1. Bugiraportit ja palaute XenForo-MuroBBS:stä tähän viestiketjuun

    Tuliko vastaan englantia tai huonoa suomea, raportoi tähän viestiketjuun

Spyware vai virus koneessa

Viestiketju alueella 'Internet, tietoturva ja muu tietoliikenne' , aloittaja RunningMan, 11.07.2006.

  1. RunningMan

    Rekisteröitynyt:
    26.10.2004
    Viestejä:
    23
    Hei.
    Onnistuin tässä saamaan koneeseeni kaiken näköistä kuraa. Muut spywaret ym. sain taistelujen kautta poistettua, mutta jotain on vielä jäänyt koneelle. Ajoittan pomppaa seuraavanlaisia ikkunoita esille ja silloin tällöin ie pamahtaa auki samaisille sivuille suoraan.
    http://koti.mbnet.fi/tommiha/kuva.jpg

    Niin mikäköhän koneeseeni on pesiytynyt? Tuo tuli yhtäaikaa Spyware Quaken kanssa, jonka ilmeisesti onnistuin poistamaan jostain netistä löytyneiden ohjeiden mukaan. Scannausohjelmista ajettu seuraavat, mutta mikään niistä ei löydä tuosta mitään.
    F-secure Internet Security
    AntiVir
    Ad-Aware SE
    Ewido anti-spyware
    Karpensky eScan
    CCleaner
    M$ defender
    ja sitten Quaken poistoon tarvitut pikku ohjelmat.


    [signature]1. AXP 2400+, 1 GB, GF 6600 GT, 280 GB
    2. P-M 715A, 512MB, 80GB [/signature]
     
  2. TonyM

    Rekisteröitynyt:
    05.09.2002
    Viestejä:
    8 740
    Pistä HiJackThis logi tänne.
    [signature]Diet Coke is for fat people[/signature]
     
  3. RunningMan

    Rekisteröitynyt:
    26.10.2004
    Viestejä:
    23
    Tuollaista antoi:

    Logfile of HijackThis v1.99.1
    Scan saved at 13:53:04, on 12.7.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\system32\tcpsvcs.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
    C:\Azureus\Azureus.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\Documents and Settings\Tommi\Omat tiedostot\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
    O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
    O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fi\msntb.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKLM\..\Run: [mwavscan] "c:\kaspersky\mwavscan.com" /s
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: Norman ZANDA - Unknown owner - C:\Program Files\Norman\Nvc\BIN\Zanda.exe (file missing)
    O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

    [signature]1. AXP 2400+, 1 GB, GF 6600 GT, 280 GB
    2. P-M 715A, 512MB, 80GB [/signature]
     
  4. Kirurgi

    Rekisteröitynyt:
    21.07.2004
    Viestejä:
    94
    Kokeiles tota.
    http://siri.urz.free.fr/Fix/SmitfraudFix.php
     
  5. RunningMan

    Rekisteröitynyt:
    26.10.2004
    Viestejä:
    23
    Tuo SmitfraudFix löysi jonkin tiedoston ja poisti sen. ( jotain online... virusscan... jne... tarkempaa en nyt muista, kun vahingossa tuhosin sen rapport.txt filun uudelleen tarkistuksen yhteydessä) Tuo uudelleen tarkistus ei löytänyt enää mitään epäilyttävää.

    Joten jäädään odottelemaan hävisikö ongelmat. Kiitoksia vaan kaikille.
    [signature]1. AXP 2400+, 1 GB, GF 6600 GT, 280 GB
    2. P-M 715A, 512MB, 80GB [/signature]
     
  6. RunningMan

    Rekisteröitynyt:
    26.10.2004
    Viestejä:
    23
    Ongelma ei poitunutkaan. Onkohan tähän enää muuta lääkettä, kun laittaa windows uusiksi? Ei kyllä jaksaisi alkaa kyseiseen operaatioon.
    [signature]1. AXP 2400+, 1 GB, GF 6600 GT, 280 GB
    2. P-M 715A, 512MB, 80GB [/signature]
     
  7. Lauri Rouhiainen

    Rekisteröitynyt:
    07.04.1999
    Viestejä:
    1 643
    Oletko käyttänyt crapcleanerin rekisterinsiivousominaisuutta?

    Ja..ja... Eikös tuo Windows Defender näytä, mitä kaikkea aukeaa käynnistyksessä? Laita tänne jotain?
    [signature]Large buffers help mostly with sequential transfers -AnandTech
    Eli minun asiantuntemukseni väittää -JAT
    WinXP pyörii 7MHz prossulla ja 20MB muistilla. -MX1K[/signature]
     
  8. RunningMan

    Rekisteröitynyt:
    26.10.2004
    Viestejä:
    23
    Moi.
    Juu kyllä rekisterin ole myös putsannut tuolla ccleanerillä. Havainnoin, että tuo ilmoitus yleensä pomppaa esille, kun avaa jonkin kansion. Itse kansiolla ei ole väliä, joten onkohan tuo linkittynyt jotenkin johonkin "tiedostojen hallintaan" tms.

    Nyt pompsahti tälläinen auki http://koti.mbnet.fi/tommiha/kuva_2.jpg

    Ei anna oikein hyvää listausta tuo defender, mutta eikös nuo starttaavat näy tässä hijackthis-logissa. (Otettu kun tuo ilmoitus on tuossa näkyvissä)
    Logfile of HijackThis v1.99.1
    Scan saved at 14:05:50, on 13.7.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\system32\tcpsvcs.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\Program Files\NetLimiter\NetLimiter.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Tommi\Omat tiedostot\HijackThis.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

    O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
    O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
    O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKLM\..\Run: [mwavscan] "c:\kaspersky\mwavscan.com" /s
    O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe


    [signature]1. AXP 2400+, 1 GB, GF 6600 GT, 280 GB
    2. P-M 715A, 512MB, 80GB [/signature]
     
  9. Lauri Rouhiainen

    Rekisteröitynyt:
    07.04.1999
    Viestejä:
    1 643
    Aika hepposia apuja tarjoilen, mutta koneessasi näyttäisi olevan tuo mikälienee Winantivirus-adware.

    Katsoppa tuolta

    http://en.wikipedia.org/wiki/ErrorSafe

    Ja lisää heppoista mutua:

    Jos saat Ameriikan serkulta Symantec client security 10:n, sillä luulisi lähtevän. Jos vaan saat sen asennettua :)

    EDIT:

    Eihän tommosta Client Securityä ole olemassakaan, eli versionumero taitaa olla lähempänä 3.1 kuin 10 :)[signature]Large buffers help mostly with sequential transfers -AnandTech
    Eli minun asiantuntemukseni väittää -JAT
    WinXP pyörii 7MHz prossulla ja 20MB muistilla. -MX1K[/signature]
     
  10. RunningMan

    Rekisteröitynyt:
    26.10.2004
    Viestejä:
    23
    Moro.
    Tilannetiedotusta sen verran, että Norton havitsi tuon WinFix:n ja se on nyt terminoitu. Kiitoksia vaan Lauri avusta.
    [signature]1. AXP 2400+, 1 GB, GF 6600 GT, 280 GB
    2. P-M 715A, 512MB, 80GB [/signature]
     

Jaa tämä sivu