Ongelmana reader_s.exe?

Discussion in 'Virukset ja haittaohjelmat - HijackThis -logit' started by inufin, Dec 7, 2009.

  1. inufin

    inufin Member

    Joined:
    Jan 19, 2009
    Messages:
    9
    Likes Received:
    0
    Trophy Points:
    11
    Kone löi lukkoa oman typeryyteni takia ja olen nyt yrittänyt saada tätä taas pelittämään.

    Ongelmana taitaa olla reader_s.exe.

    Googletuksen perusteella ainakin sain semmoisen kuvan asiasta, ajattelin että jos joku viisaampi osaisi neuvoa esim millä ohjelmalla kannattaa skannailla.

    Käytän windowsin omaa palomuuria ja konetta skannasin Ad-Awarella, joka löysi reader_s.exe:n ja siirsi sen karanteeniin.


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:49:10, on 7.12.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    I:\WINDOWS\System32\smss.exe
    I:\WINDOWS\system32\winlogon.exe
    I:\WINDOWS\system32\services.exe
    I:\WINDOWS\system32\lsass.exe
    I:\WINDOWS\system32\svchost.exe
    I:\WINDOWS\System32\svchost.exe
    I:\WINDOWS\system32\svchost.exe
    I:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    I:\WINDOWS\system32\spoolsv.exe
    I:\Program Files\Bonjour\mDNSResponder.exe
    I:\WINDOWS\system32\FastNetSrv.exe
    I:\Program Files\Java\jre6\bin\jqs.exe
    I:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
    I:\WINDOWS\system32\svchost.exe
    i:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
    I:\WINDOWS\system32\svchost.exe
    I:\WINDOWS\system32\Pen_Tablet.exe
    I:\Program Files\bin32\nSvcAppFlt.exe
    I:\Program Files\bin32\nSvcIp.exe
    I:\WINDOWS\Explorer.EXE
    I:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
    I:\WINDOWS\system32\Pen_Tablet.exe
    I:\WINDOWS\system32\wscntfy.exe
    I:\WINDOWS\system32\wininet.exe
    I:\WINDOWS\system32\RUNDLL32.EXE
    I:\WINDOWS\system32\RUNDLL32.EXE
    I:\WINDOWS\System32\reader_s.exe
    I:\WINDOWS\system32\av_md.exe
    I:\Program Files\Windows Live\Messenger\msnmsgr.exe
    I:\WINDOWS\system32\ctfmon.exe
    I:\WINDOWS\System32\svchost.exe
    I:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    I:\Program Files\Internet Explorer\iexplore.exe
    I:\WINDOWS\System32\svchost.exe
    I:\WINDOWS\System32\svchost.exe
    I:\WINDOWS\System32\svchost.exe
    I:\WINDOWS\System32\svchost.exe
    I:\WINDOWS\System32\svchost.exe
    I:\WINDOWS\system32\svchost.exe
    I:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
    I:\WINDOWS\system32\NOTEPAD.EXE
    I:\Program Files\WinRAR\WinRAR.exe
    I:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    F3 - REG:win.ini: load=I:\WINDOWS\fonts\services.exe
    F3 - REG:win.ini: run=I:\WINDOWS\fonts\services.exe
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [ctfmon] RUNDLL32.EXE I:\WINDOWS\system32\fgjk4wvb.dll,w
    O4 - HKLM\..\Run: [ogymhu] RUNDLL32.EXE I:\WINDOWS\system32\msvhyium.dll,w
    O4 - HKLM\..\Run: [reader_s] I:\WINDOWS\System32\reader_s.exe
    O4 - HKLM\..\Run: [av_md] I:\WINDOWS\system32\av_md.exe
    O4 - HKCU\..\Run: [msnmsgr] "I:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [reader_s] I:\Documents and Settings\J0gg3\reader_s.exe
    O4 - HKCU\..\Run: [av_md] I:\Documents and Settings\J0gg3\av_md.exe
    O4 - HKCU\..\Run: [shccde] I:\WINDOWS\system32\winssled.exe
    O4 - HKCU\..\Run: [qaswww] I:\WINDOWS\system32\jdsuml.exe
    O4 - HKLM\..\Policies\Explorer\Run: [exec] I:\WINDOWS\fonts\services.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
    O4 - HKUS\S-1-5-18\..\Run: [av_md] I:\Documents and Settings\Juukelispuukelis\av_md.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [av_md] I:\Documents and Settings\Juukelispuukelis\av_md.exe (User 'Default user')
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: i:\windows\system32\nvlsp.dll
    O10 - Unknown file in Winsock LSP: i:\windows\system32\nvlsp.dll
    O10 - Unknown file in Winsock LSP: i:\windows\system32\nvlsp.dll
    O10 - Unknown file in Winsock LSP: i:\windows\system32\nvlsp.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - I:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - I:\WINDOWS\system32\svshost.dll
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - I:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: fastnetsrv Service (fastnetsrv) - Netopsystems A - I:\WINDOWS\system32\FastNetSrv.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - I:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - I:\Program Files\bin32\nSvcAppFlt.exe
    O23 - Service: ICF - Unknown owner - I:\WINDOWS\system32\svchost.exe:exe.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - I:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - I:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
    O23 - Service: Nero BackItUp Scheduler 4.0 Nerolanmanworkstation (Nerolanmanworkstation) - Unknown owner - I:\WINDOWS\system32\activedsl.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - I:\WINDOWS\system32\GameMon.des.exe (file missing)
    O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - I:\Program Files\bin32\nSvcIp.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - i:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
    O23 - Service: TabletServicePen - Wacom Technology, Corp. - I:\WINDOWS\system32\Pen_Tablet.exe

    --
    End of file - 6679 bytes


    Muokkaus:

    Haluan vielä mainita että koneeni oli laitevian takia huollossa ja kun se nyt on tullut takaisin kone oli ihan jumissa ja mm työpöydällä oli shortcutteja pornosivujen nimillä.

    En avannut linkkejä mutta ominaisuuksista näki että se veisi tämäntyyppisille sivuille:
    "I:\Program Files\Internet Explorer\IEXPLORE.EXE" http://clicks.totemcash.com/?s=42801&p=21&pp=1

    En tiedä mikä nämä linkit työpöydälle laittaa/laittoi, koska en tajunnut katsoa mitä poistin Ad-Awarella. (Poistin jotain keksejä ja jonkin madon.)
     
    Last edited: Dec 7, 2009
    inufin, Dec 7, 2009
    #1
  2. Hujo

    Hujo Guest

    Koneella ei ole virustorjuntaa
    Parempi on että pistät koneen Formatointiin ja asennat käyttöjärjestelmän uudelleen.
    ja ennen nettiin tuloa Koneella pitää olla virustorjunta ja palomuuri
     
    Last edited by a moderator: Dec 7, 2009
    Hujo, Dec 7, 2009
    #2
  3. 79atanos

    79atanos Regular member

    Joined:
    May 19, 2008
    Messages:
    1,945
    Likes Received:
    15
    Trophy Points:
    48
    Hujo: Turha homma, kyseessä on Virut.

    Virut on tiedoston saastuttaja ja backdoor samassa purkissa. Virutin tiedetään ainakin saastuttavan seuraavan listan mukaiset tiedostot:
    .htm
    .html
    .php
    .asp
    .exe
    .rar
    .scr
    .jpg
    .pdf
    .doc

    Virutin puhdistamisessa ei ole oikeastaan kuin yksi vaihtoehto: Käyttöjärjestelmän uudelleenasennus.



    Tietokoneesi on saastunut Virutilla!!
    Virut on tiedostoja saastuttava virus, joka pystyy muuttamaan itseään joka kerta ajettaessa. Lisäyksenä että, joskus se tiedosto tuhoutuu, jonka Virut yrittää saastuttaa.
    Näiden takia Virutia ei voida puhdistaa. Sinun täytyy asentaa käyttöjärjestelmä uusiksi tässä koneessa.


    http://free.avg.com/66558
    - Virutin saastuttaessa tiedostoja, se luo myös käyttämättömiä tiedostoja, jotka sisältävät viruksen.

    http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=143034
    -Virut on monimuotoinen huomaamaton tiedostojen saastuttaja, IRC Botin ominaisuuksilla. Se voi hyväksyä komentoja ladatakseen muita haittaohjelmia saastuneelle koneelle. Se lisää suoritettavan tiedoston omaa salattua koodiaan.

    Miekiemoes, yksi MS MVP (Microsoft Most Valuable Professional) -statuksen saaneista henkilöistä, on kirjoittanut blogissaan Virutista (englanniksi).



    inufin, älä missään tapauksessa ota varmuuskopioita vaan vedä kaikki sileäksi, muuten niiden varmuuskopioiden kautta tuo Virut leviää uudestaan!
     
    Last edited: Dec 7, 2009
    79atanos, Dec 7, 2009
    #3
  4. Hujo

    Hujo Guest

    79atanos

    Jep kattoin tuossa samaa et kone täynnä sitä itteensä sontoo :D
    Kivaa pyyhkiä netissä menemään virustorjuttomalla koneella.
     
    Last edited by a moderator: Dec 7, 2009
    Hujo, Dec 7, 2009
    #4
  5. inufin

    inufin Member

    Joined:
    Jan 19, 2009
    Messages:
    9
    Likes Received:
    0
    Trophy Points:
    11
    79atanos, millä perustein kyseessä on virut? Ainoa syy miksi tässä yritän kamppailla näitä vastaan on koska tietokone sisältää suhteellisen paljon tärkeitä valokuvia, niin en viitsisi heti ruveta mitään formatoimaan.

    Ikävä kyllä listassasi oli että myös kaikki .jpg tiedostot saastuvat, joten taitaa olla aika 'heittää pyyhe kehään', kuten Miekiemoes kirjoitti.


    Muokkaus:

    Kuvien siirtäminen esim muistitikulle ei onnistu koska järjestelmä estää sen ilmeisesti yrittäen estää haittaohjelmien leviämisen.
     
    Last edited: Dec 7, 2009
    inufin, Dec 7, 2009
    #5
  6. inufin

    inufin Member

    Joined:
    Jan 19, 2009
    Messages:
    9
    Likes Received:
    0
    Trophy Points:
    11
    Ad-Awaren skannaus valmistui juuri tältä näyttää.

    Kysykää jos tarvitsette koko login.

    ******************************** Scan results: *********************************
    Scan profile name: Full Scan (ID: full)
    Objects scanned: 191076
    Objects detected: 9


    Type Detected
    ==========================
    Processes.......: 1
    Registry entries: 0
    Hostfile entries: 0
    Files...........: 2
    Folders.........: 0
    LSPs............: 0
    Cookies.........: 6
    Browser hijacks.: 0
    MRU objects.....: 0



    Removed items:
    Description: *ad.yieldmanager* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409172 Family ID: 0
    Description: *advertis* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408918 Family ID: 0
    Description: *advertising* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409017 Family ID: 0
    Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408875 Family ID: 0
    Description: *statistik-gallup* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409367 Family ID: 0
    Description: *tradedoubler* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408964 Family ID: 0

    Quarantined items:
    Description: I:\WINDOWS\System32\reader_s.exe Family Name: Suspicious Object Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0
    Description: I:\System Volume Information\_restore{A1FB7F74-7CE4-489A-9204-8BDB07C572D1}\RP0\A0000096.exe Family Name: Win32.Worm.Agent Engine: 1 Clean status: Success Item ID: 717302 Family ID: 1891 MD5: 226f46b43c1cf282061263b59b27e3ac
    Description: I:\WINDOWS\Temp\VRT7.tmp Family Name: Win32.Trojan.Sasfis Engine: 1 Clean status: Success Item ID: 1913946 Family ID: 1463623 MD5: 785e86954f31516926968b227b0375d2

    Scan and cleaning complete: Finished correctly after 3151 seconds
     
    inufin, Dec 7, 2009
    #6
  7. Hujo

    Hujo Guest

    Se on kyllä kylmää kyytiä nyt kaikki vain sileeksi.
    ja tikku vielä näämä saasteeseen ja sillä sitten toinenkin kone samaan kuntoon.
    Tai uudestaan formatoinin jälkeen kone taas samaan kuntoon.
     
    Last edited by a moderator: Dec 7, 2009
    Hujo, Dec 7, 2009
    #7
  8. 79atanos

    79atanos Regular member

    Joined:
    May 19, 2008
    Messages:
    1,945
    Likes Received:
    15
    Trophy Points:
    48
    Googleta reader_s.exe, älä anna hakutulosten otsikoiden hämätä vaan tutki vähän syvällisemmin niitä linkkejä. Lisäksi tuo on aina ollut Virut kun siihen olen törmännyt. Jos haluat, niin voit skannauttaa sen tiedoston vaikkapa Virustotalissa, Jotissa tai VirSCAN.orgissa.

    Niin valitettavasti on, Virutille ei voi mitään sen bugisuuden takia.


    Jatkossa sitten muista varmuuskopiointi "vähän" huolellisemmin.
     
    Last edited: Dec 7, 2009
    79atanos, Dec 7, 2009
    #8
  9. inufin

    inufin Member

    Joined:
    Jan 19, 2009
    Messages:
    9
    Likes Received:
    0
    Trophy Points:
    11
    Ööö... Yritin siirtää aikasemmin tiedostoja ulkoselle, mutta se ei tietenkään onnistunut. Pitääkö ulkonen tyhjätä nyt? Nimittäin se sisältää elämää tärkeämpää dataa...

    Mitään tiedostoa en siis itse saanut siirrettyä ja kovo oli yhdistettynä muutama sekunttia...
     
    inufin, Dec 7, 2009
    #9
  10. 79atanos

    79atanos Regular member

    Joined:
    May 19, 2008
    Messages:
    1,945
    Likes Received:
    15
    Trophy Points:
    48
    Kyllä itse vetäisin myös ulkoisen kovon tyhjäksi, sillä mikäli siellä on yksikin Virutin saastuttama filu, niin koko homma alkaa taas alusta kun sen kytket uudelleenasennettuun käyttikseen. Virut on täysin armoton tapaus.
     
    79atanos, Dec 7, 2009
    #10
  11. inufin

    inufin Member

    Joined:
    Jan 19, 2009
    Messages:
    9
    Likes Received:
    0
    Trophy Points:
    11
    Nyt ottaa kaaliin. Miks piti mennä kytkee toi kovo kiinni tohon...

    Mä otan kyl sen riskin että sinne ei olis jääny mitään. Noi tiedostot on aivan liian tärkeitä. Eikö oo mitään tapaa "putsata" yksittäisiä tiedostoja, vai onko se heti menoa kun virut iskee?


    Noh, huomenna aloitan formatoinnin ja uudelleen asennuksen.


    Aion testata kytkemällä kovon ja siirtämällä tiedot koneeseeni kun olen valmis. Näkyykö virut heti kun kone skannataan kytkennän jälkeen vai kuinka nopeasti "oireet" alkavat?
     
    inufin, Dec 7, 2009
    #11
  12. 79atanos

    79atanos Regular member

    Joined:
    May 19, 2008
    Messages:
    1,945
    Likes Received:
    15
    Trophy Points:
    48
    Last edited: Dec 7, 2009
    79atanos, Dec 7, 2009
    #12
  13. Hujo

    Hujo Guest


    Olipas mahtava huolto vaihtasin ainakin huoltopaikkaa.
     
    Last edited by a moderator: Dec 8, 2009
    Hujo, Dec 7, 2009
    #13
  14. 79atanos

    79atanos Regular member

    Joined:
    May 19, 2008
    Messages:
    1,945
    Likes Received:
    15
    Trophy Points:
    48
    Meinasin sanoa ihan samaa mutten oikein kehdannut kun inufinilla on noita muitakin murheita :)
     
    79atanos, Dec 7, 2009
    #14
  15. inufin

    inufin Member

    Joined:
    Jan 19, 2009
    Messages:
    9
    Likes Received:
    0
    Trophy Points:
    11
    Noh. :D Eikö se ole nyt selvää että jokin virus on ne lisännyt.

    Muutenkin, eivät ne ole päässeet koneeseen paljoa edes koskettelemaan kun mun dvd asema oli hajonnut jossain vaiheessa ja ne vaan odotteli takuuta niin kävin hakemassa koneeni kotiin ja lainasin siskon koneesta dvd aseman.

    Noh, ei siitä asiasta enempää.

    Mitä virustorjuntaohjelmia suosittelette?
     
    inufin, Dec 7, 2009
    #15
  16. 79atanos

    79atanos Regular member

    Joined:
    May 19, 2008
    Messages:
    1,945
    Likes Received:
    15
    Trophy Points:
    48
    Avastille ääni sen varmatoimivuutensa takia. Itse asensin pitkän tauon jälkeen koneelle antiviruksen joka on tämä Microsoftin uutuus ja toistaiseksi olen ollut erittäin tyytyväinen. Avira loistaa testeissä, mutta sillä on tapana huudella jonkin verran myös vääriä hälytyksiä.

    Kokeile eri ohjelmia pikkuhiljaa, vaikka maksullistenkin softien kokeiluversioita. sillä tavalla löydät itsellesi sen sopivan vaihtoehdon. Ja kaikki softat ei syystä tai toisesta toimi kunnolla kaikilla koneilla.
     
    79atanos, Dec 7, 2009
    #16
  17. inufin

    inufin Member

    Joined:
    Jan 19, 2009
    Messages:
    9
    Likes Received:
    0
    Trophy Points:
    11
    Kiitos avustanne.



    En siis ole tyhjännyt kovoani(Tiedostot ovat liian tärkeitä) joten riski on vielä olemassa, tosin osaan kyllä siinä tapauksessa hankkia eroon haittaohjelmasta.
     
    inufin, Dec 7, 2009
    #17
  18. Hujo

    Hujo Guest

    No, jos Avast ja sille palomuuri.
    palomuurina oon käyttänyt zonearlam, wintoosaan muuria ja nyt comodo käytössä.
     
    Hujo, Dec 7, 2009
    #18

Share This Page