Elikkä antivir löytää yhdestä mp3 tiedostostani EXP/ASF.GetCodec.Gen nimisen viruksen. tiedostoa ei pysty lisäämään foobariin joten varmaan joku pöpö on. tiedosto ei ole exe tai muu vastaava vaan ihan mp3. olisi kiva tietää onko tuo pöpö jotenkin saastuttanut konetta. antivir logista: Begin scan in 'D:\kansio\08-rihanna-disturbia__craig_cs_disturbstram ental_mix_.mp3' D:\kansio\08-rihanna-disturbia__craig_cs_disturbstramen tal_mix_.mp3 [DETECTION] Contains recognition pattern of the EXP/ASF.GetCodec.Gen exploit kiitos vastauksista etukäteen. virustotalin scan tulos: Complete scanning result of "08-rihanna-disturbia__craig_cs_disturbstramental_mix_.m p3", processed in VirusTotal at 11/17/2008 06:37:02 (CET). [ file data ] * name..: 08-rihanna-disturbia__craig_cs_disturbstramental_mix_.mp3 * size..: 11565140 * md5...: 295e1c069ccccbe8a14adef9ce9514eb * sha1..: abd3b8a51df20b4c91bea30f55d03c25ff67b841 * peid..: - [ scan result ] AhnLab-V3 2008.11.14.3/20081117 found nothing AntiVir 7.9.0.31/20081116 found [EXP/ASF.GetCodec.Gen] Authentium 5.1.0.4/20081117 found nothing Avast 4.8.1281.0/20081116 found [WMA:Wimad] AVG 8.0.0.199/20081116 found nothing BitDefender 7.2/20081117 found [Trojan.Wimad.Gen.1] CAT-QuickHeal 10.00/20081115 found nothing ClamAV 0.94.1/20081117 found nothing DrWeb 4.44.0.09170/20081117 found nothing eSafe 7.0.17.0/20081116 found nothing eTrust-Vet 31.6.6209/20081114 found [ASF/Wimad!generic] Ewido 4.0/20081116 found nothing F-Prot 4.4.4.56/20081116 found nothing F-Secure 8.0.14332.0/20081117 found nothing Fortinet 3.117.0.0/20081115 found nothing GData 19/20081117 found [Trojan.Wimad.Gen.1] Ikarus T3.1.1.45.0/20081117 found nothing K7AntiVirus 7.10.526/20081115 found nothing Kaspersky 7.0.0.125/20081117 found nothing McAfee 5436/20081116 found nothing Microsoft 1.4104/20081117 found [TrojanDownloader:ASX/Wimad.I] NOD32 3616/20081117 found [a variant of WMA/TrojanDownloader.GetCodec.gen] Norman 5.80.02/20081114 found nothing Panda 9.0.0.4/20081116 found nothing PCTools 4.4.2.0/20081116 found nothing Prevx1 V2/20081117 found nothing Rising 21.04.00.00/20081117 found [Trojan.DL.Win32.GetCodec.b] SecureWeb-Gateway 6.7.6/20081116 found [Exploit.ASF.GetCodec.Gen] Sophos 4.35.0/20081117 found nothing Sunbelt 3.1.1801.2/20081114 found nothing Symantec 10/20081117 found nothing TheHacker 6.3.1.1.155/20081115 found nothing TrendMicro 8.700.0.1004/20081117 found nothing VBA32 3.12.8.9/20081116 found nothing ViRobot 2008.11.17.1471/20081117 found nothing VirusBuster 4.5.11.0/20081116 found nothing tiedän siis että kysessä on varmaan jonkun moinen virus koska tiedosto ei edes toimi mutta mitä se on koneelleni mahdollisesti tehnyt? HJT Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:49:55, on 17.11.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\COMODO\COMODO Internet Security\cfp.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\foobar2000\foobar2000.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.11\RivaTunerWrapper.exe" /S O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE') O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwa...ash.cab O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe Mbam ja superin free versio scannattu ja mitään ei löytänny. (ei ollu vikasietotilassa)
Moi "Jupsu" oltiin samaan aikaa fixari koulussa !!! Se toinen logi jonka lähetit VT:nettiin oli puhdas ja tässäkään ei ole muutakuin poistat tuon mp3:sen (tarviitko tarkemmat ohjeet ?) D:\kansio\08-rihanna-disturbia__craig_cs_disturbstramen tal_mix_.mp3 D: .
selvä, kiitos paljon.. ai oltii samaa aikaa.. no mulla se jäi "vähän" kesken se hjt koulu kun innostus meni. liian aikaa vievää oli siinä alissa löytää oikeat ohjeet että pää meinasi hajota.. varmaan se helpompaa sitten on ku olis "valmistunnu" ku ois perus asiat tienny. mutta, poistelen ton tiedoston (oli kyllä jos poistettu muutenki). onko sulla tietoa mitä toi tiedosto mahollisesti tekis koneelle jos pääsis jotain tekemään, ja millä mp3 soittimella mahtas olla tohon joku haavoittuvuus ku foobarilla ei ainakaa mitään tullut..=)
Enpä ole kerinnyt tutia sen sielunelämää. Mutta noita vastaavan näköisiä ilmestyy silloin täälöin koneille Terolla se poisti winampin koneelta useamman kerran, kunnes se mp3 poistettiin. PS. Tosi on se HJT koulu. mulla meni 8 kk vaikka lähes jokapäivä olin asialla HI D:
muuten yhtä et huomannut..=) mutta "2" palomuuria.. comodo jättänny vanhanki exen tonne käynnistymää ku jouduin uudellee asentaa ku ei enää security centteri tunnistannu comodoa ku tuli toi uus 3.5 päivitys.. nojoo.. nyt ei enää ole kahta comodoa ku poistin uudellee ja käytin jonku comodo uninstallerin läpi.. alkaa men hermo ton securitycentterin kaa ku eka wines et palomuuri puuttuu sit korjasin sen ja nyt ilmottelee et ei antivirusta vaik antivir koneella.. noh antaa olla sit ku ei tykkää musta.. toivottavasti uusimmassa windowsissa taas korjattais jotain näytä ihania bugeja.
msconfigista tuo kannattais ruxia käynnistyvistä pois COMODO Internet Security Nuo joutaa HJT:llä pois kans: O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE') Mulla on Vista koneessa SP1 ollut 2 kk vistan oma palomuuri ainoastaan. Se kysyy luvan uusille ohjelmille luvan ulosmenoon ja sisälle tuloon. Enkä laita muuta ennenkun joku tai jollain tapaa todistetaan sen olevan kelvoton kokeile. Laita logi niin katsotaan. D: PS. Kyllä sitä S-Centerin ilmoittelua voi ohjata turhia rutkuttamasta.
mä oon tykästynny comodoo nii en kyl siit luovu..=) enbkä kyl tohon vistan omaan luota vaikka ihan ok olisikin, onhan se microsoftin tekemä ja se kertoo jo paljon..
