Onko mitään outoa?
Logfile of HijackThis v1.99.1
Scan saved at 7:12:45, on 21.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\FSGK32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fssm32.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMB32.EXE
C:\WINDOWS\System32\Tablet.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FCH32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsav32.exe
C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe
C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe
C:\Ohjelmatiedostot\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\fsguiexe.exe
C:\Ohjelmatiedostot\ToniArts\EasyCleaner\EasyClea.exe
C:\Ohjelmatiedostot\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fi.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fi.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Ohjelmatiedostot\Sonera Tietoturva\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Ohjelmatiedostot\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [hostserv] wiz98.exe
O4 - HKLM\..\Run: [Calc Microsoft Windows] wincalc.exe
O4 - HKLM\..\RunServices: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\RunServices: [hostserv] wiz98.exe
O4 - HKLM\..\RunServices: [Calc Microsoft Windows] wincalc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110899496625
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Unknown owner - C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
hijack logi
11
723
Vastaukset
Moi
Pistä piilotiedostot näkyviin..ohje tuossa
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339
Tee sitten uusi scannaus HijackThissillä ja poista seuraavat rivit jos vielä löytyy. Sulje selain ja muut ikkunat ennen FIXausta.
O4 - HKLM\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\Run: [hostserv] wiz98.exe
O4 - HKLM\..\Run: [Calc Microsoft Windows] wincalc.exe
O4 - HKLM\..\RunServices: [Auto CD-ROM6 Startup] cdaccess6.exe
O4 - HKLM\..\RunServices: [hostserv] wiz98.exe
O4 - HKLM\..\RunServices: [Calc Microsoft Windows] wincalc.exe
O4 - HKCU\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
Sitten etsi nämä jos vielä löytyy
cdaccess6.exe
wiz98.exe
wincalc.exe
löytynee kansiosta
C:\WINDOWS\System32\ tai
C:\WINDOWS\
ja scannaa ne tuolla
http://virusscan.jotti.org/ sekä tuolla
http://www.virustotal.com/xhtml/virustotal_en.html
Ne ovat botteja ja troijalaisia..mutta koska osalla antivirusvalmistajilla ei varmaankaan ole niistä näytteitä niin tuolla tavalla saadaan ne näytteet niille.
Käynnistä kone sen jälkeen VIKASIETOTILAAN ja poista kyseiset tiedostot
cdaccess6.exe
wiz98.exe
wincalc.exe
Paluu normaalitilaan. Koska ne olivat siis botteja / troijalaisia niin ne ovat todennäköisesti tuoneet mukana lisää "ystäviä" joita ei tuossa logissa näy.
Scannaa koneesi varmuuuden vuoksi tällä.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
Muista lukea ohjeet ja päivitä se ennen scannausta.
Pistä löydetyt "örkkitulokset" tänne jos jotain löytyy
Pistä myös uusi HijackThis logi.
.
.- örkkejä löytyi
arf.. aika paljon löysi ohjelma näitä "örkkejä"
File C:\WINDOWS\system32\WIZ98.0XE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\TFTP5060.0 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\lssas6.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\algs.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\CDACCESS6.0XE infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\Isass.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Documents and Settings\seif\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-1bd4b7c1-602102f2.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000238.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000239.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000240.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000241.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000242.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000243.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
Hijack logi:
Logfile of HijackThis v1.99.1
Scan saved at 12:26:08, on 21.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\FSGK32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fssm32.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMB32.EXE
C:\WINDOWS\System32\Tablet.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FCH32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsav32.exe
C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
C:\Ohjelmatiedostot\Logitech\MouseWare\system\em_exec.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe
C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
C:\Kaspersky\mwavscan.com
C:\Kaspersky\kavss.exe
C:\Ohjelmatiedostot\Windows NT\Accessories\wordpad.exe
C:\Ohjelmatiedostot\Mozilla Firefox\firefox.exe
C:\Ohjelmatiedostot\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fi.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fi.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Ohjelmatiedostot\Sonera Tietoturva\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Ohjelmatiedostot\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110899496625
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Unknown owner - C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa? örkkejä löytyi kirjoitti:
arf.. aika paljon löysi ohjelma näitä "örkkejä"
File C:\WINDOWS\system32\WIZ98.0XE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\TFTP5060.0 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\lssas6.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\algs.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\CDACCESS6.0XE infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\Isass.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Documents and Settings\seif\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-1bd4b7c1-602102f2.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000238.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000239.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000240.0xe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000241.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000242.0xe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{89E3E273-DB8C-41C9-B1E5-93E171C42882}\RP6\A0000243.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
Hijack logi:
Logfile of HijackThis v1.99.1
Scan saved at 12:26:08, on 21.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\FSGK32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fssm32.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMB32.EXE
C:\WINDOWS\System32\Tablet.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FCH32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsav32.exe
C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
C:\Ohjelmatiedostot\Logitech\MouseWare\system\em_exec.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe
C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe
C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
C:\Kaspersky\mwavscan.com
C:\Kaspersky\kavss.exe
C:\Ohjelmatiedostot\Windows NT\Accessories\wordpad.exe
C:\Ohjelmatiedostot\Mozilla Firefox\firefox.exe
C:\Ohjelmatiedostot\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fi.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fi.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Ohjelmatiedostot\TeleWell TW-IA300C ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Ohjelmatiedostot\Sonera Tietoturva\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Ohjelmatiedostot\Sonera Tietoturva\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Ohjelmatiedostot\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Ohjelmatiedostot\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110899496625
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Unknown owner - C:\OHJELM~1\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Ohjelmatiedostot\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Ohjelmatiedostot\Sonera Tietoturva\Common\FSMA32.EXE
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa?HijackThis logi on OK.
>>>>>
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa?- kiitti
Ad-Aware kirjoitti:
HijackThis logi on OK.
>>>>>
Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa?Kaikki muut onnistuin löytämään ja poistamaan, paitsi näitä kahta, jotka olivat mystisesti kadonneet:
C:\WINDOWS\system32\WIZ98.0XE
C:\WINDOWS\system32\CDACCESS6.0XE
Oliskohan nimi muuttunut niin paljon, ettei mikään haku ei niitä enää tunnista. Kai ne vaarattomia ovat kun virusskannauskaan, jonka tein puhdistettuani java-välimuistin, ei enää niihin reagoinut. kiitti kirjoitti:
Kaikki muut onnistuin löytämään ja poistamaan, paitsi näitä kahta, jotka olivat mystisesti kadonneet:
C:\WINDOWS\system32\WIZ98.0XE
C:\WINDOWS\system32\CDACCESS6.0XE
Oliskohan nimi muuttunut niin paljon, ettei mikään haku ei niitä enää tunnista. Kai ne vaarattomia ovat kun virusskannauskaan, jonka tein puhdistettuani java-välimuistin, ei enää niihin reagoinut.Varmista,että sulla on piilotiedostojen asetukset kuvan mukaiset ja yritä etsiä sitten.
http://koti.mbnet.fi/pattaya1/kuvat/piilo.jpg
Ruksia ei siis kohdissa
-Piilota suojatut käyttöjärjestelmätiedostot(suositus)
-Piilota tunnettujen tiedostotyyppien tunnisteet
Jos otat ruksin pois niin tulee seuraava kuva...vastaa siihen Kyllä.
http://koti.mbnet.fi/pattaya1/kuvat/piilo1.jpg
Ruksi on kohdassa
-Näytä piilotetut tiedostot ja kansiot
.
.Ad-Aware kirjoitti:
Varmista,että sulla on piilotiedostojen asetukset kuvan mukaiset ja yritä etsiä sitten.
http://koti.mbnet.fi/pattaya1/kuvat/piilo.jpg
Ruksia ei siis kohdissa
-Piilota suojatut käyttöjärjestelmätiedostot(suositus)
-Piilota tunnettujen tiedostotyyppien tunnisteet
Jos otat ruksin pois niin tulee seuraava kuva...vastaa siihen Kyllä.
http://koti.mbnet.fi/pattaya1/kuvat/piilo1.jpg
Ruksi on kohdassa
-Näytä piilotetut tiedostot ja kansiot
.
.Niin ja vielä..älä etsi niitä millään haulla..seuraat vaan noita polkuja ja etsit ne "käsin"
.
.- ... melkein kädestä pitäen
Ad-Aware kirjoitti:
Niin ja vielä..älä etsi niitä millään haulla..seuraat vaan noita polkuja ja etsit ne "käsin"
.
.Mutta joo, löysin nuo tiedostot ja poistin ne. Screenshoteista oli apua, en ollut ottanut kaikkia rukseja pois... -_-
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu? ... melkein kädestä pitäen kirjoitti:
Mutta joo, löysin nuo tiedostot ja poistin ne. Screenshoteista oli apua, en ollut ottanut kaikkia rukseja pois... -_-
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu?>>>>>
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu?- selvän teki
Ad-Aware kirjoitti:
>>>>>
Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu?onko nyt kaikki ok, kun on järjestelmän palautuksien käytöstä poistamisien kanssa venkslattu ja kun tuo virusohjelma löytää vain tämän tiedoston enää(ilmeisesti ei mikään virustiedosto)?
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Vai onko vielä jotain mitä pitäisi tehdä? selvän teki kirjoitti:
onko nyt kaikki ok, kun on järjestelmän palautuksien käytöstä poistamisien kanssa venkslattu ja kun tuo virusohjelma löytää vain tämän tiedoston enää(ilmeisesti ei mikään virustiedosto)?
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Vai onko vielä jotain mitä pitäisi tehdä?Kaikki on nyt OK.
.
.- loistavaa
Ad-Aware kirjoitti:
Kaikki on nyt OK.
.
.Kiitos erittäin paljon avusta
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
IL - PerSut tykittää - Vaaralliset tappajat vankilaan jopa loppuelämäksi!!
Entistä rajumpi elinkautinen tulee – Vaaralliset tappajat vankilaan jopa loppuelämäksi Henkirikosten uusijat voidaan ja18222389Some kuhisee Sanna Marinista: "Wau"
Sanna Marinia hehkutetaan. Muun muassa Jodelissa kommentoidaan The Sunday Timesin julkaisemaa kuvaa Marinista. Hän ant789599Sannalla tänään vuorossa The Daily Show
Eli nyt mennään jo satiirin puolelle. Tuohan on vähän kuten Lindströmin ohjelma Suomessa.427591Äärioikeistopurran nukke Petteri Lapanen paniikissa
Kun Suomen historian paras pääministeri antoi vankan lausunnon, kuinka "keskustelu politiikassa on käpertynyt lähinnä va846385SIELTÄ SE TULI: Kepu-Kurvinen: "Emme enää lähde punavihreään hallitukseen"
Nyt muuten nauretaan loppuviikko, että tähänkö kaatui Lindtmanin pääministerihaaveet. "Antti Kurvisen mukaan puolue ei1886086Täysi ryöpytys Sanna Marinille ulkomailla.
https://www.iltalehti.fi/ulkomaat/a/f699d84f-fa53-4dba-8718-2c395017fc55 Sanna Marinin kirja saa todella tylyn vastaanot485082HS - Sanna Marinin kirja on priimaluokan vedätys!
Kirja-arvio|Toivo on tekoja tulisi ensisijaisesti nähdä maineen rahallisen hyödyntämisen voimaannuttavana merkkipaaluna.1154740Minja Koskelan "istumista" kertovassa uutisessa ei sanottu persuista mitään
eli jälleen kerran äärivasemmistolainen valehtelee, hän kun väittää että juuri persut ovat lähetelleet Koskelalle vähemm1054466Pekka Visuri: "Suomen on aika irrottautua Ukrainan sodasta"
Slava Ukraina-mölinät eivät enää auta. Ukraina on sotansa hävinnyt. Nyt tarvitaan poliittista selvänäköisyyttä, reaalipo942185Marin vetäs lopullisesti maton alta hallitusyhteistyöltä Kepun kanssa
Kurvinen on jo ennättänyt kommentoimaan, ettei Kepu ole koskaan enää kiinnostunut vasemmiston kanssa hallituspaikasta, k821469