Troijalaisen poistaminen

Pitääpä kokeilla. Ajattelin vain että jos siihen olisi ollut jotain kätevää ohjelmaa.
Täytyy kokeilla huomenna kun aikaa on. Laitan viestiä onnistuuko miten.

Itse laitoin Virustorjunta.net:ttiin viestiä ja odottelen nyt vähän aikaa tuota vastausta.
Latasin tuon HiJackThis ohjelman, mutta no... en älyä siitä pätkääkään ja itse ohjelma on uusi minulle.
Niin toisaalta on itellä jäänyt vanhentunut Norman Security Suite ohjelma ja se on pari kertaa (vanhentuneenakin) ilmoitellut haitallisista ohjelmista. Mutta itsestäni tuntuu että konekkin olisi hidastunut ja eihän tuo aivan normaalia Aviran toimintaakaan ole.
Pitää katsoa mitä ne tuolla virustorjunta.netissä neuvovat tai sitten kutsua itseäni taitavempi paikalle.

Aiheen aloittaja kirjoitti:

Itse laitoin Virustorjunta.net:ttiin viestiä ja odottelen nyt vähän aikaa tuota vastausta.
Latasin tuon HiJackThis ohjelman, mutta no... en älyä siitä pätkääkään ja itse ohjelma on uusi minulle.
Niin toisaalta on itellä jäänyt vanhentunut Norman Security Suite ohjelma ja se on pari kertaa (vanhentuneenakin) ilmoitellut haitallisista ohjelmista. Mutta itsestäni tuntuu että konekkin olisi hidastunut ja eihän tuo aivan normaalia Aviran toimintaakaan ole.
Pitää katsoa mitä ne tuolla virustorjunta.netissä neuvovat tai sitten kutsua itseäni taitavempi paikalle.

Lue lisää

Ei ihme, että hidastuu ja sekoilee, jos tosiaan on 2 virustorjuntaa aktiivina. Hae Normanin sivuilta poisto-ohjelma tuolle vanhentuneelle tutkalle.
Aviran toiminta on aivan normaalia, jos tiedostossa on haitta. Avira myös helposti liputtaa vääriä positiivisia, jos heuristiikka on pantu tiukalle.
Se, että ei osaa puhdistaa on yleistä tällaisessa tapauksessa, koska kyseessä on tärkeä Windows-tiedosto ja se ei voi sen takia sitä vain poistaa. Eikä pysty sitä puhdistamaan ja palauttamaan alkuperäiseen muotoonsa. Tiedoston koosta voit jo päätellä paljon.

12 kirjoitti:

Ei ihme, että hidastuu ja sekoilee, jos tosiaan on 2 virustorjuntaa aktiivina. Hae Normanin sivuilta poisto-ohjelma tuolle vanhentuneelle tutkalle.
Aviran toiminta on aivan normaalia, jos tiedostossa on haitta. Avira myös helposti liputtaa vääriä positiivisia, jos heuristiikka on pantu tiukalle.
Se, että ei osaa puhdistaa on yleistä tällaisessa tapauksessa, koska kyseessä on tärkeä Windows-tiedosto ja se ei voi sen takia sitä vain poistaa. Eikä pysty sitä puhdistamaan ja palauttamaan alkuperäiseen muotoonsa. Tiedoston koosta voit jo päätellä paljon.

Lue lisää

Joo oon meinannutkin nyt poistaa tuon normanin, mutta mikäs selittäisi tietokoneen hidastumisen yht´äkkiä ???
Kun ei ole ennen yhtä hidas ollut kone ja varsinkin netissä käyminen tuntuu olevan yhtä helvettiä.
Mutta onko tuo nyt oikea troijalainen ja miten Avira nyt vasta hälyttää siitä???
Ja siis pitäisikö minun nyt laittaa ignore ja jos ei se auta niin uudestaan asentaa avira tai vaihtaa viruksentorjuntaohjelmaa ???

(Kiitos jo edellisestä viestistä)

Melko avuton kirjoitti:

Joo oon meinannutkin nyt poistaa tuon normanin, mutta mikäs selittäisi tietokoneen hidastumisen yht´äkkiä ???
Kun ei ole ennen yhtä hidas ollut kone ja varsinkin netissä käyminen tuntuu olevan yhtä helvettiä.
Mutta onko tuo nyt oikea troijalainen ja miten Avira nyt vasta hälyttää siitä???
Ja siis pitäisikö minun nyt laittaa ignore ja jos ei se auta niin uudestaan asentaa avira tai vaihtaa viruksentorjuntaohjelmaa ???

(Kiitos jo edellisestä viestistä)

Lue lisää

Aloita poistamalla Norman. Avira on huippupäästä. Tietoturvayhtiöt päivittävät koko ajan tunnisteitaan.
Tuossa ylempänä oli jo neuvot selvittää tiedoston alkuperäisyys.
Kahden tutkan käyttö on voinut sekoittaa molemmat ja päästää haittaohjelman koneelle. Tai joku uusi tunnistamaton haitta päässyt muuten läpi. Ei missään tapauksessa ignorea ennen tiedoston selvittämistä.
Kopioi tiedosto ja lähetä se tänne
http://www.virustotal.com/fi/
Saat jonkunlaisen kuvan usean tutkan ristiinajossa.

12 kirjoitti:

Aloita poistamalla Norman. Avira on huippupäästä. Tietoturvayhtiöt päivittävät koko ajan tunnisteitaan.
Tuossa ylempänä oli jo neuvot selvittää tiedoston alkuperäisyys.
Kahden tutkan käyttö on voinut sekoittaa molemmat ja päästää haittaohjelman koneelle. Tai joku uusi tunnistamaton haitta päässyt muuten läpi. Ei missään tapauksessa ignorea ennen tiedoston selvittämistä.
Kopioi tiedosto ja lähetä se tänne
http://www.virustotal.com/fi/
Saat jonkunlaisen kuvan usean tutkan ristiinajossa.

Lue lisää

Lähetin sen tiedoston sinne virustotal.comiin
Tämmöistä se lähetti takaisin:

a-squared 4.5.0.50 2010.03.22 Trojan.Win32.Patched!IK
AhnLab-V3 5.0.0.2 2010.03.22 Win-Trojan/User32Hk
AntiVir 8.2.1.196 2010.03.22 TR/Patched.Gen2
Antiy-AVL 2.0.3.7 2010.03.19 -
Authentium 5.2.0.5 2010.03.22 -
Avast 4.8.1351.0 2010.03.22 Win32:SysPatch
Avast5 5.0.332.0 2010.03.22 Win32:SysPatch
AVG 9.0.0.787 2010.03.22 -
BitDefender 7.2 2010.03.22 Win32.MarioForever.Patched
CAT-QuickHeal 10.00 2010.03.22 Trojan.Patched.AP
ClamAV 0.96.0.0-git 2010.03.22 -
Comodo 4350 2010.03.22 TrojWare.Win32.Patched.F
DrWeb 5.0.1.12222 2010.03.22 BackDoor.Zapinit.140
eSafe 7.0.17.0 2010.03.21 -
eTrust-Vet 35.2.7381 2010.03.22 Win32/Pruserinf
F-Prot 4.5.1.85 2010.03.22 -
F-Secure 9.0.15370.0 2010.03.22 Win32.MarioForever.Patched
Fortinet 4.0.14.0 2010.03.22 W32/Patched.D!tr
GData 19 2010.03.22 Win32.MarioForever.Patched
Ikarus T3.1.1.80.0 2010.03.22 Trojan.Win32.Patched
Jiangmin 13.0.900 2010.03.22 Win32/PatchFile.bk
K7AntiVirus 7.10.1002 2010.03.19 -
Kaspersky 7.0.0.125 2010.03.22 Trojan.Win32.Patched.dr
McAfee 5927 2010.03.21 potentially unwanted program Patched User32
McAfee Artemis 5927 2010.03.21 potentially unwanted program Patched User32
McAfee-GW-Edition 6.8.5 2010.03.22 Trojan.Patched.Gen2
Microsoft 1.5605 2010.03.22 Virus:Win32/Mariofev.A
NOD32 4965 2010.03.22 Win32/Pinit
Norman 6.04.09 2010.03.22 -
nProtect 2009.1.8.0 2010.03.22 Win32.MarioForever.Patched
Panda 10.0.2.2 2010.03.22 -
PCTools 7.0.3.5 2010.03.22 Trojan.Patched.dr.c
Prevx 3.0 2010.03.22 -
Rising 22.40.00.04 2010.03.22 Trojan.Win32.Patched.bi
Sophos 4.51.0 2010.03.22 Troj/User32Hk-A
Sunbelt 6025 2010.03.22 Worm.Win32.Mariofev.Gen (v)
Symantec 20091.2.0.41 2010.03.22 Suspicious.Insight
TheHacker 6.5.2.0.241 2010.03.22 -
TrendMicro 9.120.0.1004 2010.03.22 Possible_Patch-1
VBA32 3.12.12.2 2010.03.19 Trojan.Win32.Patched.dr
ViRobot 2010.3.22.2238 2010.03.22 Win32.Patched.X
VirusBuster 5.0.27.0 2010.03.22 Trojan.Patched.AP
Additional information
File size: 578560 bytes
MD5...: dbdbc8f4d689213722ea67727b4ce625
SHA1..: d656b418c4fc125a303cb955495309b934d29038
SHA256: ed4634d968bab499f0d19262ab045bf54709e1aa843161ace58c88b78 e77fe45
ssdeep: 6144:QzML7NoIlCGJPY2Z2AlptXbgz0 Q4odCGfTnpbEdd/fudqsa0juc QgBMacC
GNoEd:HoHEHblpWz0jPLhEfgP6WMDoEJY
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb217
timedatestamp.....: 0x4802a11b (Mon Apr 14 00:11:07 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5f283 0x5f400 6.65 43779a2721666273e21befb63225af72
.data 0x61000 0x1180 0xc00 2.38 28fc1d764bf4ed37bb349bca5991a1ff
.rsrc 0x63000 0x2a088 0x2a200 4.97 818c69d1407c2f66058a8171086b2fba
.reloc 0x8e000 0x2de4 0x2e00 6.77 68ebe5a2d822be0663a3e935b39d0bae

( 3 imports )
> GDI32.dll: GetClipRgn, ExtSelectClipRgn, GetHFONT, GetMapMode, SetGraphicsMode, GetClipBox, CreateRectRgn, CreateRectRgnIndirect, SetLayout, GetBoundsRect, ExcludeClipRect, PlayEnhMetaFile, GdiGetBitmapBitsSize, CreatePen, Ellipse, CreateEllipticRgn, GdiFixUpHandle, GetTextCharacterExtra, SetTextCharacterExtra, GetCurrentObject, GetViewportOrgEx, SetViewportOrgEx, PolyPatBlt, CreateBrushIndirect, SetBoundsRect, CopyEnhMetaFileW, CopyMetaFileW, GetPaletteEntries, CreatePalette, SetPaletteEntries, bInitSystemAndFontsDirectoriesW, bMakePathNameW, cGetTTFFromFOT, GetPixel, ExtTextOutA, GetTextCharsetInfo, QueryFontAssocStatus, GetCharWidthInfo, GetCharWidthA, GetTextFaceW, GetCharABCWidthsA, GetCharABCWidthsW, SetBrushOrgEx, CreateFontIndirectW, EnumFontsW, GetTextFaceAliasW, GetTextMetricsW, GetTextColor, GetBkMode, GetViewportExtEx, GetWindowExtEx, GdiGetCharDimensions, GdiGetCodePage, GetTextCharset, GdiPrinterThunk, GdiAddFontResourceW, TranslateCharsetInfo, SaveDC, OffsetWindowOrgEx, RestoreDC, ExtTextOutW, GetObjectType, GetDIBits, CreateDIBSection, SetStretchBltMode, SelectPalette, RealizePalette, SetDIBits, CreateDCW, CreateDIBitmap, CreateCompatibleBitmap, SetBitmapBits, DeleteDC, GdiValidateHandle, GdiDllInitialize, CreateSolidBrush, GetStockObject, CreateCompatibleDC, GdiConvertBitmapV5, GdiCreateLocalEnhMetaFile, GdiCreateLocalMetaFilePict, GetRgnBox, CombineRgn, OffsetRgn, MirrorRgn, EnableEUDC, GdiConvertToDevmodeW, GetTextExtentPointA, GetTextExtentPointW, CreateBitmap, SetLayoutWidth, PatBlt, TextOutA, TextOutW, BitBlt, GdiConvertAndCheckDC, StretchBlt, SetRectRgn, GdiReleaseDC, GdiConvertEnhMetaFile, GdiConvertMetaFilePict, DeleteEnhMetaFile, DeleteMetaFile, DeleteObject, GetDIBColorTable, GetDeviceCaps, StretchDIBits, GetLayout, SetBkColor, SetTextColor, GetObjectW, GetBkColor, SetBkMode, SelectObject, IntersectClipRect, GetTextAlign, SetTextAlign, GdiProcessSetup
> KERNEL32.dll: LocalSize, SizeofResource, LoadResource, FindResourceExW, FindResourceExA, GetModuleHandleW, DisableThreadLibraryCalls, GetCurrentThreadId, IsDBCSLeadByteEx,

..... kirjoitti:

Lähetin sen tiedoston sinne virustotal.comiin
Tämmöistä se lähetti takaisin:

a-squared 4.5.0.50 2010.03.22 Trojan.Win32.Patched!IK
AhnLab-V3 5.0.0.2 2010.03.22 Win-Trojan/User32Hk
AntiVir 8.2.1.196 2010.03.22 TR/Patched.Gen2
Antiy-AVL 2.0.3.7 2010.03.19 -
Authentium 5.2.0.5 2010.03.22 -
Avast 4.8.1351.0 2010.03.22 Win32:SysPatch
Avast5 5.0.332.0 2010.03.22 Win32:SysPatch
AVG 9.0.0.787 2010.03.22 -
BitDefender 7.2 2010.03.22 Win32.MarioForever.Patched
CAT-QuickHeal 10.00 2010.03.22 Trojan.Patched.AP
ClamAV 0.96.0.0-git 2010.03.22 -
Comodo 4350 2010.03.22 TrojWare.Win32.Patched.F
DrWeb 5.0.1.12222 2010.03.22 BackDoor.Zapinit.140
eSafe 7.0.17.0 2010.03.21 -
eTrust-Vet 35.2.7381 2010.03.22 Win32/Pruserinf
F-Prot 4.5.1.85 2010.03.22 -
F-Secure 9.0.15370.0 2010.03.22 Win32.MarioForever.Patched
Fortinet 4.0.14.0 2010.03.22 W32/Patched.D!tr
GData 19 2010.03.22 Win32.MarioForever.Patched
Ikarus T3.1.1.80.0 2010.03.22 Trojan.Win32.Patched
Jiangmin 13.0.900 2010.03.22 Win32/PatchFile.bk
K7AntiVirus 7.10.1002 2010.03.19 -
Kaspersky 7.0.0.125 2010.03.22 Trojan.Win32.Patched.dr
McAfee 5927 2010.03.21 potentially unwanted program Patched User32
McAfee Artemis 5927 2010.03.21 potentially unwanted program Patched User32
McAfee-GW-Edition 6.8.5 2010.03.22 Trojan.Patched.Gen2
Microsoft 1.5605 2010.03.22 Virus:Win32/Mariofev.A
NOD32 4965 2010.03.22 Win32/Pinit
Norman 6.04.09 2010.03.22 -
nProtect 2009.1.8.0 2010.03.22 Win32.MarioForever.Patched
Panda 10.0.2.2 2010.03.22 -
PCTools 7.0.3.5 2010.03.22 Trojan.Patched.dr.c
Prevx 3.0 2010.03.22 -
Rising 22.40.00.04 2010.03.22 Trojan.Win32.Patched.bi
Sophos 4.51.0 2010.03.22 Troj/User32Hk-A
Sunbelt 6025 2010.03.22 Worm.Win32.Mariofev.Gen (v)
Symantec 20091.2.0.41 2010.03.22 Suspicious.Insight
TheHacker 6.5.2.0.241 2010.03.22 -
TrendMicro 9.120.0.1004 2010.03.22 Possible_Patch-1
VBA32 3.12.12.2 2010.03.19 Trojan.Win32.Patched.dr
ViRobot 2010.3.22.2238 2010.03.22 Win32.Patched.X
VirusBuster 5.0.27.0 2010.03.22 Trojan.Patched.AP
Additional information
File size: 578560 bytes
MD5...: dbdbc8f4d689213722ea67727b4ce625
SHA1..: d656b418c4fc125a303cb955495309b934d29038
SHA256: ed4634d968bab499f0d19262ab045bf54709e1aa843161ace58c88b78 e77fe45
ssdeep: 6144:QzML7NoIlCGJPY2Z2AlptXbgz0 Q4odCGfTnpbEdd/fudqsa0juc QgBMacC
GNoEd:HoHEHblpWz0jPLhEfgP6WMDoEJY
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb217
timedatestamp.....: 0x4802a11b (Mon Apr 14 00:11:07 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5f283 0x5f400 6.65 43779a2721666273e21befb63225af72
.data 0x61000 0x1180 0xc00 2.38 28fc1d764bf4ed37bb349bca5991a1ff
.rsrc 0x63000 0x2a088 0x2a200 4.97 818c69d1407c2f66058a8171086b2fba
.reloc 0x8e000 0x2de4 0x2e00 6.77 68ebe5a2d822be0663a3e935b39d0bae

( 3 imports )
> GDI32.dll: GetClipRgn, ExtSelectClipRgn, GetHFONT, GetMapMode, SetGraphicsMode, GetClipBox, CreateRectRgn, CreateRectRgnIndirect, SetLayout, GetBoundsRect, ExcludeClipRect, PlayEnhMetaFile, GdiGetBitmapBitsSize, CreatePen, Ellipse, CreateEllipticRgn, GdiFixUpHandle, GetTextCharacterExtra, SetTextCharacterExtra, GetCurrentObject, GetViewportOrgEx, SetViewportOrgEx, PolyPatBlt, CreateBrushIndirect, SetBoundsRect, CopyEnhMetaFileW, CopyMetaFileW, GetPaletteEntries, CreatePalette, SetPaletteEntries, bInitSystemAndFontsDirectoriesW, bMakePathNameW, cGetTTFFromFOT, GetPixel, ExtTextOutA, GetTextCharsetInfo, QueryFontAssocStatus, GetCharWidthInfo, GetCharWidthA, GetTextFaceW, GetCharABCWidthsA, GetCharABCWidthsW, SetBrushOrgEx, CreateFontIndirectW, EnumFontsW, GetTextFaceAliasW, GetTextMetricsW, GetTextColor, GetBkMode, GetViewportExtEx, GetWindowExtEx, GdiGetCharDimensions, GdiGetCodePage, GetTextCharset, GdiPrinterThunk, GdiAddFontResourceW, TranslateCharsetInfo, SaveDC, OffsetWindowOrgEx, RestoreDC, ExtTextOutW, GetObjectType, GetDIBits, CreateDIBSection, SetStretchBltMode, SelectPalette, RealizePalette, SetDIBits, CreateDCW, CreateDIBitmap, CreateCompatibleBitmap, SetBitmapBits, DeleteDC, GdiValidateHandle, GdiDllInitialize, CreateSolidBrush, GetStockObject, CreateCompatibleDC, GdiConvertBitmapV5, GdiCreateLocalEnhMetaFile, GdiCreateLocalMetaFilePict, GetRgnBox, CombineRgn, OffsetRgn, MirrorRgn, EnableEUDC, GdiConvertToDevmodeW, GetTextExtentPointA, GetTextExtentPointW, CreateBitmap, SetLayoutWidth, PatBlt, TextOutA, TextOutW, BitBlt, GdiConvertAndCheckDC, StretchBlt, SetRectRgn, GdiReleaseDC, GdiConvertEnhMetaFile, GdiConvertMetaFilePict, DeleteEnhMetaFile, DeleteMetaFile, DeleteObject, GetDIBColorTable, GetDeviceCaps, StretchDIBits, GetLayout, SetBkColor, SetTextColor, GetObjectW, GetBkColor, SetBkMode, SelectObject, IntersectClipRect, GetTextAlign, SetTextAlign, GdiProcessSetup
> KERNEL32.dll: LocalSize, SizeofResource, LoadResource, FindResourceExW, FindResourceExA, GetModuleHandleW, DisableThreadLibraryCalls, GetCurrentThreadId, IsDBCSLeadByteEx,

Lue lisää

SearchPathW, ExpandEnvironmentStringsW, LoadLibraryExW, GlobalAddAtomW, GetSystemDirectoryW, GetComputerNameW, GetCurrentProcess, GetCurrentThread, ExitThread, GetExitCodeThread, CreateThread, HeapReAlloc, GlobalHandle, FoldStringW, Sleep, GetStringTypeW, GetStringTypeA, GetCPInfo, HeapSize, CloseHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, GetFileSize, ReadFile, SetFileTime, GetFileTime, GetSystemWindowsDirectoryW, CopyFileW, MoveFileW, DeleteFileW, CreateProcessW, AddAtomA, AddAtomW, GetAtomNameW, GetAtomNameA, IsValidLocale, ConvertDefaultLocale, CompareStringW, GetCurrentDirectoryW, SetCurrentDirectoryW, lstrlenW, GetLogicalDrives, FindClose, FindNextFileW, FindFirstFileW, GetThreadLocale, ProcessIdToSessionId, GetCurrentProcessId, InterlockedCompareExchange, IsDBCSLeadByte, LCMapStringW, QueryPerformanceCounter, QueryPerformanceFrequency, GetTickCount, lstrlenA, GlobalFindAtomA, GetModuleFileNameA, GetModuleHandleA, GlobalAddAtomA, DelayLoadFailureHook, LoadLibraryA, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LocalUnlock, LocalLock, LocalReAlloc, GetACP, GetOEMCP, InterlockedIncrement, InterlockedDecrement, SetLastError, GlobalFindAtomW, GlobalAlloc, MultiByteToWideChar, GlobalReAlloc, GetLastError, GetProcAddress, LoadLibraryW, FreeLibrary, lstrcpynW, CreateFileW, WritePrivateProfileStringW, lstrcmpiW, SetEvent, WaitForMultipleObjectsEx, WideCharToMultiByte, GlobalFlags, GetLocaleInfoW, GlobalFree, GetModuleFileNameW, GlobalGetAtomNameW, GlobalGetAtomNameA, InterlockedExchange, DeleteAtom, LocalAlloc, GlobalDeleteAtom, LocalFree, GlobalSize, GlobalLock, GlobalUnlock, GetUserDefaultLCID, HeapAlloc, HeapFree, lstrcpyW, lstrcatW, GetPrivateProfileStringW, RegisterWaitForInputIdle
> ntdll.dll: NtQueryVirtualMemory, RtlUnwind, RtlNtStatusToDosError, NlsAnsiCodePage, RtlAllocateHeap, qsort, RtlMultiByteToUnicodeSize, LdrFlushAlternateResourceModules, RtlPcToFileHeader, wcsrchr, NtRaiseHardError, RtlIsNameLegalDOS8Dot3, strrchr, sscanf, NtQueryKey, NtEnumerateValueKey, RtlRunEncodeUnicodeString, RtlRunDecodeUnicodeString, _wcsicmp, CsrAllocateCaptureBuffer, CsrCaptureMessageBuffer, CsrFreeCaptureBuffer, NtOpenThreadToken, NtOpenProcessToken, NtQueryInformationToken, CsrClientCallServer, memmove, NtCallbackReturn, RtlUnicodeToMultiByteSize, RtlActivateActivationContextUnsafeFast, RtlDeactivateActivationContextUnsafeFast, RtlInitializeCriticalSection, NtQuerySystemInformation, swprintf, RtlDeleteCriticalSection, RtlImageNtHeader, CsrClientConnectToServer, NtYieldExecution, NtCreateKey, NtSetValueKey, NtDeleteValueKey, RtlQueryInformationActiveActivationContext, RtlReleaseActivationContext, RtlFreeHeap, wcsncpy, wcscmp, wcstoul, wcscat, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlCreateUnicodeStringFromAsciiz, RtlFreeUnicodeString, NtOpenDirectoryObject, _chkstk, wcscpy, wcsncat, NtSetSecurityObject, NtQuerySecurityObject, NtQueryInformationProcess, wcstol, wcslen, RtlFindActivationContextSectionString, RtlMultiByteToUnicodeN, RtlUnicodeToMultiByteN, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlOpenCurrentUser, NtEnumerateKey, NtOpenKey, NtClose, NtQueryValueKey, RtlInitUnicodeString, RtlUnicodeStringToInteger
( 732 exports )
ActivateKeyboardLayout, AdjustWindowRect, AdjustWindowRectEx, AlignRects, AllowForegroundActivation, AllowSetForegroundWindow, AnimateWindow, AnyPopup, AppendMenuA, AppendMenuW, ArrangeIconicWindows, AttachThreadInput, BeginDeferWindowPos, BeginPaint, BlockInput, BringWindowToTop, BroadcastSystemMessage, BroadcastSystemMessageA, BroadcastSystemMessageExA, BroadcastSystemMessageExW, BroadcastSystemMessageW, BuildReasonArray, CalcMenuBar, CallMsgFilter, CallMsgFilterA, CallMsgFilterW, CallNextHookEx, CallWindowProcA, CallWindowProcW, CascadeChildWindows, CascadeWindows, ChangeClipboardChain, ChangeDisplaySettingsA, ChangeDisplaySettingsExA, ChangeDisplaySettingsExW, ChangeDisplaySettingsW, ChangeMenuA, ChangeMenuW, C

... kirjoitti:

SearchPathW, ExpandEnvironmentStringsW, LoadLibraryExW, GlobalAddAtomW, GetSystemDirectoryW, GetComputerNameW, GetCurrentProcess, GetCurrentThread, ExitThread, GetExitCodeThread, CreateThread, HeapReAlloc, GlobalHandle, FoldStringW, Sleep, GetStringTypeW, GetStringTypeA, GetCPInfo, HeapSize, CloseHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, GetFileSize, ReadFile, SetFileTime, GetFileTime, GetSystemWindowsDirectoryW, CopyFileW, MoveFileW, DeleteFileW, CreateProcessW, AddAtomA, AddAtomW, GetAtomNameW, GetAtomNameA, IsValidLocale, ConvertDefaultLocale, CompareStringW, GetCurrentDirectoryW, SetCurrentDirectoryW, lstrlenW, GetLogicalDrives, FindClose, FindNextFileW, FindFirstFileW, GetThreadLocale, ProcessIdToSessionId, GetCurrentProcessId, InterlockedCompareExchange, IsDBCSLeadByte, LCMapStringW, QueryPerformanceCounter, QueryPerformanceFrequency, GetTickCount, lstrlenA, GlobalFindAtomA, GetModuleFileNameA, GetModuleHandleA, GlobalAddAtomA, DelayLoadFailureHook, LoadLibraryA, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LocalUnlock, LocalLock, LocalReAlloc, GetACP, GetOEMCP, InterlockedIncrement, InterlockedDecrement, SetLastError, GlobalFindAtomW, GlobalAlloc, MultiByteToWideChar, GlobalReAlloc, GetLastError, GetProcAddress, LoadLibraryW, FreeLibrary, lstrcpynW, CreateFileW, WritePrivateProfileStringW, lstrcmpiW, SetEvent, WaitForMultipleObjectsEx, WideCharToMultiByte, GlobalFlags, GetLocaleInfoW, GlobalFree, GetModuleFileNameW, GlobalGetAtomNameW, GlobalGetAtomNameA, InterlockedExchange, DeleteAtom, LocalAlloc, GlobalDeleteAtom, LocalFree, GlobalSize, GlobalLock, GlobalUnlock, GetUserDefaultLCID, HeapAlloc, HeapFree, lstrcpyW, lstrcatW, GetPrivateProfileStringW, RegisterWaitForInputIdle
> ntdll.dll: NtQueryVirtualMemory, RtlUnwind, RtlNtStatusToDosError, NlsAnsiCodePage, RtlAllocateHeap, qsort, RtlMultiByteToUnicodeSize, LdrFlushAlternateResourceModules, RtlPcToFileHeader, wcsrchr, NtRaiseHardError, RtlIsNameLegalDOS8Dot3, strrchr, sscanf, NtQueryKey, NtEnumerateValueKey, RtlRunEncodeUnicodeString, RtlRunDecodeUnicodeString, _wcsicmp, CsrAllocateCaptureBuffer, CsrCaptureMessageBuffer, CsrFreeCaptureBuffer, NtOpenThreadToken, NtOpenProcessToken, NtQueryInformationToken, CsrClientCallServer, memmove, NtCallbackReturn, RtlUnicodeToMultiByteSize, RtlActivateActivationContextUnsafeFast, RtlDeactivateActivationContextUnsafeFast, RtlInitializeCriticalSection, NtQuerySystemInformation, swprintf, RtlDeleteCriticalSection, RtlImageNtHeader, CsrClientConnectToServer, NtYieldExecution, NtCreateKey, NtSetValueKey, NtDeleteValueKey, RtlQueryInformationActiveActivationContext, RtlReleaseActivationContext, RtlFreeHeap, wcsncpy, wcscmp, wcstoul, wcscat, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlCreateUnicodeStringFromAsciiz, RtlFreeUnicodeString, NtOpenDirectoryObject, _chkstk, wcscpy, wcsncat, NtSetSecurityObject, NtQuerySecurityObject, NtQueryInformationProcess, wcstol, wcslen, RtlFindActivationContextSectionString, RtlMultiByteToUnicodeN, RtlUnicodeToMultiByteN, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlOpenCurrentUser, NtEnumerateKey, NtOpenKey, NtClose, NtQueryValueKey, RtlInitUnicodeString, RtlUnicodeStringToInteger
( 732 exports )
ActivateKeyboardLayout, AdjustWindowRect, AdjustWindowRectEx, AlignRects, AllowForegroundActivation, AllowSetForegroundWindow, AnimateWindow, AnyPopup, AppendMenuA, AppendMenuW, ArrangeIconicWindows, AttachThreadInput, BeginDeferWindowPos, BeginPaint, BlockInput, BringWindowToTop, BroadcastSystemMessage, BroadcastSystemMessageA, BroadcastSystemMessageExA, BroadcastSystemMessageExW, BroadcastSystemMessageW, BuildReasonArray, CalcMenuBar, CallMsgFilter, CallMsgFilterA, CallMsgFilterW, CallNextHookEx, CallWindowProcA, CallWindowProcW, CascadeChildWindows, CascadeWindows, ChangeClipboardChain, ChangeDisplaySettingsA, ChangeDisplaySettingsExA, ChangeDisplaySettingsExW, ChangeDisplaySettingsW, ChangeMenuA, ChangeMenuW, C

Lue lisää

Enpä taida laittaakkaan koko lokijuttua kun tulisi jumalattoman pitkä viesti :D
riittääkö tuo ???

12 kirjoitti:

Aloita poistamalla Norman. Avira on huippupäästä. Tietoturvayhtiöt päivittävät koko ajan tunnisteitaan.
Tuossa ylempänä oli jo neuvot selvittää tiedoston alkuperäisyys.
Kahden tutkan käyttö on voinut sekoittaa molemmat ja päästää haittaohjelman koneelle. Tai joku uusi tunnistamaton haitta päässyt muuten läpi. Ei missään tapauksessa ignorea ennen tiedoston selvittämistä.
Kopioi tiedosto ja lähetä se tänne
http://www.virustotal.com/fi/
Saat jonkunlaisen kuvan usean tutkan ristiinajossa.

Lue lisää

Poistankos mie tuon tiedoston manuaalisesti kun näyttää olevan virus ???
vai ??

15 kirjoitti:

Poistankos mie tuon tiedoston manuaalisesti kun näyttää olevan virus ???
vai ??

Tottakai haittaohjelmat pitää poistaa. Lähes kaikkihan tuon liputtivat. Niinkuin aiemmassa viestissä jo kerroin puhdas versio pitäisi löytyä 'C:\WINDOWS\system32\dllcache'-kansiosta.
Tarkista nyt sekin ensin. Käyttiksen asennuslevyllä pitäisi joka tapauksessa olla puhdas versio kansiossa i386. Tai lataat tuosta xp:en
http://shup.com/Shup/300795/user32.dll , jos minuun luotat.
Sitten ajat täydellisen skannin Aviralla läpi kaikille asemille ja lisäksi vaikka 'Malwarebytes' Anti-Malware'-ohjelman. Perään vielä vaikka CCleanerin rekisterin putsauksen, jos puhdistus käsin tuottaa ongelmia.

12 kirjoitti:

Tottakai haittaohjelmat pitää poistaa. Lähes kaikkihan tuon liputtivat. Niinkuin aiemmassa viestissä jo kerroin puhdas versio pitäisi löytyä 'C:\WINDOWS\system32\dllcache'-kansiosta.
Tarkista nyt sekin ensin. Käyttiksen asennuslevyllä pitäisi joka tapauksessa olla puhdas versio kansiossa i386. Tai lataat tuosta xp:en
http://shup.com/Shup/300795/user32.dll , jos minuun luotat.
Sitten ajat täydellisen skannin Aviralla läpi kaikille asemille ja lisäksi vaikka 'Malwarebytes' Anti-Malware'-ohjelman. Perään vielä vaikka CCleanerin rekisterin putsauksen, jos puhdistus käsin tuottaa ongelmia.

Lue lisää

Voitko vähän kertoa???
Laitoin antiviruksen vähäksi aikaa pois päältä skannatakseni tuon user32.dll tiedoston spybotilla ja Malwarebytesillä. Kummatkaan eivät huomanneet mitään haitallista. Sen jälkeen skannasin aviralla sen tiedoston. Avira havaitsi sen haitalliseksi ja pystyin valitsemaan repair all vaihtoehdon.
Tällöin Avira näköjään korjasi/poisti tiedoston ja kun avaan toisia ohjelmia avira ei hälytä enää mistään. Onko tuo troijalainen nyt tosiaan poistunut vai ``piileskeleekö´´´se vielä koneella ?
Töytyy vielä skannata aviralla ja malwarella koko kone läpi.

Suuri kiitos viesteistä

Tosiaan melko avuton kirjoitti:

Voitko vähän kertoa???
Laitoin antiviruksen vähäksi aikaa pois päältä skannatakseni tuon user32.dll tiedoston spybotilla ja Malwarebytesillä. Kummatkaan eivät huomanneet mitään haitallista. Sen jälkeen skannasin aviralla sen tiedoston. Avira havaitsi sen haitalliseksi ja pystyin valitsemaan repair all vaihtoehdon.
Tällöin Avira näköjään korjasi/poisti tiedoston ja kun avaan toisia ohjelmia avira ei hälytä enää mistään. Onko tuo troijalainen nyt tosiaan poistunut vai ``piileskeleekö´´´se vielä koneella ?
Töytyy vielä skannata aviralla ja malwarella koko kone läpi.

Suuri kiitos viesteistä

Lue lisää

Sori väärä hälytys ei se avira sitä poistanutkaan :D
Löysi heti skannauksesta sen viruksen. (iloitsin liian nopeasti)

...... kirjoitti:

Sori väärä hälytys ei se avira sitä poistanutkaan :D
Löysi heti skannauksesta sen viruksen. (iloitsin liian nopeasti)

Nyt kun Avira ``korjasi´´ tiedoston ja skannasin sillä konetta uudelleen, avira löysikin tämän ihanan TR/Patched.Gen2 :den taas uudestaan mutta eri paikasta.

C:\Documents and settings\All Users\Application Data\Avira\Antivir Desktop\TEMP\AVSCAN-20100323-190516-80A49367\ARKE.tmp

Avira antoi taas vaihtoehdon että Repair All, ja valitsin sen. Ajan skannauksen uudelleen ja katson mitä tapahtuu.

12 kirjoitti:

Tottakai haittaohjelmat pitää poistaa. Lähes kaikkihan tuon liputtivat. Niinkuin aiemmassa viestissä jo kerroin puhdas versio pitäisi löytyä 'C:\WINDOWS\system32\dllcache'-kansiosta.
Tarkista nyt sekin ensin. Käyttiksen asennuslevyllä pitäisi joka tapauksessa olla puhdas versio kansiossa i386. Tai lataat tuosta xp:en
http://shup.com/Shup/300795/user32.dll , jos minuun luotat.
Sitten ajat täydellisen skannin Aviralla läpi kaikille asemille ja lisäksi vaikka 'Malwarebytes' Anti-Malware'-ohjelman. Perään vielä vaikka CCleanerin rekisterin putsauksen, jos puhdistus käsin tuottaa ongelmia.

Lue lisää

Niin siitä Aviran ``korjauksesta´´ nyt lähetin sen user32.dll tiedoston tuonne virustotaliin
ja ainoastaan 1 virustorjunta 42 sanoi sitä virukseksi. Eikä tällä kertaa kun avasin konetta tullut aviran ilmoituksia. Toisaalta kone sulki windows updaterin ja ilmoitti mm. tämmöistä ohjeissa:


Understanding Data Execution PreventionData Execution Prevention (DEP) helps prevent damage from viruses and other security threats that attack by running (executing) malicious code from memory locations that only Windows and other programs should use. This type of threat causes damage by taking over one or more memory locations in use by a program. Then it spreads and harms other programs, files, and even your e-mail contacts.

Unlike a firewall or antivirus program, DEP does not help prevent harmful programs from being installed on your computer. Instead, it monitors your programs to determine if they use system memory safely. To do this, DEP software works alone or with compatible microprocessors to mark some memory locations as "non-executable". If a program tries to run code—malicious or not—from a protected location, DEP closes the program and notifies you.

Onkos tämä kone nyt puhdas ??? Ainakin nyt skannaan konetta Aviralla ja malwarebytesillä.

....... kirjoitti:

Niin siitä Aviran ``korjauksesta´´ nyt lähetin sen user32.dll tiedoston tuonne virustotaliin
ja ainoastaan 1 virustorjunta 42 sanoi sitä virukseksi. Eikä tällä kertaa kun avasin konetta tullut aviran ilmoituksia. Toisaalta kone sulki windows updaterin ja ilmoitti mm. tämmöistä ohjeissa:


Understanding Data Execution PreventionData Execution Prevention (DEP) helps prevent damage from viruses and other security threats that attack by running (executing) malicious code from memory locations that only Windows and other programs should use. This type of threat causes damage by taking over one or more memory locations in use by a program. Then it spreads and harms other programs, files, and even your e-mail contacts.

Unlike a firewall or antivirus program, DEP does not help prevent harmful programs from being installed on your computer. Instead, it monitors your programs to determine if they use system memory safely. To do this, DEP software works alone or with compatible microprocessors to mark some memory locations as "non-executable". If a program tries to run code—malicious or not—from a protected location, DEP closes the program and notifies you.

Onkos tämä kone nyt puhdas ??? Ainakin nyt skannaan konetta Aviralla ja malwarebytesillä.

Lue lisää

DEP on Windowsin oma esto joidenkin haitallisten koodien suorittamiseen.
Avira on yrittänyt korjata (repair) tiedoston onnistumatta palauttamaan sitä alkuperäiseen muotoon. Eikö Avira anna mahdollisuutta panna sitä karanteeniin tai poistaa? Karanteenista se on palautettavissa.
Sinulla on rekisterissä tai muualla piilossa jotain, mikä näköjään aina palauttaa haitan.
Kaikki .tmp-väliaikaistiedostot voi huoletta poistaa.
Jos Aviralla paneminen karanteeniin ei onnistu, nimeä se uudestaan vaikka user32.dll.bak ja kopioi samaan polkuun puhdas versio jostain noista paikoista, mitkä kerroin. Sitten käyttää järjestelmänpalutuksen pois päältä skannausten ajaksi ja kytkee takaisin. Järjestelmänpalautusta voi vaihtoehtona myös koettaa aikaan ennen ongelmaa, jos se toimii.
Toki tässä ajassa olisit jo asentanut käyttöjärjestelmän uusiksi, mikä on varmin tapa aloittaa puhtaalta pöydältä.

Kiitos vinkistä nyt on remover koneella ja skannailemassa :)