Juuh nortoni löytää joka kerta jonku troija mut en sit tiä onko sitä olemas? netti vähä takunnu mut ei kummempaa.. Ja logista mä en tajunnu mitää ei ollu kohtaa fix niinku muis... Mut täs olis HJT jos siit ilmenis jotai... et taasko huolehin turhaa KIITOOOOS valmiiks Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:00:01, on 28.3.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\windows\system\hpsysdrv.exe C:\Program Files\Multimedia Card Reader\shwicon2k.exe C:\Program Files\A-Link\RoadRunner 11 ADSL\CnxDslTb.exe C:\HP\KBD\KBD.EXE C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/ O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: HP-näkymä - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\A-Link\RoadRunner 11 ADSL\CnxDslTb.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe" O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/wuweb_site.cab?1187985323750 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1187985304703 O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe -- End of file - 5350 bytes
Logissa ei haittaohjelmia onneksi näy, mutta kannattaa tarkastaa vähän tarkemmin: Lataa Malwarebytes' Anti-Malware työpöydällesi. Jos linkki ei toimi, voit ladata myös seuraavista linkeistä: Linkki1 Linkki2 *Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman. *Lopuksi varmistu, että seuraavat on valittu: Päivitä Malwarebytes' Anti-Malware ja Käynnistä Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Lopeta. *Jos päivitys löytyy, ohjelma lataa ja asentaa uusimman version. Jos päivityksien lataaminen ei onnistu, voit ladata päivitykset tästä. Tuplaklikkaa mbam-rules.exe asentaaksesi päivitykset. *Kun ohjelma on latautunut ja päivitykset tehty, valitse Suorita täysi tarkistus ja klikkaa Tarkista. *Kun tarkistus on valmis, klikkaa OK ja sitten Näytä tulokset nähdäksesi tulokset. *Varmistu, että kaikki on merkitty ja klikkaa Poista valitut. *Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt *Lähetä lokin sisältö seuraavassa viestissäsi.[/list] Huom. Jos Mbam ei pystynyt poistamaan tiedostoa, se pyytää sinua käynnistämään koneesi uudelleen. Käynnistä koneesi silloin uudelleen heti. Mbam voi tehdä muutoksia rekisteriisi osana puhdistusta. Jos käytät suojausohjelmaa, joka havaitsee rekisterin muutokset, salli Mbamin tehdä muutokset. ************************************************************* Skannaa koneesi Kaspersky Online Skannerilla *Lue läpi vaatimukset ja yksityisyyssäännökset ja klikkaa Accept. *Skannerin ja virustietokannan lataus alkaa. Sinulta kysytään sallitko Kasperskyltä tulevan ohjelman asentamisen. Klikkaa Aja/Run. *Kun lataus on valmis, klikkaa Settings. *Varmistu, että seuraavat kohdat on valittu. Jos ne eivät ole, valitse ne ja klikkaa Save: Spyware, Adware, Dialers, and other potentially dangerous programs Archives Mail databases *Klikkaa Oma Tietokone, My Computer Scan-kohdan alapuolelta. *Kun tarkistus on valmis, tulokset näytetään. Klikkaa View Scan Report. *Näet listan saastuneista kohteista. Klikkaa Save Report As.... *Tallenna tiedosto työpöydällesi. Muuta Tiedostotyyppi/Files of type muotoon Tekstitiedosto/Text file(.txt) ennen kuin klikkaat Save. ************************************************************** Mikäli nuo löytävät jotain, niin kopioi/liitä niiden molempien logit seuraavaan viestiisi. Mikäli tuon Nortonin ilmoitukset tulevat C:\system volume information\restore-kansiosta, niin se on järjestelmän palautuspisteiden kohdekansio jonka saa kyllä tyhjennettyä, tosin eivät ne virukset sieltä takaisin pääse pomppimaan muuten kuin tekemällä järjestelmän palautuksen. Saat ohjeet palautuspisteiden poistoon myöhemmin kunhan ensin varmistetaan ettei muualta varmasti löydy mitään Mutta skannaa koneesi ensin noilla edellä mainituilla, Mbam (Malwarebytes') kannattaa ehdottomasti jättää koneelle sen tehokkuutensa takia, ei häiritse virustorjuntaa millään tavalla. Mikäli Kaspersky ei toimi, niin esim. F-Securella on samanlainen online-skanneri jota voit käyttää (toimii ainoastaan Internet Explorerilla). http://www.virustorjunta.net/modules.php?name=Forums&file=index Tuolta kannattaa kysellä näistä asiosta hieman enemmänkin.
No niih vähä unohtu... mut joo hidastelee kyl viel... malware antibytes on koneel ei löytäny mitää... ccleaneril putsaan säännöllisesti... f secure logi oli tommonen.. Scanning Report Saturday, April 04, 2009 18:25:29 - 20:06:54 Computer name: MOMG Scanning type: Scan system for malware, rootkits Target: C:\ D:\ -------------------------------------------------------------------------------- Result: 3 malware found TrackingCookie.Adform (spyware) System TrackingCookie.Statcounter (spyware) System Trojan.Win32.Monderb.amux (virus) C:\DOWNLOAD\DCL-WRAR320KM.EXE (Renamed & Submitted) -------------------------------------------------------------------------------- Statistics Scanned: Files: 32481 System: 3847 Not scanned: 7 Actions: Disinfected: 0 Renamed: 1 Deleted: 0 None: 2 Submitted: 1 Files not scanned: C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SAM C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM C:\S�L��\WINRAR V3.20 [MULTI-LANGUAGE] INCL KEYGEN.EXE -------------------------------------------------------------------------------- Options Scanning engines: F-Secure USS: 3.0.0 F-Secure Hydra: 3.8.9080, 2009-04-03 F-Secure AVP: 7.0.171, 2009-04-03 F-Secure Pegasus: 1.20.0, 1970-00-01 F-Secure Blacklight: 0.0.0 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR Use Advanced heuristics
Jaahas, tuo F-S:n löydös on hieman epäilyttävä vaikka se onkin uudelleennimetty F-S:n toimesta ja siten myös vaaraton, eikä koneesi toiminta ihan täysin normaalilta kuulosta :/ Nuo TrackingCookiet ovat vaarattomia Itse en uskalla ajattaa koneellasi mitään tuon kummempia työkaluja kun en ole saanut minkäänlaista koulutusta niiden käyttöön, en halua sitä vahinkoa omalletunnolleni että jokin putsauksissa käytetty erikoisohjelma vetäisee käyttiksesi solmuun http://www.virustorjunta.net/modules.php?name=Forums&file=index Joten käy kysymässä tuolla vt.netissä, yllä linkki, tai laita suoraan nuo logit sinne HjT-osioon tutkittaviksi, täällä Afterdawnissa ei näihin asioihin kunnolla perehtyneitä fiksaajia ole vähään aikaan näkynyt, tosin muutamissa erikoistapauksissa muutama vt.netin jäsen on tännekin vastaillut.
Jooh kiits avusta Mihihä on hujo ym hävinny Nooh jos siel jotai troija rippeitä on ni pistän putsate vanhoil ohjeil mitä oon täältä saanu tehny ennenki niin. Toi jotenki hidastelee niiiiin mielettömästi toi virustorjunta neti sivusto.
Eiei, älä vaan missään tapauksessa käy omatoimisesti ajelemaan mitään ohjelmia randomisti läpi vaan käänny vaan osaavien puoleen, vt.net kyllä ajoittain hidastelee, onhan kyseessä kuitenkin Nebulan serveri, heh Noista omatoimisesti ajetuista ComboFixeistä yms. ohjelmista olen nähnyt aiheutuvan kaikenlaista ongelmaa ja käyttäjät ovat ajautuneet niiden kanssa niin pahoihin vaikeuksiin, ettei vaihtoehtona ole ollut muuta kuin format c... Eli laita vaan ne logit tuonne vt.netiin
nooh kokeillaa kuin hidas on... oon kyl ennenki ajellu niil ja ehjänä pysny kone oikee hyvin mut... ehkä sit kokeilen sitä vt nettii kiits sulle
Jep. Ihan vaan ettei mitään jäisi epäselväksi: Siksi ei noita ohjelmia kannattaisi mennä omineen ajelemaan, koska jos jokin virus sattuisi saastuttamaan jonkin kriittisen windowsin tiedoston (esimerkkinä mainittakoon vaikka userinit.exe tai winlogon.exe tjms) ja jokin käytetyistä työkaluista (esim. Combofix) sitten sen sattuisi poistamaan, niin tuolloin olisi käyttäjä täysin hukassa eikä enää tietäisi mitä tehdä. Osaava fiksaaja tietää nämä tuollaiset riskit, sekä tietää miten tuollaiset tiedostot saa puhdistettua, tai jos ei muuten niin korvattua ehjillä/puhtailla tiedostoilla ennenkuin tuollaista vahinkoa pääsee edes tapahtumaan. Lisäksi jonkin tuollaisen vahingon sattuessa syystä tai toisesta se osaava fiksaaja tietää esim. miten ComboFixin palautuskonsolia käytetään jolla saadaan pattitilanne pelastettua. Lisäksi et varmaankaan osaisi tehdä skriptejä/rekisterifiksejä jos jokin ohjelma ei ole onnistukaan jostain syystä poistamaan haittaohjelman tiedostoja koneelta tai rekisteri on haittaohjelman takia sekaisin kun sinne on kirjoitettu uusia arvoja niiden Winukan omien rekisteriarvojen päälle (noita sattuu suht' usein). Joten jatkossa ota vaan yhteyttä tuonne vt.nettiin äläkä ajele noita ohjelmia ominpäin, siellä tietävät millä työkaluilla se matolaatikko saadaan puhtaaksi ilman edellä mainittuja mahdollisesti syntyviä ongelmia. Muutenkaan ei ole mitään järkeä/kannattavaa ajella täysin randomisti työkaluja koneella siinä toivossa että jokin niistä mahdollisesti ongelmaan auttaisi, vaan juurikin se osaava fiksaaja tietää mitä pitää koneella ajaa ja mitä ne ohjelmien logit kertovat, jotta voidaan taas siirtyä mahdollisesti johonkin toiseen oikeaan työkaluun, ellei sitten sen edellisen kanssa tarvitse vielä pientä "hienosäätöä" tehdä. "Maallikoille" ja Pertti Peruskäyttäjille ehkä hieman sekavaa ja vaikeasti ymmärrettävää tekstiä ainakin joiltain osin, mutta tuon paremmin en asiaa osaa selittää. Jos jotain tuosta jää puuttumaan, niin eiköhän joku vt.netin fiksaajista tätä jollain tapaa kommentoi, muutamat heistä seurailee tätäkin foorumia
Kiits Nooh ihan maallikko en oo jonku verra on tullu näitä putsattuu ni ymmärsin kyl Joo en ajele ennenku tiän millä ajan laitoin viestii sinne vt nettii
