Arvoituksena "downloader.murlo.ez"

Nonniin, nyt onnistui. Tässä Avengerin logi:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\srkrhxqd

*******************

Script file located at: \??\C:\WINDOWS\gdfihgid.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Program Files\Common Files\Microsoft Shared\MSINFO\Netlog.exe not found!
Deletion of file C:\Program Files\Common Files\Microsoft Shared\MSINFO\Netlog.exe failed!

Could not process line:
C:\Program Files\Common Files\Microsoft Shared\MSINFO\Netlog.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.




Pääni on jo kauan aikaa sitten mennyt sekaisin tämän prosessin kanssa. Toivottavasti sulla ei ole mennyt, hyvä Auttaja

 

Kopioi seuraava teksti notepadiin

@echo off
sc stop "Windows Network Log"
sc delete "Windows Network Log"

Tallenna nimellä FIX.BAT työpöydälle muotoon kaikki tiedostot

tuplaklikka hiirellä FIX.BAT

Laita uusi logi, taas

 

OK, tein kuten käskit. Tässä uusi hijack logi (oletin että uudella logilla tarkoitit Hijack logia)


Logfile of HijackThis v1.99.1
Scan saved at 9:46:35 PM, on 3/23/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\Program Files\SAMSUNG\FW LiveUpdate\Liveupdate.exe
C:\Program Files\QuickTime\qttask.exe
E:\Ohjelmat\QuickTime\iTunesHelper.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Ohjelmat\Hijack this!\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [Name of App] C:\Program Files\SAMSUNG\FW LiveUpdate\Liveupdate.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Ohjelmat\QuickTime\iTunesHelper.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "E:\Ohjelmat\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://E:\Ohjelmat\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Ohjelmat\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - http://www.px24.com/ax/px_client_en.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advan...mfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - E:\AVG Antivirus\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Windows Network Log (Windows Network Log Manage) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSINFO\Netlog.exe (file missing)

 

http://personal.inet.fi/atk/ensiapu/

Aja tuon ohjeen mukaan f-secure ja laita sitten raportti, tää varmistaa van sen että kone on puhdas

Toivon että on.

 

Nonniin, F-Secure on ajettu ja tässä sen raportti:




Scanning Report
Friday, March 23, 2007 22:23:36 - 22:58:42
Computer name: AH-1123
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ E:\


--------------------------------------------------------------------------------

Result: 1 malware found
Trojan-Downloader.Win32.Tibs.kc (virus)
C:\WINDOWS\SYSTEM32\HYOUIIEA.EXE (Renamed & Submitted)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 19193
System: 3569
Not scanned: 3
Actions:
Disinfected: 0
Renamed: 1
Deleted: 0
None: 0
Submitted: 1
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure AVP: 7.0.171, 2007-03-23
F-Secure Blacklight: 1.0.53, 0000-00-00
F-Secure Draco: 1.0.35, 0260-02-44
F-Secure Libra: 2.4.2, 2007-03-22
F-Secure Orion: 1.2.37, 2007-03-23
F-Secure Pegasus: 1.19.0, 2007-02-15
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics






Mitäs sitten?

 

Kohta alkaa ohjelmatkin jo loppua Sori oli pakko.

 

Joo, morkatkaa vaan. Alkaahan tämä tuntumaan jo aika surrealistiselta

 

Homma on niin, että tuo murlo.ez löytyy edelleen AVG:n skannauksesta?

Mitään neuvoja jäljellä?

 

Aja netin kaikki mahdolliset online scannerit: kaspersky, panda, bit defender, f-secure, norton, ... ja toivo parasta. Yritin etsitä tietoa että mitä tuo murlo.ez tekee, mutta eipä löytynyt kummoisia nopeasti haettuna. Voit silti etsiä jos jotain löytyis.

Estäppä sen murlo.ez pääsy nettiin, palomuurista/ virustorjunnasta. Eipä tuu ainakaan lisää kakkia.

 

Ongelmana on se, että jos tuon Murlo.ezin poistaa, en saa enää yhteyttä verkkoon... Sama varmaan pätee, jos estän sitä pääsemästä internettiin?

Joo, itsekään en löytänyt asiasta mitään tietoa netistä. Ja alkaa olemaan jo tosi huolestuttavaa jos edes AfterDawnin tietokonenerot eivät osaa ratkaista tätä ongelmaa Tietokoneeni on ilmeisesti tekemässä taas yhtä maailman oudointa maailman ennätystä.

 

Takuuapu!

Nettisivu http://www.trendmicro.com/download/dcs.asp
Ohjeet Enkuksi Täällä http://www.trendmicro.com/ftp/products/tsc/readme.txt

V. How to Use

1. Tee oma hakemisto minne asennat (purat) ladatut tiedostot.

2. Lataa sysclean http://www.trendmicro.com/ftp/products/tsc/sysclean.com TÄÄLTÄ tekemääsi kansioon.

3. Lataa päivitykset http://www.trendmicro.com/download/pattern.asp TÄÄLTÄ tekemääsi kansioon.

4. Pura sysclean ja päivitykset samaan kansioon.

5. Irrota nettipiuha

6. Sammuta antivirusohjelmasi ja palomuurisi

7. Tuplaklikkaa SYSCLEAN.COM tiedostoa.

8. Kun sysclean on valmis, Käynnistä palomuuri ja antiviruksesi ja scannaa koko koneesi antivirusohjelmallasi.

9. Kun kaikki noi toimenpiteet on tehty, niin yhdistä koneesi nettiin ja lähetä SYSCLEAN.LOG ja pyydetyt lokit

HUOM. Työkalu tekee lokin SYSCLEAN.LOG samaan kansioon missä scanneri on.

 

Heippa taas Auttaja,

Kumma juttu, ajoin nyt safe modella AVG:n eikä se enää löytänyt mitään murlo.ez-filettä koneeltani, vaikka en mitään toimenpiteitä ole tehnyt sitten viime kerran. Muutenkin näyttää olevan ihan puhdas kone AVG:n mukaan. Kannattaisiko siltikin ajaa tuo sysclean mielestäsi?

 

Aja pois, ei se pahaa tee

 

Tääkin vähän nolottaa sanoa, mutta mitäs päivityksiä tohon syscleaniin otetaan? Siellä sivuillahan on mieletön määrä kaikkia juttuja mitä pitäisi ottaa, mutta en oikein pääse perille niistä?

 

lataa kaikki kohdista Virus Pattern Files / Cleanup Templates, Spyware Pattern Files / Cleanup Templates, Network Virus Pattern ja Vulnerability Assessment (VA) Pattern