Troijalaisen poistaminen

Melko avuton

Eli itse käytän Avira AntiVir ohjelmaa. Eilen ja tänään Avira on ruvennut ilmoittamaan TR/Patched.Gen2 Trojanista kun valitsen Move to quarantine tai delete kohdan Avita ilmoittaa asiasta uudestaan ja uudestaa.
Tässä koko ilmoitus.

C:\WINDOWS\system32\user32.DLL
Is the TR/Patched.Gen2 Trojan


Niin millä keinoilla tuon troijalaisen nyt saisi poistettua.
Ohjeet haluaisin melko helposti selitettyinä, kiitos.

20

2885

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • yrittänyt poistaa vikasietotilassa manuaalisti?

      • Melko avuton

        Pitääpä kokeilla. Ajattelin vain että jos siihen olisi ollut jotain kätevää ohjelmaa.
        Täytyy kokeilla huomenna kun aikaa on. Laitan viestiä onnistuuko miten.


    • 12

      Jos ei ole väärä positiivinen, eli lailliseen user32.dll-tiedostoon on päässyt haitta liittymään, ilmeisesti Avira ei osaa sitä puhdistaa, eikä poista sitä.
      Tässä laillisen user32.dll:n tiivisteet xp:ssä
      CRC32: F7C72264
      MD5: B26B135FF1B9F60C9388B4A7D16F600B
      SHA-1: 08FE9FF1FE9B8FD237ADEDB10D65FB0447B91FE5
      koko on 565 Kt.
      ja 7:ssa
      CRC32: 07F784E0
      MD5: 7BD7F45FF37FA0669CD32CA0EF46E22C
      SHA-1: 03C47973F52800A6AE21F1A5992E331B4A9B2837
      koko on 793 Kt.
      Xp:ssä tiedoston alkuperäinen kopio pitäisi löytyä polusta
      C:\WINDOWS\system32\dllcache
      Jos on väärä polussa
      C:\WINDOWS\system32\user32.DLL
      heitä pois ja kopioi oikea tuonne.
      Voit myös lähettää tiedoston tutkittavaksi esim. VirusTotal-sivustolle.
      Tiivisteiden tutkimiseen HashTab
      http://beeblebrox.org/

      • Aiheen aloittaja

        Itse laitoin Virustorjunta.net:ttiin viestiä ja odottelen nyt vähän aikaa tuota vastausta.
        Latasin tuon HiJackThis ohjelman, mutta no... en älyä siitä pätkääkään ja itse ohjelma on uusi minulle.
        Niin toisaalta on itellä jäänyt vanhentunut Norman Security Suite ohjelma ja se on pari kertaa (vanhentuneenakin) ilmoitellut haitallisista ohjelmista. Mutta itsestäni tuntuu että konekkin olisi hidastunut ja eihän tuo aivan normaalia Aviran toimintaakaan ole.
        Pitää katsoa mitä ne tuolla virustorjunta.netissä neuvovat tai sitten kutsua itseäni taitavempi paikalle.


      • 12
        Aiheen aloittaja kirjoitti:

        Itse laitoin Virustorjunta.net:ttiin viestiä ja odottelen nyt vähän aikaa tuota vastausta.
        Latasin tuon HiJackThis ohjelman, mutta no... en älyä siitä pätkääkään ja itse ohjelma on uusi minulle.
        Niin toisaalta on itellä jäänyt vanhentunut Norman Security Suite ohjelma ja se on pari kertaa (vanhentuneenakin) ilmoitellut haitallisista ohjelmista. Mutta itsestäni tuntuu että konekkin olisi hidastunut ja eihän tuo aivan normaalia Aviran toimintaakaan ole.
        Pitää katsoa mitä ne tuolla virustorjunta.netissä neuvovat tai sitten kutsua itseäni taitavempi paikalle.

        Ei ihme, että hidastuu ja sekoilee, jos tosiaan on 2 virustorjuntaa aktiivina. Hae Normanin sivuilta poisto-ohjelma tuolle vanhentuneelle tutkalle.
        Aviran toiminta on aivan normaalia, jos tiedostossa on haitta. Avira myös helposti liputtaa vääriä positiivisia, jos heuristiikka on pantu tiukalle.
        Se, että ei osaa puhdistaa on yleistä tällaisessa tapauksessa, koska kyseessä on tärkeä Windows-tiedosto ja se ei voi sen takia sitä vain poistaa. Eikä pysty sitä puhdistamaan ja palauttamaan alkuperäiseen muotoonsa. Tiedoston koosta voit jo päätellä paljon.


      • Melko avuton
        12 kirjoitti:

        Ei ihme, että hidastuu ja sekoilee, jos tosiaan on 2 virustorjuntaa aktiivina. Hae Normanin sivuilta poisto-ohjelma tuolle vanhentuneelle tutkalle.
        Aviran toiminta on aivan normaalia, jos tiedostossa on haitta. Avira myös helposti liputtaa vääriä positiivisia, jos heuristiikka on pantu tiukalle.
        Se, että ei osaa puhdistaa on yleistä tällaisessa tapauksessa, koska kyseessä on tärkeä Windows-tiedosto ja se ei voi sen takia sitä vain poistaa. Eikä pysty sitä puhdistamaan ja palauttamaan alkuperäiseen muotoonsa. Tiedoston koosta voit jo päätellä paljon.

        Joo oon meinannutkin nyt poistaa tuon normanin, mutta mikäs selittäisi tietokoneen hidastumisen yht´äkkiä ???
        Kun ei ole ennen yhtä hidas ollut kone ja varsinkin netissä käyminen tuntuu olevan yhtä helvettiä.
        Mutta onko tuo nyt oikea troijalainen ja miten Avira nyt vasta hälyttää siitä???
        Ja siis pitäisikö minun nyt laittaa ignore ja jos ei se auta niin uudestaan asentaa avira tai vaihtaa viruksentorjuntaohjelmaa ???

        (Kiitos jo edellisestä viestistä)


      • 12
        Melko avuton kirjoitti:

        Joo oon meinannutkin nyt poistaa tuon normanin, mutta mikäs selittäisi tietokoneen hidastumisen yht´äkkiä ???
        Kun ei ole ennen yhtä hidas ollut kone ja varsinkin netissä käyminen tuntuu olevan yhtä helvettiä.
        Mutta onko tuo nyt oikea troijalainen ja miten Avira nyt vasta hälyttää siitä???
        Ja siis pitäisikö minun nyt laittaa ignore ja jos ei se auta niin uudestaan asentaa avira tai vaihtaa viruksentorjuntaohjelmaa ???

        (Kiitos jo edellisestä viestistä)

        Aloita poistamalla Norman. Avira on huippupäästä. Tietoturvayhtiöt päivittävät koko ajan tunnisteitaan.
        Tuossa ylempänä oli jo neuvot selvittää tiedoston alkuperäisyys.
        Kahden tutkan käyttö on voinut sekoittaa molemmat ja päästää haittaohjelman koneelle. Tai joku uusi tunnistamaton haitta päässyt muuten läpi. Ei missään tapauksessa ignorea ennen tiedoston selvittämistä.
        Kopioi tiedosto ja lähetä se tänne
        http://www.virustotal.com/fi/
        Saat jonkunlaisen kuvan usean tutkan ristiinajossa.


      • .....
        12 kirjoitti:

        Aloita poistamalla Norman. Avira on huippupäästä. Tietoturvayhtiöt päivittävät koko ajan tunnisteitaan.
        Tuossa ylempänä oli jo neuvot selvittää tiedoston alkuperäisyys.
        Kahden tutkan käyttö on voinut sekoittaa molemmat ja päästää haittaohjelman koneelle. Tai joku uusi tunnistamaton haitta päässyt muuten läpi. Ei missään tapauksessa ignorea ennen tiedoston selvittämistä.
        Kopioi tiedosto ja lähetä se tänne
        http://www.virustotal.com/fi/
        Saat jonkunlaisen kuvan usean tutkan ristiinajossa.

        Lähetin sen tiedoston sinne virustotal.comiin
        Tämmöistä se lähetti takaisin:

        a-squared 4.5.0.50 2010.03.22 Trojan.Win32.Patched!IK
        AhnLab-V3 5.0.0.2 2010.03.22 Win-Trojan/User32Hk
        AntiVir 8.2.1.196 2010.03.22 TR/Patched.Gen2
        Antiy-AVL 2.0.3.7 2010.03.19 -
        Authentium 5.2.0.5 2010.03.22 -
        Avast 4.8.1351.0 2010.03.22 Win32:SysPatch
        Avast5 5.0.332.0 2010.03.22 Win32:SysPatch
        AVG 9.0.0.787 2010.03.22 -
        BitDefender 7.2 2010.03.22 Win32.MarioForever.Patched
        CAT-QuickHeal 10.00 2010.03.22 Trojan.Patched.AP
        ClamAV 0.96.0.0-git 2010.03.22 -
        Comodo 4350 2010.03.22 TrojWare.Win32.Patched.F
        DrWeb 5.0.1.12222 2010.03.22 BackDoor.Zapinit.140
        eSafe 7.0.17.0 2010.03.21 -
        eTrust-Vet 35.2.7381 2010.03.22 Win32/Pruserinf
        F-Prot 4.5.1.85 2010.03.22 -
        F-Secure 9.0.15370.0 2010.03.22 Win32.MarioForever.Patched
        Fortinet 4.0.14.0 2010.03.22 W32/Patched.D!tr
        GData 19 2010.03.22 Win32.MarioForever.Patched
        Ikarus T3.1.1.80.0 2010.03.22 Trojan.Win32.Patched
        Jiangmin 13.0.900 2010.03.22 Win32/PatchFile.bk
        K7AntiVirus 7.10.1002 2010.03.19 -
        Kaspersky 7.0.0.125 2010.03.22 Trojan.Win32.Patched.dr
        McAfee 5927 2010.03.21 potentially unwanted program Patched User32
        McAfee Artemis 5927 2010.03.21 potentially unwanted program Patched User32
        McAfee-GW-Edition 6.8.5 2010.03.22 Trojan.Patched.Gen2
        Microsoft 1.5605 2010.03.22 Virus:Win32/Mariofev.A
        NOD32 4965 2010.03.22 Win32/Pinit
        Norman 6.04.09 2010.03.22 -
        nProtect 2009.1.8.0 2010.03.22 Win32.MarioForever.Patched
        Panda 10.0.2.2 2010.03.22 -
        PCTools 7.0.3.5 2010.03.22 Trojan.Patched.dr.c
        Prevx 3.0 2010.03.22 -
        Rising 22.40.00.04 2010.03.22 Trojan.Win32.Patched.bi
        Sophos 4.51.0 2010.03.22 Troj/User32Hk-A
        Sunbelt 6025 2010.03.22 Worm.Win32.Mariofev.Gen (v)
        Symantec 20091.2.0.41 2010.03.22 Suspicious.Insight
        TheHacker 6.5.2.0.241 2010.03.22 -
        TrendMicro 9.120.0.1004 2010.03.22 Possible_Patch-1
        VBA32 3.12.12.2 2010.03.19 Trojan.Win32.Patched.dr
        ViRobot 2010.3.22.2238 2010.03.22 Win32.Patched.X
        VirusBuster 5.0.27.0 2010.03.22 Trojan.Patched.AP
        Additional information
        File size: 578560 bytes
        MD5...: dbdbc8f4d689213722ea67727b4ce625
        SHA1..: d656b418c4fc125a303cb955495309b934d29038
        SHA256: ed4634d968bab499f0d19262ab045bf54709e1aa843161ace58c88b78 e77fe45
        ssdeep: 6144:QzML7NoIlCGJPY2Z2AlptXbgz0 Q4odCGfTnpbEdd/fudqsa0juc QgBMacC
        GNoEd:HoHEHblpWz0jPLhEfgP6WMDoEJY
        PEiD..: -
        PEInfo: PE Structure information

        ( base data )
        entrypointaddress.: 0xb217
        timedatestamp.....: 0x4802a11b (Mon Apr 14 00:11:07 2008)
        machinetype.......: 0x14c (I386)

        ( 4 sections )
        name viradd virsiz rawdsiz ntrpy md5
        .text 0x1000 0x5f283 0x5f400 6.65 43779a2721666273e21befb63225af72
        .data 0x61000 0x1180 0xc00 2.38 28fc1d764bf4ed37bb349bca5991a1ff
        .rsrc 0x63000 0x2a088 0x2a200 4.97 818c69d1407c2f66058a8171086b2fba
        .reloc 0x8e000 0x2de4 0x2e00 6.77 68ebe5a2d822be0663a3e935b39d0bae

        ( 3 imports )
        > GDI32.dll: GetClipRgn, ExtSelectClipRgn, GetHFONT, GetMapMode, SetGraphicsMode, GetClipBox, CreateRectRgn, CreateRectRgnIndirect, SetLayout, GetBoundsRect, ExcludeClipRect, PlayEnhMetaFile, GdiGetBitmapBitsSize, CreatePen, Ellipse, CreateEllipticRgn, GdiFixUpHandle, GetTextCharacterExtra, SetTextCharacterExtra, GetCurrentObject, GetViewportOrgEx, SetViewportOrgEx, PolyPatBlt, CreateBrushIndirect, SetBoundsRect, CopyEnhMetaFileW, CopyMetaFileW, GetPaletteEntries, CreatePalette, SetPaletteEntries, bInitSystemAndFontsDirectoriesW, bMakePathNameW, cGetTTFFromFOT, GetPixel, ExtTextOutA, GetTextCharsetInfo, QueryFontAssocStatus, GetCharWidthInfo, GetCharWidthA, GetTextFaceW, GetCharABCWidthsA, GetCharABCWidthsW, SetBrushOrgEx, CreateFontIndirectW, EnumFontsW, GetTextFaceAliasW, GetTextMetricsW, GetTextColor, GetBkMode, GetViewportExtEx, GetWindowExtEx, GdiGetCharDimensions, GdiGetCodePage, GetTextCharset, GdiPrinterThunk, GdiAddFontResourceW, TranslateCharsetInfo, SaveDC, OffsetWindowOrgEx, RestoreDC, ExtTextOutW, GetObjectType, GetDIBits, CreateDIBSection, SetStretchBltMode, SelectPalette, RealizePalette, SetDIBits, CreateDCW, CreateDIBitmap, CreateCompatibleBitmap, SetBitmapBits, DeleteDC, GdiValidateHandle, GdiDllInitialize, CreateSolidBrush, GetStockObject, CreateCompatibleDC, GdiConvertBitmapV5, GdiCreateLocalEnhMetaFile, GdiCreateLocalMetaFilePict, GetRgnBox, CombineRgn, OffsetRgn, MirrorRgn, EnableEUDC, GdiConvertToDevmodeW, GetTextExtentPointA, GetTextExtentPointW, CreateBitmap, SetLayoutWidth, PatBlt, TextOutA, TextOutW, BitBlt, GdiConvertAndCheckDC, StretchBlt, SetRectRgn, GdiReleaseDC, GdiConvertEnhMetaFile, GdiConvertMetaFilePict, DeleteEnhMetaFile, DeleteMetaFile, DeleteObject, GetDIBColorTable, GetDeviceCaps, StretchDIBits, GetLayout, SetBkColor, SetTextColor, GetObjectW, GetBkColor, SetBkMode, SelectObject, IntersectClipRect, GetTextAlign, SetTextAlign, GdiProcessSetup
        > KERNEL32.dll: LocalSize, SizeofResource, LoadResource, FindResourceExW, FindResourceExA, GetModuleHandleW, DisableThreadLibraryCalls, GetCurrentThreadId, IsDBCSLeadByteEx,


      • ...
        ..... kirjoitti:

        Lähetin sen tiedoston sinne virustotal.comiin
        Tämmöistä se lähetti takaisin:

        a-squared 4.5.0.50 2010.03.22 Trojan.Win32.Patched!IK
        AhnLab-V3 5.0.0.2 2010.03.22 Win-Trojan/User32Hk
        AntiVir 8.2.1.196 2010.03.22 TR/Patched.Gen2
        Antiy-AVL 2.0.3.7 2010.03.19 -
        Authentium 5.2.0.5 2010.03.22 -
        Avast 4.8.1351.0 2010.03.22 Win32:SysPatch
        Avast5 5.0.332.0 2010.03.22 Win32:SysPatch
        AVG 9.0.0.787 2010.03.22 -
        BitDefender 7.2 2010.03.22 Win32.MarioForever.Patched
        CAT-QuickHeal 10.00 2010.03.22 Trojan.Patched.AP
        ClamAV 0.96.0.0-git 2010.03.22 -
        Comodo 4350 2010.03.22 TrojWare.Win32.Patched.F
        DrWeb 5.0.1.12222 2010.03.22 BackDoor.Zapinit.140
        eSafe 7.0.17.0 2010.03.21 -
        eTrust-Vet 35.2.7381 2010.03.22 Win32/Pruserinf
        F-Prot 4.5.1.85 2010.03.22 -
        F-Secure 9.0.15370.0 2010.03.22 Win32.MarioForever.Patched
        Fortinet 4.0.14.0 2010.03.22 W32/Patched.D!tr
        GData 19 2010.03.22 Win32.MarioForever.Patched
        Ikarus T3.1.1.80.0 2010.03.22 Trojan.Win32.Patched
        Jiangmin 13.0.900 2010.03.22 Win32/PatchFile.bk
        K7AntiVirus 7.10.1002 2010.03.19 -
        Kaspersky 7.0.0.125 2010.03.22 Trojan.Win32.Patched.dr
        McAfee 5927 2010.03.21 potentially unwanted program Patched User32
        McAfee Artemis 5927 2010.03.21 potentially unwanted program Patched User32
        McAfee-GW-Edition 6.8.5 2010.03.22 Trojan.Patched.Gen2
        Microsoft 1.5605 2010.03.22 Virus:Win32/Mariofev.A
        NOD32 4965 2010.03.22 Win32/Pinit
        Norman 6.04.09 2010.03.22 -
        nProtect 2009.1.8.0 2010.03.22 Win32.MarioForever.Patched
        Panda 10.0.2.2 2010.03.22 -
        PCTools 7.0.3.5 2010.03.22 Trojan.Patched.dr.c
        Prevx 3.0 2010.03.22 -
        Rising 22.40.00.04 2010.03.22 Trojan.Win32.Patched.bi
        Sophos 4.51.0 2010.03.22 Troj/User32Hk-A
        Sunbelt 6025 2010.03.22 Worm.Win32.Mariofev.Gen (v)
        Symantec 20091.2.0.41 2010.03.22 Suspicious.Insight
        TheHacker 6.5.2.0.241 2010.03.22 -
        TrendMicro 9.120.0.1004 2010.03.22 Possible_Patch-1
        VBA32 3.12.12.2 2010.03.19 Trojan.Win32.Patched.dr
        ViRobot 2010.3.22.2238 2010.03.22 Win32.Patched.X
        VirusBuster 5.0.27.0 2010.03.22 Trojan.Patched.AP
        Additional information
        File size: 578560 bytes
        MD5...: dbdbc8f4d689213722ea67727b4ce625
        SHA1..: d656b418c4fc125a303cb955495309b934d29038
        SHA256: ed4634d968bab499f0d19262ab045bf54709e1aa843161ace58c88b78 e77fe45
        ssdeep: 6144:QzML7NoIlCGJPY2Z2AlptXbgz0 Q4odCGfTnpbEdd/fudqsa0juc QgBMacC
        GNoEd:HoHEHblpWz0jPLhEfgP6WMDoEJY
        PEiD..: -
        PEInfo: PE Structure information

        ( base data )
        entrypointaddress.: 0xb217
        timedatestamp.....: 0x4802a11b (Mon Apr 14 00:11:07 2008)
        machinetype.......: 0x14c (I386)

        ( 4 sections )
        name viradd virsiz rawdsiz ntrpy md5
        .text 0x1000 0x5f283 0x5f400 6.65 43779a2721666273e21befb63225af72
        .data 0x61000 0x1180 0xc00 2.38 28fc1d764bf4ed37bb349bca5991a1ff
        .rsrc 0x63000 0x2a088 0x2a200 4.97 818c69d1407c2f66058a8171086b2fba
        .reloc 0x8e000 0x2de4 0x2e00 6.77 68ebe5a2d822be0663a3e935b39d0bae

        ( 3 imports )
        > GDI32.dll: GetClipRgn, ExtSelectClipRgn, GetHFONT, GetMapMode, SetGraphicsMode, GetClipBox, CreateRectRgn, CreateRectRgnIndirect, SetLayout, GetBoundsRect, ExcludeClipRect, PlayEnhMetaFile, GdiGetBitmapBitsSize, CreatePen, Ellipse, CreateEllipticRgn, GdiFixUpHandle, GetTextCharacterExtra, SetTextCharacterExtra, GetCurrentObject, GetViewportOrgEx, SetViewportOrgEx, PolyPatBlt, CreateBrushIndirect, SetBoundsRect, CopyEnhMetaFileW, CopyMetaFileW, GetPaletteEntries, CreatePalette, SetPaletteEntries, bInitSystemAndFontsDirectoriesW, bMakePathNameW, cGetTTFFromFOT, GetPixel, ExtTextOutA, GetTextCharsetInfo, QueryFontAssocStatus, GetCharWidthInfo, GetCharWidthA, GetTextFaceW, GetCharABCWidthsA, GetCharABCWidthsW, SetBrushOrgEx, CreateFontIndirectW, EnumFontsW, GetTextFaceAliasW, GetTextMetricsW, GetTextColor, GetBkMode, GetViewportExtEx, GetWindowExtEx, GdiGetCharDimensions, GdiGetCodePage, GetTextCharset, GdiPrinterThunk, GdiAddFontResourceW, TranslateCharsetInfo, SaveDC, OffsetWindowOrgEx, RestoreDC, ExtTextOutW, GetObjectType, GetDIBits, CreateDIBSection, SetStretchBltMode, SelectPalette, RealizePalette, SetDIBits, CreateDCW, CreateDIBitmap, CreateCompatibleBitmap, SetBitmapBits, DeleteDC, GdiValidateHandle, GdiDllInitialize, CreateSolidBrush, GetStockObject, CreateCompatibleDC, GdiConvertBitmapV5, GdiCreateLocalEnhMetaFile, GdiCreateLocalMetaFilePict, GetRgnBox, CombineRgn, OffsetRgn, MirrorRgn, EnableEUDC, GdiConvertToDevmodeW, GetTextExtentPointA, GetTextExtentPointW, CreateBitmap, SetLayoutWidth, PatBlt, TextOutA, TextOutW, BitBlt, GdiConvertAndCheckDC, StretchBlt, SetRectRgn, GdiReleaseDC, GdiConvertEnhMetaFile, GdiConvertMetaFilePict, DeleteEnhMetaFile, DeleteMetaFile, DeleteObject, GetDIBColorTable, GetDeviceCaps, StretchDIBits, GetLayout, SetBkColor, SetTextColor, GetObjectW, GetBkColor, SetBkMode, SelectObject, IntersectClipRect, GetTextAlign, SetTextAlign, GdiProcessSetup
        > KERNEL32.dll: LocalSize, SizeofResource, LoadResource, FindResourceExW, FindResourceExA, GetModuleHandleW, DisableThreadLibraryCalls, GetCurrentThreadId, IsDBCSLeadByteEx,

        SearchPathW, ExpandEnvironmentStringsW, LoadLibraryExW, GlobalAddAtomW, GetSystemDirectoryW, GetComputerNameW, GetCurrentProcess, GetCurrentThread, ExitThread, GetExitCodeThread, CreateThread, HeapReAlloc, GlobalHandle, FoldStringW, Sleep, GetStringTypeW, GetStringTypeA, GetCPInfo, HeapSize, CloseHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, GetFileSize, ReadFile, SetFileTime, GetFileTime, GetSystemWindowsDirectoryW, CopyFileW, MoveFileW, DeleteFileW, CreateProcessW, AddAtomA, AddAtomW, GetAtomNameW, GetAtomNameA, IsValidLocale, ConvertDefaultLocale, CompareStringW, GetCurrentDirectoryW, SetCurrentDirectoryW, lstrlenW, GetLogicalDrives, FindClose, FindNextFileW, FindFirstFileW, GetThreadLocale, ProcessIdToSessionId, GetCurrentProcessId, InterlockedCompareExchange, IsDBCSLeadByte, LCMapStringW, QueryPerformanceCounter, QueryPerformanceFrequency, GetTickCount, lstrlenA, GlobalFindAtomA, GetModuleFileNameA, GetModuleHandleA, GlobalAddAtomA, DelayLoadFailureHook, LoadLibraryA, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LocalUnlock, LocalLock, LocalReAlloc, GetACP, GetOEMCP, InterlockedIncrement, InterlockedDecrement, SetLastError, GlobalFindAtomW, GlobalAlloc, MultiByteToWideChar, GlobalReAlloc, GetLastError, GetProcAddress, LoadLibraryW, FreeLibrary, lstrcpynW, CreateFileW, WritePrivateProfileStringW, lstrcmpiW, SetEvent, WaitForMultipleObjectsEx, WideCharToMultiByte, GlobalFlags, GetLocaleInfoW, GlobalFree, GetModuleFileNameW, GlobalGetAtomNameW, GlobalGetAtomNameA, InterlockedExchange, DeleteAtom, LocalAlloc, GlobalDeleteAtom, LocalFree, GlobalSize, GlobalLock, GlobalUnlock, GetUserDefaultLCID, HeapAlloc, HeapFree, lstrcpyW, lstrcatW, GetPrivateProfileStringW, RegisterWaitForInputIdle
        > ntdll.dll: NtQueryVirtualMemory, RtlUnwind, RtlNtStatusToDosError, NlsAnsiCodePage, RtlAllocateHeap, qsort, RtlMultiByteToUnicodeSize, LdrFlushAlternateResourceModules, RtlPcToFileHeader, wcsrchr, NtRaiseHardError, RtlIsNameLegalDOS8Dot3, strrchr, sscanf, NtQueryKey, NtEnumerateValueKey, RtlRunEncodeUnicodeString, RtlRunDecodeUnicodeString, _wcsicmp, CsrAllocateCaptureBuffer, CsrCaptureMessageBuffer, CsrFreeCaptureBuffer, NtOpenThreadToken, NtOpenProcessToken, NtQueryInformationToken, CsrClientCallServer, memmove, NtCallbackReturn, RtlUnicodeToMultiByteSize, RtlActivateActivationContextUnsafeFast, RtlDeactivateActivationContextUnsafeFast, RtlInitializeCriticalSection, NtQuerySystemInformation, swprintf, RtlDeleteCriticalSection, RtlImageNtHeader, CsrClientConnectToServer, NtYieldExecution, NtCreateKey, NtSetValueKey, NtDeleteValueKey, RtlQueryInformationActiveActivationContext, RtlReleaseActivationContext, RtlFreeHeap, wcsncpy, wcscmp, wcstoul, wcscat, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlCreateUnicodeStringFromAsciiz, RtlFreeUnicodeString, NtOpenDirectoryObject, _chkstk, wcscpy, wcsncat, NtSetSecurityObject, NtQuerySecurityObject, NtQueryInformationProcess, wcstol, wcslen, RtlFindActivationContextSectionString, RtlMultiByteToUnicodeN, RtlUnicodeToMultiByteN, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlOpenCurrentUser, NtEnumerateKey, NtOpenKey, NtClose, NtQueryValueKey, RtlInitUnicodeString, RtlUnicodeStringToInteger
        ( 732 exports )
        ActivateKeyboardLayout, AdjustWindowRect, AdjustWindowRectEx, AlignRects, AllowForegroundActivation, AllowSetForegroundWindow, AnimateWindow, AnyPopup, AppendMenuA, AppendMenuW, ArrangeIconicWindows, AttachThreadInput, BeginDeferWindowPos, BeginPaint, BlockInput, BringWindowToTop, BroadcastSystemMessage, BroadcastSystemMessageA, BroadcastSystemMessageExA, BroadcastSystemMessageExW, BroadcastSystemMessageW, BuildReasonArray, CalcMenuBar, CallMsgFilter, CallMsgFilterA, CallMsgFilterW, CallNextHookEx, CallWindowProcA, CallWindowProcW, CascadeChildWindows, CascadeWindows, ChangeClipboardChain, ChangeDisplaySettingsA, ChangeDisplaySettingsExA, ChangeDisplaySettingsExW, ChangeDisplaySettingsW, ChangeMenuA, ChangeMenuW, C


      • ..,.
        ... kirjoitti:

        SearchPathW, ExpandEnvironmentStringsW, LoadLibraryExW, GlobalAddAtomW, GetSystemDirectoryW, GetComputerNameW, GetCurrentProcess, GetCurrentThread, ExitThread, GetExitCodeThread, CreateThread, HeapReAlloc, GlobalHandle, FoldStringW, Sleep, GetStringTypeW, GetStringTypeA, GetCPInfo, HeapSize, CloseHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, GetFileSize, ReadFile, SetFileTime, GetFileTime, GetSystemWindowsDirectoryW, CopyFileW, MoveFileW, DeleteFileW, CreateProcessW, AddAtomA, AddAtomW, GetAtomNameW, GetAtomNameA, IsValidLocale, ConvertDefaultLocale, CompareStringW, GetCurrentDirectoryW, SetCurrentDirectoryW, lstrlenW, GetLogicalDrives, FindClose, FindNextFileW, FindFirstFileW, GetThreadLocale, ProcessIdToSessionId, GetCurrentProcessId, InterlockedCompareExchange, IsDBCSLeadByte, LCMapStringW, QueryPerformanceCounter, QueryPerformanceFrequency, GetTickCount, lstrlenA, GlobalFindAtomA, GetModuleFileNameA, GetModuleHandleA, GlobalAddAtomA, DelayLoadFailureHook, LoadLibraryA, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LocalUnlock, LocalLock, LocalReAlloc, GetACP, GetOEMCP, InterlockedIncrement, InterlockedDecrement, SetLastError, GlobalFindAtomW, GlobalAlloc, MultiByteToWideChar, GlobalReAlloc, GetLastError, GetProcAddress, LoadLibraryW, FreeLibrary, lstrcpynW, CreateFileW, WritePrivateProfileStringW, lstrcmpiW, SetEvent, WaitForMultipleObjectsEx, WideCharToMultiByte, GlobalFlags, GetLocaleInfoW, GlobalFree, GetModuleFileNameW, GlobalGetAtomNameW, GlobalGetAtomNameA, InterlockedExchange, DeleteAtom, LocalAlloc, GlobalDeleteAtom, LocalFree, GlobalSize, GlobalLock, GlobalUnlock, GetUserDefaultLCID, HeapAlloc, HeapFree, lstrcpyW, lstrcatW, GetPrivateProfileStringW, RegisterWaitForInputIdle
        > ntdll.dll: NtQueryVirtualMemory, RtlUnwind, RtlNtStatusToDosError, NlsAnsiCodePage, RtlAllocateHeap, qsort, RtlMultiByteToUnicodeSize, LdrFlushAlternateResourceModules, RtlPcToFileHeader, wcsrchr, NtRaiseHardError, RtlIsNameLegalDOS8Dot3, strrchr, sscanf, NtQueryKey, NtEnumerateValueKey, RtlRunEncodeUnicodeString, RtlRunDecodeUnicodeString, _wcsicmp, CsrAllocateCaptureBuffer, CsrCaptureMessageBuffer, CsrFreeCaptureBuffer, NtOpenThreadToken, NtOpenProcessToken, NtQueryInformationToken, CsrClientCallServer, memmove, NtCallbackReturn, RtlUnicodeToMultiByteSize, RtlActivateActivationContextUnsafeFast, RtlDeactivateActivationContextUnsafeFast, RtlInitializeCriticalSection, NtQuerySystemInformation, swprintf, RtlDeleteCriticalSection, RtlImageNtHeader, CsrClientConnectToServer, NtYieldExecution, NtCreateKey, NtSetValueKey, NtDeleteValueKey, RtlQueryInformationActiveActivationContext, RtlReleaseActivationContext, RtlFreeHeap, wcsncpy, wcscmp, wcstoul, wcscat, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlCreateUnicodeStringFromAsciiz, RtlFreeUnicodeString, NtOpenDirectoryObject, _chkstk, wcscpy, wcsncat, NtSetSecurityObject, NtQuerySecurityObject, NtQueryInformationProcess, wcstol, wcslen, RtlFindActivationContextSectionString, RtlMultiByteToUnicodeN, RtlUnicodeToMultiByteN, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlOpenCurrentUser, NtEnumerateKey, NtOpenKey, NtClose, NtQueryValueKey, RtlInitUnicodeString, RtlUnicodeStringToInteger
        ( 732 exports )
        ActivateKeyboardLayout, AdjustWindowRect, AdjustWindowRectEx, AlignRects, AllowForegroundActivation, AllowSetForegroundWindow, AnimateWindow, AnyPopup, AppendMenuA, AppendMenuW, ArrangeIconicWindows, AttachThreadInput, BeginDeferWindowPos, BeginPaint, BlockInput, BringWindowToTop, BroadcastSystemMessage, BroadcastSystemMessageA, BroadcastSystemMessageExA, BroadcastSystemMessageExW, BroadcastSystemMessageW, BuildReasonArray, CalcMenuBar, CallMsgFilter, CallMsgFilterA, CallMsgFilterW, CallNextHookEx, CallWindowProcA, CallWindowProcW, CascadeChildWindows, CascadeWindows, ChangeClipboardChain, ChangeDisplaySettingsA, ChangeDisplaySettingsExA, ChangeDisplaySettingsExW, ChangeDisplaySettingsW, ChangeMenuA, ChangeMenuW, C

        Enpä taida laittaakkaan koko lokijuttua kun tulisi jumalattoman pitkä viesti :D
        riittääkö tuo ???


      • 15
        12 kirjoitti:

        Aloita poistamalla Norman. Avira on huippupäästä. Tietoturvayhtiöt päivittävät koko ajan tunnisteitaan.
        Tuossa ylempänä oli jo neuvot selvittää tiedoston alkuperäisyys.
        Kahden tutkan käyttö on voinut sekoittaa molemmat ja päästää haittaohjelman koneelle. Tai joku uusi tunnistamaton haitta päässyt muuten läpi. Ei missään tapauksessa ignorea ennen tiedoston selvittämistä.
        Kopioi tiedosto ja lähetä se tänne
        http://www.virustotal.com/fi/
        Saat jonkunlaisen kuvan usean tutkan ristiinajossa.

        Poistankos mie tuon tiedoston manuaalisesti kun näyttää olevan virus ???
        vai ??


      • 12
        15 kirjoitti:

        Poistankos mie tuon tiedoston manuaalisesti kun näyttää olevan virus ???
        vai ??

        Tottakai haittaohjelmat pitää poistaa. Lähes kaikkihan tuon liputtivat. Niinkuin aiemmassa viestissä jo kerroin puhdas versio pitäisi löytyä 'C:\WINDOWS\system32\dllcache'-kansiosta.
        Tarkista nyt sekin ensin. Käyttiksen asennuslevyllä pitäisi joka tapauksessa olla puhdas versio kansiossa i386. Tai lataat tuosta xp:en
        http://shup.com/Shup/300795/user32.dll , jos minuun luotat.
        Sitten ajat täydellisen skannin Aviralla läpi kaikille asemille ja lisäksi vaikka 'Malwarebytes' Anti-Malware'-ohjelman. Perään vielä vaikka CCleanerin rekisterin putsauksen, jos puhdistus käsin tuottaa ongelmia.


      • Tosiaan melko avuton
        12 kirjoitti:

        Tottakai haittaohjelmat pitää poistaa. Lähes kaikkihan tuon liputtivat. Niinkuin aiemmassa viestissä jo kerroin puhdas versio pitäisi löytyä 'C:\WINDOWS\system32\dllcache'-kansiosta.
        Tarkista nyt sekin ensin. Käyttiksen asennuslevyllä pitäisi joka tapauksessa olla puhdas versio kansiossa i386. Tai lataat tuosta xp:en
        http://shup.com/Shup/300795/user32.dll , jos minuun luotat.
        Sitten ajat täydellisen skannin Aviralla läpi kaikille asemille ja lisäksi vaikka 'Malwarebytes' Anti-Malware'-ohjelman. Perään vielä vaikka CCleanerin rekisterin putsauksen, jos puhdistus käsin tuottaa ongelmia.

        Voitko vähän kertoa???
        Laitoin antiviruksen vähäksi aikaa pois päältä skannatakseni tuon user32.dll tiedoston spybotilla ja Malwarebytesillä. Kummatkaan eivät huomanneet mitään haitallista. Sen jälkeen skannasin aviralla sen tiedoston. Avira havaitsi sen haitalliseksi ja pystyin valitsemaan repair all vaihtoehdon.
        Tällöin Avira näköjään korjasi/poisti tiedoston ja kun avaan toisia ohjelmia avira ei hälytä enää mistään. Onko tuo troijalainen nyt tosiaan poistunut vai ``piileskeleekö´´´se vielä koneella ?
        Töytyy vielä skannata aviralla ja malwarella koko kone läpi.

        Suuri kiitos viesteistä


      • ......
        Tosiaan melko avuton kirjoitti:

        Voitko vähän kertoa???
        Laitoin antiviruksen vähäksi aikaa pois päältä skannatakseni tuon user32.dll tiedoston spybotilla ja Malwarebytesillä. Kummatkaan eivät huomanneet mitään haitallista. Sen jälkeen skannasin aviralla sen tiedoston. Avira havaitsi sen haitalliseksi ja pystyin valitsemaan repair all vaihtoehdon.
        Tällöin Avira näköjään korjasi/poisti tiedoston ja kun avaan toisia ohjelmia avira ei hälytä enää mistään. Onko tuo troijalainen nyt tosiaan poistunut vai ``piileskeleekö´´´se vielä koneella ?
        Töytyy vielä skannata aviralla ja malwarella koko kone läpi.

        Suuri kiitos viesteistä

        Sori väärä hälytys ei se avira sitä poistanutkaan :D
        Löysi heti skannauksesta sen viruksen. (iloitsin liian nopeasti)


      • ....
        ...... kirjoitti:

        Sori väärä hälytys ei se avira sitä poistanutkaan :D
        Löysi heti skannauksesta sen viruksen. (iloitsin liian nopeasti)

        Nyt kun Avira ``korjasi´´ tiedoston ja skannasin sillä konetta uudelleen, avira löysikin tämän ihanan TR/Patched.Gen2 :den taas uudestaan mutta eri paikasta.

        C:\Documents and settings\All Users\Application Data\Avira\Antivir Desktop\TEMP\AVSCAN-20100323-190516-80A49367\ARKE.tmp

        Avira antoi taas vaihtoehdon että Repair All, ja valitsin sen. Ajan skannauksen uudelleen ja katson mitä tapahtuu.


      • .......
        12 kirjoitti:

        Tottakai haittaohjelmat pitää poistaa. Lähes kaikkihan tuon liputtivat. Niinkuin aiemmassa viestissä jo kerroin puhdas versio pitäisi löytyä 'C:\WINDOWS\system32\dllcache'-kansiosta.
        Tarkista nyt sekin ensin. Käyttiksen asennuslevyllä pitäisi joka tapauksessa olla puhdas versio kansiossa i386. Tai lataat tuosta xp:en
        http://shup.com/Shup/300795/user32.dll , jos minuun luotat.
        Sitten ajat täydellisen skannin Aviralla läpi kaikille asemille ja lisäksi vaikka 'Malwarebytes' Anti-Malware'-ohjelman. Perään vielä vaikka CCleanerin rekisterin putsauksen, jos puhdistus käsin tuottaa ongelmia.

        Niin siitä Aviran ``korjauksesta´´ nyt lähetin sen user32.dll tiedoston tuonne virustotaliin
        ja ainoastaan 1 virustorjunta 42 sanoi sitä virukseksi. Eikä tällä kertaa kun avasin konetta tullut aviran ilmoituksia. Toisaalta kone sulki windows updaterin ja ilmoitti mm. tämmöistä ohjeissa:


        Understanding Data Execution PreventionData Execution Prevention (DEP) helps prevent damage from viruses and other security threats that attack by running (executing) malicious code from memory locations that only Windows and other programs should use. This type of threat causes damage by taking over one or more memory locations in use by a program. Then it spreads and harms other programs, files, and even your e-mail contacts.

        Unlike a firewall or antivirus program, DEP does not help prevent harmful programs from being installed on your computer. Instead, it monitors your programs to determine if they use system memory safely. To do this, DEP software works alone or with compatible microprocessors to mark some memory locations as "non-executable". If a program tries to run code—malicious or not—from a protected location, DEP closes the program and notifies you.

        Onkos tämä kone nyt puhdas ??? Ainakin nyt skannaan konetta Aviralla ja malwarebytesillä.


      • 12
        ....... kirjoitti:

        Niin siitä Aviran ``korjauksesta´´ nyt lähetin sen user32.dll tiedoston tuonne virustotaliin
        ja ainoastaan 1 virustorjunta 42 sanoi sitä virukseksi. Eikä tällä kertaa kun avasin konetta tullut aviran ilmoituksia. Toisaalta kone sulki windows updaterin ja ilmoitti mm. tämmöistä ohjeissa:


        Understanding Data Execution PreventionData Execution Prevention (DEP) helps prevent damage from viruses and other security threats that attack by running (executing) malicious code from memory locations that only Windows and other programs should use. This type of threat causes damage by taking over one or more memory locations in use by a program. Then it spreads and harms other programs, files, and even your e-mail contacts.

        Unlike a firewall or antivirus program, DEP does not help prevent harmful programs from being installed on your computer. Instead, it monitors your programs to determine if they use system memory safely. To do this, DEP software works alone or with compatible microprocessors to mark some memory locations as "non-executable". If a program tries to run code—malicious or not—from a protected location, DEP closes the program and notifies you.

        Onkos tämä kone nyt puhdas ??? Ainakin nyt skannaan konetta Aviralla ja malwarebytesillä.

        DEP on Windowsin oma esto joidenkin haitallisten koodien suorittamiseen.
        Avira on yrittänyt korjata (repair) tiedoston onnistumatta palauttamaan sitä alkuperäiseen muotoon. Eikö Avira anna mahdollisuutta panna sitä karanteeniin tai poistaa? Karanteenista se on palautettavissa.
        Sinulla on rekisterissä tai muualla piilossa jotain, mikä näköjään aina palauttaa haitan.
        Kaikki .tmp-väliaikaistiedostot voi huoletta poistaa.
        Jos Aviralla paneminen karanteeniin ei onnistu, nimeä se uudestaan vaikka user32.dll.bak ja kopioi samaan polkuun puhdas versio jostain noista paikoista, mitkä kerroin. Sitten käyttää järjestelmänpalutuksen pois päältä skannausten ajaksi ja kytkee takaisin. Järjestelmänpalautusta voi vaihtoehtona myös koettaa aikaan ennen ongelmaa, jos se toimii.
        Toki tässä ajassa olisit jo asentanut käyttöjärjestelmän uusiksi, mikä on varmin tapa aloittaa puhtaalta pöydältä.


      • .....

        Kiitos vinkistä nyt on remover koneella ja skannailemassa :)


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Aivosyöpää sairastava Olga Temonen TV:ssä - Viimeinen Perjantai-keskusteluohjelma ulos

      Näyttelijä-yrittäjä Olga Temonen sairastaa neljännen asteen glioomaa eli aivosyöpää, jota ei ole mahdollista leikata. Hä
      Maailman menoa
      41
      1743
    2. Jos ottaisit yhteyttä, näyttäisin viestin kaikille

      Yhdessä naurettaisiin sulle. Ymmärräthän tämän?
      Ikävä
      164
      1637
    3. Heikki Silvennoinen ( Kummeli)

      Kuollut 70-vuotiaana. Kiitos Heikille hauskoista hetkistä. Joskus olen hymyillyt kyynelten läpi. Sellaista se elämä on
      Kotimaiset julkkisjuorut
      70
      1378
    4. Mikä saa ihmisen tekemään tällaista?

      Onko se huomatuksi tulemisen tarve tosiaan niin iso tarve, että nuoruuttaan ja tietämättömyyttään pilataan loppuelämä?
      Sinkut
      238
      1316
    5. Pelotelkaa niin paljon kuin sielu sietää.

      Mutta ei mene perille asti. Miksi Venäjä hyökkäisi Suomeen? No, tottahan se tietenkin on jos Suomi joka ei ole edes soda
      Maailman menoa
      200
      1214
    6. Mitä toivot

      ensi vuodelta? :)
      Ikävä
      128
      1145
    7. Kauanko valitatte yöpäivystyksestä?

      Miks tosta Oulaisten yöpäivystyksen lopettamisesta tuli nii kova myrsky? Kai kaikki sen ymmärtää että raha on nyt tiuk
      Pyhäjärvi
      332
      1127
    8. Minkä merkkisellä

      Autolla kaivattusi ajaa? Mies jota kaipaan ajaa Mersulla.
      Ikävä
      78
      1076
    9. Hyvää huomenta 18. luukku

      Hyvää keskiviikkoa. Vielä pari päivää ja sitten on talvipäivänseisokki. 🎄🌌❄️😊❤️
      Ikävä
      227
      1057
    10. Nyt kun Pride on ohi 3.0

      Edelliset kaksi ketjua tuli täyteen. Pidetään siis edelleen tämä asia esillä. Raamattu opettaa johdonmukaisesti, että
      Luterilaisuus
      314
      1057
    Aihe