marshal.dll virus

joo elikkä tommonen virus tuli eilen ku kaveri näytti mukamas hauskan sivun. avasti torju sen ja siirsin karanteeniin. tänään kun aukasin koneen niin avasti ilmoitti löytäneen sen uudestaan ja siirsin karanteeniin. ennen toista ilmoitusta löysin kyseisen tiedoston "etsi" ohjelmalla mutta sitä ei voi poistaa ja kun olin laittanut sen karanteeniin niin en löytänyt sitä tiedostoa "etsi" ohjelmalla. tuommonen C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL. mites nyt pitäisi toimia? voinko luottaa nyt siihen että se pysyy karanteenissa vai tuleeko se taas kun käynnistän koneen uusiksi?

lisäystä vielä:

tässä vähän lokia avastin raporttikatselijasta

käyttäjä: minä sovellusohjelma: 4012 kuvaus: Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL"file

käyttäjä: minä sovellusohjelma: 240 kuvaus: Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL"file

ylempi minkä löys eilen ja alempi tänään

 

P2P networking on haittaohjelma. Poista se ohjauspaneelin kautta (lisää/poista sovellus). Tyhjennä myös avastin karanteeni. Jos ei auta -> Laita HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.

 

poistin p2p ja tyhjensin karanteenin. tässä loki

Logfile of HijackThis v1.99.1
Scan saved at 12:13:32, on 10.3.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fi/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\APPS\skype\phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "D:\hl2\Steam.exe" -silent
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fin.htm
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

 

Kazaan poistoa suosittelen lämpimästi, on roskapesäke. Muuten loki on ok.

 

kiitos!

 

niin vielä tuosta p2p netwonkingista. taisi kuitenkin jäädä "lisää/poista" homman jälkeen jotain tiedostoja vai?

P2P NETWORKING.EXE-3470F776.pf C:\WINDOWS\PREFETCH
P2P NETWORKINGP2P.EXE-113470C3.pf C:\WINDOWS\PREFETCH
p2p.dll C:\WINDOWS\system32
p2pgasvc.dll C:\WINDOWS\system32
p2pgraph.dll C:\WINDOWS\system32
p2pnetsh.dll C:\WINDOWS\system32
p2psvc C:\WINDOWS\system32

 

Nuo kaksi ensimmäistä voi poistaa, ovat vaan prefetchejä, tiedostoja ei enää ole olemassa. Muut ovat tietääkseni windowsin omia dll-tiedostoja, koska löytyvät myös omasta koneestani Eli niitä ei kannata kyllä poistaa.

 

ok ja kiitos taas

 

Mikäli ifa haluat varmistua ohjelmalla puhtaudesta niin käy ewidolla läpi. -> http://keskustelu.afterdawn.com/thread_view.cfm/269186
Samalla on ohjeet ja mikäli ja ajat ja jotain löytyy niin suosittelen laittamaan vielä tänne analysoitavaksi.

 

tässä ewidon raportti

---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------

+ Created on: 14:49:35, 10.3.2006
+ Report-Checksum: 39483354

+ Scan result:

HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer -> Adware.P2PNetworking : Cleaned without backup
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer\CLSID -> Adware.P2PNetworking : Cleaned without backup
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer\CurVer -> Adware.P2PNetworking : Cleaned without backup
HKLM\SOFTWARE\Classes\WebP2PInstaller.Installer.1 -> Adware.P2PNetworking : Cleaned without backup
C:\Program Files\Altnet -> Adware.Altnet : Cleaned without backup
C:\Program Files\Altnet\DBBackup -> Adware.Altnet : Cleaned without backup
C:\Program Files\Altnet\DBBackup\Sigfiles.db -> Adware.Altnet : Cleaned without backup
C:\Program Files\Altnet\Download Manager -> Adware.Altnet : Cleaned without backup
C:\Program Files\INSTAFINK -> Adware.404Search : Cleaned without backup
C:\Program Files\RXToolBar -> Adware.RXToolbar : Cleaned without backup
C:\RECYCLER\S-1-5-21-3484776858-4123570926-3132503677-1006\Dc3\TopSearch.dll -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010713.dll -> Adware.BrilliantDigital : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010714.dll -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010715.dll -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010716.exe -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010718.dll -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010719.dll -> Adware.Altnet : Cleaned without backup
C:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP35\A0010720.dll -> Adware.Altnet : Cleaned without backup
D:\Documents and Settings\antti\Cookies\antti@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned without backup
D:\Documents and Settings\antti\Cookies\antti@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned without backup
D:\Documents and Settings\antti\Local Settings\Temp\asmfiles.cab/asm.exe -> Adware.Altnet : Cleaned without backup
D:\Documents and Settings\antti\Local Settings\Temp\asmfiles.cab/asmps.dll -> Adware.Altnet : Cleaned without backup


::Report End

 

Noita vähän odottelinkin, että varmasti poistuvat. Nyt pitäs olla asteen puhtaampi vielä

 

niin vielä sellasta että jäi tonne avastiin kummittelemaan joku juttu.

taustasuojaus

tartuntoja: 1

viimeksi tartunnan saanut: C:\System volume information\_restore{214986C9-2D86-4D74-8DFD-F9210943C32C}\RP78\A0014041.DLL

ajoin ewidon ja avastin eikä löytänyt mitään mutta silti lukee että tartuntoja on 1.

 

Tuossa ohje tuohon http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleansystemrestore.shtml


C:\System volume information\_restore{214986C9-2D86-4D74-8DFD-F9210943C32C}\RP78\A0014041.DLL

 

Huomaa tässä se, että edelliset palautuspisteet lähtevät! Mutta suotavaa tehdä ettei kone saastu jos päätätkin palauttaa koneen edellisiin pisteisiin ja samalla poistuu varmasti virhe ilmoitus.

 

hmm nyt kun käynnistin koneen ekan kerran tänään virheilmoitus on lähtenyt. tartuntoja taustasuojauksessa 0 ja "viimeksi tartunnan saanut" kohdassa ei lue mitään. ja koneen käynnistyksessä vilahti outo valikko mitä ei ennen ole näkynyt. siinä ennen windows logoa. rutjakkeen neuvoa en vielä tehnyt mutta ilmoitus oli hävinnyt itsestään.

 

No itsestään oikeastaan mikään ei tapahdu syy - seuraus aina. Mutta Rutjaken linkin ohjetta ei tarvitse sitten tehdä jos ei vaivaa enään.