Onko mitään outoa?
Logfile of HijackThis v1.99.1
Scan saved at 7:12:45, on 21.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\FSGK32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fssm32.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMB32.EXE
C:\WINDOWS\System32\Tablet.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FCH32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsav32.exe
C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe
C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe
C:\Ohjelmatiedostot\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\fsguiexe.exe
C:\Ohjelmatiedostot\ToniArts\EasyCleaner\EasyClea.exe
C:\Ohjelmatiedostot\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fi.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fi.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Ohjelmatiedostot\Sonera Tietoturva\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Ohjelmatiedostot\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [hostserv] wiz98.exe
O4 - HKLM\..\Run: [Calc Microsoft Windows] wincalc.exe
O4 - HKLM\..\RunServices: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\RunServices: [hostserv] wiz98.exe
O4 - HKLM\..\RunServices: [Calc Microsoft Windows] wincalc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110899496625
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Unknown owner - C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
hijack logi
11
708
Vastaukset
Moi
Pistä piilotiedostot näkyviin..ohje tuossa
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339
Tee sitten uusi scannaus HijackThissillä ja poista seuraavat rivit jos vielä löytyy. Sulje selain ja muut ikkunat ennen FIXausta.
O4 - HKLM\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\Run: [hostserv] wiz98.exe
O4 - HKLM\..\Run: [Calc Microsoft Windows] wincalc.exe
O4 - HKLM\..\RunServices: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\RunServices: [hostserv] wiz98.exe
O4 - HKLM\..\RunServices: [Calc Microsoft Windows] wincalc.exe
O4 - HKCU\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
Sitten etsi nämä jos vielä löytyy
cdaccess6.exe
wiz98.exe
wincalc.exe
löytynee kansiosta
C:\WINDOWS\System32\ tai
C:\WINDOWS\
ja scannaa ne tuolla
http://virusscan.jotti.org/ sekä tuolla
http://www.virustotal.com/xhtml/virustotal_en.html
Ne ovat botteja ja troijalaisia..mutta koska osalla antivirusvalmistajilla ei varmaankaan ole niistä näytteitä niin tuolla tavalla saadaan ne näytteet niille.
Käynnistä kone sen jälkeen VIKASIETOTILAAN ja poista kyseiset tiedostot
cdaccess6.exe
wiz98.exe
wincalc.exe
Paluu normaalitilaan. Koska ne olivat siis botteja / troijalaisia niin ne ovat todennäköisesti tuoneet mukana lisää "ystäviä" joita ei tuossa logissa näy.
Scannaa koneesi varmuuuden vuoksi tällä.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
Muista lukea ohjeet ja päivitä se ennen scannausta.
Pistä löydetyt "örkkitulokset" tänne jos jotain löytyy
Pistä myös uusi HijackThis logi.
.
.- örkkejä löytyi
arf.. aika paljon löysi ohjelma näitä "örkkejä"
File C:\WINDOWS\system32\WIZ98.0XE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\TFTP5060.0 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\lssas6.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\algs.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\CDACCESS6.0XE infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\Isass.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Documents and Settings\seif\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-1bd4b7c1-602102f2.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000238.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000239.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000240.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000241.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000242.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000243.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
Hijack logi:
Logfile of HijackThis v1.99.1
Scan saved at 12:26:08, on 21.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\FSGK32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fssm32.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMB32.EXE
C:\WINDOWS\System32\Tablet.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FCH32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsav32.exe
C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
C:\Ohjelmatiedostot\Logitech\MouseWare\system\em_exec.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe
C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
C:\Kaspersky\mwavscan.com
C:\Kaspersky\kavss.exe
C:\Ohjelmatiedostot\Windows NT\Accessories\wordpad.exe
C:\Ohjelmatiedostot\Mozilla Firefox\firefox.exe
C:\Ohjelmatiedostot\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fi.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fi.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Ohjelmatiedostot\Sonera Tietoturva\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Ohjelmatiedostot\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110899496625
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Unknown owner - C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa? örkkejä löytyi kirjoitti:
arf.. aika paljon löysi ohjelma näitä "örkkejä"
File C:\WINDOWS\system32\WIZ98.0XE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\TFTP5060.0 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\lssas6.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\algs.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\CDACCESS6.0XE infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\Isass.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Documents and Settings\seif\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-1bd4b7c1-602102f2.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000238.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000239.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000240.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000241.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000242.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000243.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
Hijack logi:
Logfile of HijackThis v1.99.1
Scan saved at 12:26:08, on 21.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\FSGK32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fssm32.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMB32.EXE
C:\WINDOWS\System32\Tablet.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FCH32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsav32.exe
C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
C:\Ohjelmatiedostot\Logitech\MouseWare\system\em_exec.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe
C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
C:\Kaspersky\mwavscan.com
C:\Kaspersky\kavss.exe
C:\Ohjelmatiedostot\Windows NT\Accessories\wordpad.exe
C:\Ohjelmatiedostot\Mozilla Firefox\firefox.exe
C:\Ohjelmatiedostot\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fi.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fi.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Ohjelmatiedostot\Sonera Tietoturva\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Ohjelmatiedostot\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110899496625
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Unknown owner - C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa?HijackThis logi on OK.
>>>>>
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa?- kiitti
Ad-Aware kirjoitti:
HijackThis logi on OK.
>>>>>
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa?Kaikki muut onnistuin löytämään ja poistamaan, paitsi näitä kahta, jotka olivat mystisesti kadonneet:
C:\WINDOWS\system32\WIZ98.0XE
C:\WINDOWS\system32\CDACCESS6.0XE
Oliskohan nimi muuttunut niin paljon, ettei mikään haku ei niitä enää tunnista. Kai ne vaarattomia ovat kun virusskannauskaan, jonka tein puhdistettuani java-välimuistin, ei enää niihin reagoinut. kiitti kirjoitti:
Kaikki muut onnistuin löytämään ja poistamaan, paitsi näitä kahta, jotka olivat mystisesti kadonneet:
C:\WINDOWS\system32\WIZ98.0XE
C:\WINDOWS\system32\CDACCESS6.0XE
Oliskohan nimi muuttunut niin paljon, ettei mikään haku ei niitä enää tunnista. Kai ne vaarattomia ovat kun virusskannauskaan, jonka tein puhdistettuani java-välimuistin, ei enää niihin reagoinut.Varmista,että sulla on piilotiedostojen asetukset kuvan mukaiset ja yritä etsiä sitten.
http://koti.mbnet.fi/pattaya1/kuvat/piilo.jpg
Ruksia ei siis kohdissa
-Piilota suojatut käyttöjärjestelmätiedostot(suositus)
-Piilota tunnettujen tiedostotyyppien tunnisteet
Jos otat ruksin pois niin tulee seuraava kuva...vastaa siihen Kyllä.
http://koti.mbnet.fi/pattaya1/kuvat/piilo1.jpg
Ruksi on kohdassa
-Näytä piilotetut tiedostot ja kansiot
.
.Ad-Aware kirjoitti:
Varmista,että sulla on piilotiedostojen asetukset kuvan mukaiset ja yritä etsiä sitten.
http://koti.mbnet.fi/pattaya1/kuvat/piilo.jpg
Ruksia ei siis kohdissa
-Piilota suojatut käyttöjärjestelmätiedostot(suositus)
-Piilota tunnettujen tiedostotyyppien tunnisteet
Jos otat ruksin pois niin tulee seuraava kuva...vastaa siihen Kyllä.
http://koti.mbnet.fi/pattaya1/kuvat/piilo1.jpg
Ruksi on kohdassa
-Näytä piilotetut tiedostot ja kansiot
.
.Niin ja vielä..älä etsi niitä millään haulla..seuraat vaan noita polkuja ja etsit ne "käsin"
.
.- ... melkein kädestä pitäen
Ad-Aware kirjoitti:
Niin ja vielä..älä etsi niitä millään haulla..seuraat vaan noita polkuja ja etsit ne "käsin"
.
.Mutta joo, löysin nuo tiedostot ja poistin ne. Screenshoteista oli apua, en ollut ottanut kaikkia rukseja pois... -_-
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu? ... melkein kädestä pitäen kirjoitti:
Mutta joo, löysin nuo tiedostot ja poistin ne. Screenshoteista oli apua, en ollut ottanut kaikkia rukseja pois... -_-
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu?>>>>>
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu?- selvän teki
Ad-Aware kirjoitti:
>>>>>
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu?onko nyt kaikki ok, kun on järjestelmän palautuksien käytöstä poistamisien kanssa venkslattu ja kun tuo virusohjelma löytää vain tämän tiedoston enää(ilmeisesti ei mikään virustiedosto)?
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Vai onko vielä jotain mitä pitäisi tehdä? selvän teki kirjoitti:
onko nyt kaikki ok, kun on järjestelmän palautuksien käytöstä poistamisien kanssa venkslattu ja kun tuo virusohjelma löytää vain tämän tiedoston enää(ilmeisesti ei mikään virustiedosto)?
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Vai onko vielä jotain mitä pitäisi tehdä?Kaikki on nyt OK.
.
.- loistavaa
Ad-Aware kirjoitti:
Kaikki on nyt OK.
.
.Kiitos erittäin paljon avusta
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
- 703139
- 622495
Hei........
Pelkkä sun näkeminen saa mut hymyilemään pitkin iltaa. Oot niin 🤩😘 Edellinen poistettiin.562136Mitä sanoa pituudeksi näillä mittaustuloksilla?
Jos jossain tarttee ilmoittaa pituus sentin tarkkuudella? Mitattu neljästi virallisesti ja mittaustulokset on olleet 1942045- 551952
- 421584
- 401560
Mä en jaksa suojella sua enää
Oot osa mun tarinaa ja ensirakkaus 🩷🌈 Olisiko niin kauheata, jos muutkin ystävämme tietäisivät? Se on jo niin vanha ”t141253EU:n uusin idea - jatkossa joudut tunnistautumaan kun katsot PORNOA!
"Pornon katsominen muuttuu täysin Euroopan komissio on kehittänyt sovelluksen, jolla internetin käyttäjä voi todistaa p1391168- 61083