Onko mitään outoa?
Logfile of HijackThis v1.99.1
Scan saved at 7:12:45, on 21.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\FSGK32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fssm32.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMB32.EXE
C:\WINDOWS\System32\Tablet.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FCH32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsav32.exe
C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe
C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe
C:\Ohjelmatiedostot\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\fsguiexe.exe
C:\Ohjelmatiedostot\ToniArts\EasyCleaner\EasyClea.exe
C:\Ohjelmatiedostot\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fi.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fi.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Ohjelmatiedostot\Sonera Tietoturva\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Ohjelmatiedostot\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [hostserv] wiz98.exe
O4 - HKLM\..\Run: [Calc Microsoft Windows] wincalc.exe
O4 - HKLM\..\RunServices: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\RunServices: [hostserv] wiz98.exe
O4 - HKLM\..\RunServices: [Calc Microsoft Windows] wincalc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110899496625
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Unknown owner - C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
hijack logi
11
728
Vastaukset
Moi
Pistä piilotiedostot näkyviin..ohje tuossa
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339
Tee sitten uusi scannaus HijackThissillä ja poista seuraavat rivit jos vielä löytyy. Sulje selain ja muut ikkunat ennen FIXausta.
O4 - HKLM\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\Run: [hostserv] wiz98.exe
O4 - HKLM\..\Run: [Calc Microsoft Windows] wincalc.exe
O4 - HKLM\..\RunServices: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\RunServices: [hostserv] wiz98.exe
O4 - HKLM\..\RunServices: [Calc Microsoft Windows] wincalc.exe
O4 - HKCU\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
Sitten etsi nämä jos vielä löytyy
cdaccess6.exe
wiz98.exe
wincalc.exe
löytynee kansiosta
C:\WINDOWS\System32\ tai
C:\WINDOWS\
ja scannaa ne tuolla
http://virusscan.jotti.org/ sekä tuolla
http://www.virustotal.com/xhtml/virustotal_en.html
Ne ovat botteja ja troijalaisia..mutta koska osalla antivirusvalmistajilla ei varmaankaan ole niistä näytteitä niin tuolla tavalla saadaan ne näytteet niille.
Käynnistä kone sen jälkeen VIKASIETOTILAAN ja poista kyseiset tiedostot
cdaccess6.exe
wiz98.exe
wincalc.exe
Paluu normaalitilaan. Koska ne olivat siis botteja / troijalaisia niin ne ovat todennäköisesti tuoneet mukana lisää "ystäviä" joita ei tuossa logissa näy.
Scannaa koneesi varmuuuden vuoksi tällä.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
Muista lukea ohjeet ja päivitä se ennen scannausta.
Pistä löydetyt "örkkitulokset" tänne jos jotain löytyy
Pistä myös uusi HijackThis logi.
.
.- örkkejä löytyi
arf.. aika paljon löysi ohjelma näitä "örkkejä"
File C:\WINDOWS\system32\WIZ98.0XE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\TFTP5060.0 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\lssas6.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\algs.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\CDACCESS6.0XE infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\Isass.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Documents and Settings\seif\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-1bd4b7c1-602102f2.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000238.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000239.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000240.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000241.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000242.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000243.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
Hijack logi:
Logfile of HijackThis v1.99.1
Scan saved at 12:26:08, on 21.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\FSGK32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fssm32.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMB32.EXE
C:\WINDOWS\System32\Tablet.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FCH32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsav32.exe
C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
C:\Ohjelmatiedostot\Logitech\MouseWare\system\em_exec.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe
C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
C:\Kaspersky\mwavscan.com
C:\Kaspersky\kavss.exe
C:\Ohjelmatiedostot\Windows NT\Accessories\wordpad.exe
C:\Ohjelmatiedostot\Mozilla Firefox\firefox.exe
C:\Ohjelmatiedostot\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fi.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fi.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Ohjelmatiedostot\Sonera Tietoturva\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Ohjelmatiedostot\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110899496625
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Unknown owner - C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa? örkkejä löytyi kirjoitti:
arf.. aika paljon löysi ohjelma näitä "örkkejä"
File C:\WINDOWS\system32\WIZ98.0XE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\TFTP5060.0 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\lssas6.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\algs.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\CDACCESS6.0XE infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\Isass.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Documents and Settings\seif\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-1bd4b7c1-602102f2.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000238.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000239.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000240.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000241.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000242.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000243.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
Hijack logi:
Logfile of HijackThis v1.99.1
Scan saved at 12:26:08, on 21.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\FSGK32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fssm32.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMB32.EXE
C:\WINDOWS\System32\Tablet.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FCH32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsav32.exe
C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
C:\Ohjelmatiedostot\Logitech\MouseWare\system\em_exec.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe
C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
C:\Kaspersky\mwavscan.com
C:\Kaspersky\kavss.exe
C:\Ohjelmatiedostot\Windows NT\Accessories\wordpad.exe
C:\Ohjelmatiedostot\Mozilla Firefox\firefox.exe
C:\Ohjelmatiedostot\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fi.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fi.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Ohjelmatiedostot\Sonera Tietoturva\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Ohjelmatiedostot\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110899496625
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Unknown owner - C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa?HijackThis logi on OK.
>>>>>
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa?- kiitti
Ad-Aware kirjoitti:
HijackThis logi on OK.
>>>>>
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa?Kaikki muut onnistuin löytämään ja poistamaan, paitsi näitä kahta, jotka olivat mystisesti kadonneet:
C:\WINDOWS\system32\WIZ98.0XE
C:\WINDOWS\system32\CDACCESS6.0XE
Oliskohan nimi muuttunut niin paljon, ettei mikään haku ei niitä enää tunnista. Kai ne vaarattomia ovat kun virusskannauskaan, jonka tein puhdistettuani java-välimuistin, ei enää niihin reagoinut. kiitti kirjoitti:
Kaikki muut onnistuin löytämään ja poistamaan, paitsi näitä kahta, jotka olivat mystisesti kadonneet:
C:\WINDOWS\system32\WIZ98.0XE
C:\WINDOWS\system32\CDACCESS6.0XE
Oliskohan nimi muuttunut niin paljon, ettei mikään haku ei niitä enää tunnista. Kai ne vaarattomia ovat kun virusskannauskaan, jonka tein puhdistettuani java-välimuistin, ei enää niihin reagoinut.Varmista,että sulla on piilotiedostojen asetukset kuvan mukaiset ja yritä etsiä sitten.
http://koti.mbnet.fi/pattaya1/kuvat/piilo.jpg
Ruksia ei siis kohdissa
-Piilota suojatut käyttöjärjestelmätiedostot(suositus)
-Piilota tunnettujen tiedostotyyppien tunnisteet
Jos otat ruksin pois niin tulee seuraava kuva...vastaa siihen Kyllä.
http://koti.mbnet.fi/pattaya1/kuvat/piilo1.jpg
Ruksi on kohdassa
-Näytä piilotetut tiedostot ja kansiot
.
.Ad-Aware kirjoitti:
Varmista,että sulla on piilotiedostojen asetukset kuvan mukaiset ja yritä etsiä sitten.
http://koti.mbnet.fi/pattaya1/kuvat/piilo.jpg
Ruksia ei siis kohdissa
-Piilota suojatut käyttöjärjestelmätiedostot(suositus)
-Piilota tunnettujen tiedostotyyppien tunnisteet
Jos otat ruksin pois niin tulee seuraava kuva...vastaa siihen Kyllä.
http://koti.mbnet.fi/pattaya1/kuvat/piilo1.jpg
Ruksi on kohdassa
-Näytä piilotetut tiedostot ja kansiot
.
.Niin ja vielä..älä etsi niitä millään haulla..seuraat vaan noita polkuja ja etsit ne "käsin"
.
.- ... melkein kädestä pitäen
Ad-Aware kirjoitti:
Niin ja vielä..älä etsi niitä millään haulla..seuraat vaan noita polkuja ja etsit ne "käsin"
.
.Mutta joo, löysin nuo tiedostot ja poistin ne. Screenshoteista oli apua, en ollut ottanut kaikkia rukseja pois... -_-
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu? ... melkein kädestä pitäen kirjoitti:
Mutta joo, löysin nuo tiedostot ja poistin ne. Screenshoteista oli apua, en ollut ottanut kaikkia rukseja pois... -_-
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu?>>>>>
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu?- selvän teki
Ad-Aware kirjoitti:
>>>>>
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu?onko nyt kaikki ok, kun on järjestelmän palautuksien käytöstä poistamisien kanssa venkslattu ja kun tuo virusohjelma löytää vain tämän tiedoston enää(ilmeisesti ei mikään virustiedosto)?
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Vai onko vielä jotain mitä pitäisi tehdä? selvän teki kirjoitti:
onko nyt kaikki ok, kun on järjestelmän palautuksien käytöstä poistamisien kanssa venkslattu ja kun tuo virusohjelma löytää vain tämän tiedoston enää(ilmeisesti ei mikään virustiedosto)?
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Vai onko vielä jotain mitä pitäisi tehdä?Kaikki on nyt OK.
.
.- loistavaa
Ad-Aware kirjoitti:
Kaikki on nyt OK.
.
.Kiitos erittäin paljon avusta
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Mitä aiot tehdä uudenvuoden aattona
Mitä olet suunnitellut tekeväsi uudenvuoden aattona ja aiotko ensi vuonna tehdä jotain muutoksia tai uudenvuoden lupauks2074506Marin sitä, Marin tätä, yhyy yhyy, persut jaksaa vollottaa
On nuo persut kyllä surkeaa porukkaa. Edelleen itkevät jonkun Marinin perään, vaikka itse ovat tuhonneet Suomen kansan t963259Väestönsiirtoa itään?
Ano "the Russo" Turtiainen sai poliittisen turvapaikan Venäjältä. Pian lähtee varmaan Nazima Nuzima ja Kiljusen väki per881777Ikävä sinua..
Kauan on aikaa kulunut ja asioita tapahtunut. Mutta sinä M-ies olet edelleen vain mielessäni. En tiedä loinko sinusta va131377Muistattekos kuinka persujen Salainen Akentti kävi Putinin leirillä
Hakemassa jamesbondimaista vakoiluoppia paikan päällä Venäjällä? Siitä ei edes Suomea suojeleva viranomainen saanut puhu181336Vuoden luetuimmat: Mikä on Pelle Miljoonan taiteilijaeläkkeen suuruus?
Pelle Miljoonan eläkkeen suuruus kiinnosti lukijoita tänä vuonna. Artikkeli on Suomi24 Viihteen luetuimpia juttuja v. 20241203- 521138
Lindtmanin pääministeriys lähenee päivä päivältä
Suomen kansan kissanpäivät alkavat siitä hetkestä, kun presidentti Stubb on tehnyt nimityksen. Ainoastaan ylin tulodesi101131Riikka Purra sanoo, että sietokykyni vittumaisiin ihmisiin alkaa olla lopussa.
https://www.iltalehti.fi/politiikka/a/be8f784d-fa24-44d6-b59a-b9b83b629b28 Riikka Purra sanoo medialle suorat sanat vitt2481129- 511046