  13. minäkin, sillä siellä olisi ollut vielä puhdistettavaa..

    Tämä tuolla alempana
    >>>>>>>>>>>>>>>
  14. Eiköhän poisteta vielä nämä rivit

    O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
    O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstalle r.cab
    O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveS ervice_9_EN_XP.cab

    .
    .
  15. Moi

    Poista ensimmäiseksi lisää / poista sovelluksen kautta seuraava jos vielä löytyy.

    Messenger Plus!

    Tämän jälkeen pistä piilotiedostot näkyviin. Tuossa ohje siihen.
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

    Tee uusi scannaus HijackThissillä ja poista seuraavat rivit jos vielä löytyy. Sulje selain ja muut ikkunat ennen tuota FIXausta.

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vlqkghzfysciojwqewhxmmft.com/ XG2fhYbVY/WNn8NPBNUXZdLcFTAxa2rP3Lrz72E6Llt9LqSHDGAGG8Yo7PwhephW.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gkjfttdqiteoefnbzhlkgpp.com/ XG2fhYbVY/XXWR1zOB2K_g0N_qyhYXOMb9lNezv5Qoo.asp

    O2 - BHO: (no name) - {A17998C3-B8A0-AEB8-50A1-CEE3F171A068} - C:\DOCUME~1\Mari\APPLIC~1\BUILDP~1\Extra tons.exe (file missing)
    O2 - BHO: (no name) - {FABA6D65-257E-AAE0-0698-D50535A438A4} - C:\DOCUME~1\Mari\APPLIC~1\BUILDP~1\Extra tons.exe (file missing)

    O4 - HKCU\..\Run: [inside drv] C:\DOCUME~1\Mari\APPLIC~1\BLUEDA~1\1 Plus.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

    Sammuta kone. Käynnistä VIKASIETOTILASSA.Ohje
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406
    Poista seuraavat kansiot jos vielä löytyy.

    BUILDP~1
    BLUEDA~1

    Seuraavista poluista

    C:\Documents and Settings\Mari\Application Data\BUILDP~1
  16. Moi

    Hyvä kun taas joku muistutti tästä HJT-analysaattorista. Olin jo sen taas kokonaan unohtanut.

    Tästä "automaatista" oli juttua noin kuukausi sitten tässä viestiketjussa kun siitä kysytttiin.
    http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&posting=22000000005114878

    Lue vastaukset ja varsinkin se minka olen sinne laittanut.

    Kuukausi on vierähtynyt ja päivityksiä ohjelmaan on tehty lisää.Ainakin versio numerot ovat muuttuneet suuremmiksi kuin oli vielä kuukausi takaperin.

    Log created on : 23-11-2004 12:01:32
    Analyzer version : 10
    bad.dat version : 26
    good.dat version : 28
    rec.dat version : 20
    dasb.dat version : 6
    sus.dat version : 7
    fire.dat version : 2

    Mutta en silti luottaisi siihen. Otappa tästä vaikka pari riviä alempana oleva logi.
    http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&posting=22000000005473242

    ja aja se siellä.
    Mikä on tulos ?
    Löysikö kaikki ja onko logi sen mukaan OK ?

    Tässä tulos
    http://www.hijackthis.de/logfiles/30a0be810c8e98c6b642105a8d0d0a4a.html

    Ei tainnut löytää KAIKKIA "pahiksia" vai löysikö ? ;)

    .
    .
  17. Taitaa tämäkin rivi olla örkki

    O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe

    vai mitä mieltä olet ?

    .
    .
  18. Lataa tästä
    http://koti.mbnet.fi/pattaya1/lataus/TarkistaPoistaAsennusLista.bat

    TarkistaPoistaAsennusLista.bat nimisen tiedosto.

    Asenna / tallenna se työpöydälle.Tuplaklikkaa sitä kyseistä .bat-tiedosta. Odottele hetken kun se saa tarkistuksen suoritettua. Kun tarkistus on loppunut työpöydälle pitäisi ilmestyä seuraavan niminen tiedosto

    poistaohjelmanasennuslista.txt

    Avaa se ja kopioi kyseisen tiedoston koko sisältö ja liitä se tänne sen uuden HijackThis login kanssa.
    .
    .
  19. Moi

    Tyhjennä ne väliaikaiset tiedostot noista poluista.

    Internet Explorer Temporary Internet Files
    Ohje tyhjennykseen....

    >Työkalut
    >Internet-asetukset
    >Poista Evästeet, ja klikkaa avautuvaan pikku ikkunaan OK.
    >Poista tiedostot,laita avautuvaan ikkunaan ruksi,poista kaikki off-line sisältö, kohdan eteen ja klikkaa siihen OK.
    >Ok

    Sun\Java\Deployment\cache
    Ohje tyhjennykseen....

    Ohjauspaneeli -> klikkaa Java plug-in -> sieltä ikkuna "cache" -> ja nappula "clear".

    Buuttaa kone ja scannaa uudelleen F-Securella.

    .
    .
  20. Pistä piilotiedostot näkyviin. Tuossa ohje siihen.
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

    Tee uusi scannaus HijackThissillä ja poista seuraavat rivit jos vielä löytyy. Sulje selain ja muut ikkunat ennen tuota FIXausta.

    O2 - BHO: C:\WINDOWS\lbbho.dll - {C67A4B06-0A04-496C-8F3B-BF5192D86E09} - C:\WINDOWS\lbbho.dll

    O4 - Startup: iMesh.lnk = C:\Program Files\iMesh\Client\iMeshClient.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

    Buuttaa kone. Käynnistä vikasietotilassa.Tuossa ohje siihen.
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406

    Etsi ja poista seuraavat tiedostot ja kansiot jos vielä löytyy.

    C:\WINDOWS\lbbho.dll >>>>>>>>>>>>>>>>>>>
    21. 6 / 9
TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt