HijackThis logi backdoor poebot.b

Jussin lokinPUOLIKKAASSA ei näy muuta fixattavaa kuin tuo
R3 - URLSearchHook: (no name) - {DB4CA3DA-A8B2-4BEE-BAD4-0B002E12F30E} - (no file)

HjT:n asennuspaikka on kyllä hanurista, tämä näyttäisi PALJON paremmalta C:\HjT\HijackThis.exe

 

Hyvä homma, erittäin iso kiitos avusta! Palaan asiaan jos sitkeitä örkkejä ilmaantuu lisää

 

Tämä sopii minulle

 

siis en ymmärrä en oo laittanu sitä minnekkää' tollassee mestaa se on mulla jossain vastaan otetuissa kansisoissa..
miten se on oikee tuolla?
pitäiskö sen temp kansion olla tyhjä mulla on siellä 450 tiedostoo en tiedä mitä??!

 

lettas, en ole ohjetta tehnyt mutta gerbiilillä on sellainen harkinnassa.

jussi_vaa, siinähän se oikeapaikka on lainauksessasi. Kyllä niitä TEMP kansioita kannattaisi tyhjennellä suht säännöllisesti.

 

njuuh vois kai sen sit tyhjentää..;D

 

Terve taas. Ostin uuden koneen ja heti siellä alkaa Norman huutelemaan muuttuneista tiedostoista jne. Onko tuossa lokissa jotain mätää?

Logfile of HijackThis v1.99.1
Scan saved at 22:34:02, on 29.6.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
C:\Program Files\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Norman\Nvc\BIN\NPFSVICE.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\BIN\npfmsg2.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Olpp\Omat tiedostot\Ladatut\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://laajakaista.elisa.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PMCS] C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\Norman\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

 

PoeBot iski koneelle kun formatoin ja oli jopa netistä irti... laitoin avastin ja sygaten ja iskin nettiin, backdoorihan sieltä tuli, sittemmin tapeltu sen kanssa eikä mitään tunnu auttavan. eScan löysi 11 kohdetta ja nimesi uudelleen, botti tuli takas 10 sekunnissa... Juu SP2 pitäs asentaa, kellään linkkiä?
Tässäpä Hijack This logi:

Logfile of HijackThis v1.99.1
Scan saved at 22:44:36, on 20.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Ohjelmat\Sygate PF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Ohjelmat\Avast!\ashDisp.exe
D:\Ohjelmat\Messenger Plus\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Ohjelmat\a2\a2guard.exe
D:\Ohjelmat\Avast!\aswUpdSv.exe
D:\Ohjelmat\Avast!\ashServ.exe
D:\Ohjelmat\Ewido\security suite\ewidoctrl.exe
D:\Ohjelmat\Ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
D:\Ohjelmat\Avast!\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
D:\Ohjelmat\Avast!\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Ohjelmat\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Ohjelmat\Adobe Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Ohjelmat\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\Ohjelmat\Avast!\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] D:\Ohjelmat\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Ohjelmat\Messenger Plus\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a-squared] "D:\Ohjelmat\a2\a2guard.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Ohjelmat\Adobe Acrobat\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129325965703
O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.techsmith.com/codec/tsccinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Ohjelmat\Avast!\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Ohjelmat\Avast!\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Ohjelmat\Avast!\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Ohjelmat\Avast!\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Ohjelmat\Ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Ohjelmat\Ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Ohjelmat\Sygate PF\smc.exe

 

Et sitten yhtään vanhempaa ketjua löytänyt? Täällä on nykyään viruksille ja haittaohjelmille oma palsta. Loki näyttäisi puhtaalta(paitsi MessengerPlussan &/#¤¤""%#&&), Avastiko siitä hälyyttää?? Sanooko Ewido mitä?? Laita se eScanin loki tänne näytille.

 

ensimmäinen ketju joka tuli vastaan PoeBot nimellä... Juu avasti hälyyttää, ajan eScanin ja ewidon ja laitan logia tänne

 

noniin, ewido löysi 3 virusta ja "poisti" ne, avast! herjaa edelleen...
eScan ei löytäny mitään...

Mitä pitäs tehdä, aika häiritsevää tuo avastin ilmottelu.

EDIT* heh joo... eipä tullu heti mieleen...

 

Noniin formatoin koneen (taas) uusiksi ja sama ongelma "pompsahti" heti ruudulle...
http://img476.imageshack.us/img476/6940/ilmotus7lg.jpg

EDIT: nyt ei ole avast enää valittanut mitään viruksista tms. eikä löydä mitään... mutta tuollasia ilmotuksia tulee parin minuutin välein... millä softalla nämä saa poistettua?

tässä vielä yksi esimerkki kyseisestä ongelmasta=
http://img488.imageshack.us/img488/3726/ongelma2bb.jpg

 

Ota viestinvälityspalvelu pois käytöstä.

Käynnistä -> suorita -> services.msc -> ok -> etsi listalta viestienvälityspalvelu -> tuplaklikkaa sitä, paina seis ja valitse käynnistymistavaksi "ei käytössä" Auttoiko?

 

Auttoi, kiitos!!!

Mutta avasti tuli takas tai siis PoeBot.D

Avasti herjaa välillä tuosta eikä onnistu poistamaan sitä... muut ohjelmat ei löydä mitään:..

 

Kokeile tällä -> http://www.softpedia.com/get/Antivirus/F-Secure-F-Bot-cleaner-tool.shtml
ja sieltä klikkaa download.

 

ei löytänyt mitään... avast herjaa edelleen PoeBotista...

 

Jollei löydä, niin luulen, että Avast!:in väärä hälytys koko juttu. Koska eScan ei löytänyt aiemmin myöskään.

 

no mitenkäs tuon hälytyksen sais blokattua... se kun on jokseenkin häiritsevää... pitäskö vaihtaa anti-virus softaa??