Ongelmia haittaohjelmien kanssa

Elikkäs koneeseen on tullut muutama tracking cookie, mistä AVG jatkuvasti valittaa, olen poistanut ne kerran, mutta ilman "poista järjestelmän palauttaminen..." avulla.

Nyt pyydän joltain kone-expertiltä apua.



tuossa esimerkki.

Spybot Search & Destroylla vedin kerran ja löysi tracking cookien nimellä DoubleClick, poistin sen, mutta tuli näköjään takaisin.

tässä HJT-logi:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:02:23, on 13.7.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\pelit\steam.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\AVG\AVG8\avgscanx.exe
C:\Program Files\AVG\AVG8\avgui.exe
D:\Asennuspaketit\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Program Files\TeleWell\ADSL USB Router\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\pelit\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: ,avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe

--
End of file - 6760 bytes

 

en mikää expertti ole mutta
eipä noist "cookies" mitää haittaa ole,niit tulee koneelle niilt sivuilt missä säännöllisesti käyt ja siihen ei auta ees ff3 ja NoScript ja jos haluut poistaa ne ni spybot ja ad-aware o iha hyvä, mutta ne kyl tulee takas et saat ol joka pvä poistamas niit

 

Tämänhän mä tiesin, muttei ne joka päiväset oo tracking cookieita?
Ja tämä on se sama mikä uusiutuu ja AVG valittaa, että on vaarallinen, onhan tuolla muitakin, muttei niistä valita.

 

se AVG:n ilmotus on varmaa ns. false positive eli mistake

EDIT: mut jos oikeesti tarvit apua ni käänny hujon kalmisen tai yaht puoleen ne kyllä tietää ^^

 

yaht näyttää auttavan kaikkii täl hetkel, eli apua odotelles

Eniten mua ihmetyttää, että AVG löytää ne cookiet kun mä mukamas avaan ne: eli kun katsoo niin näkee, että tuolla processissa on msn, IE & Comodo firewall, comodon poistin IE:tä en käytä, mutta meseä käytän. Poistin sen nyt ja latasin alusta.

En tajua oikeen tätä, Malwarebytes' löysi cookien ja AVG tekee näin:

 

14:51:00 14.7.2008
mbam-log-7-14-2008 (14-50-55).txt

Tarkistustyyppi: Täysi tarkistus (C:\|D:\|)
Tarkistetut kohteet: 74637
Kulunut aika: 1 hour(s), 3 minute(s), 3 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 1
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 6

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xp codec pack (Rogue.Installer) -> No action taken.

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
c:\documents and settings\Sisään\Työpöytä\xp_codec_pack_2.3.7.exe (Rogue.Installer) -> No action taken.
C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll (Trojan.Agent) -> No action taken.
C:\Program Files\Trend Micro\HijackThis\backups\backup-20080602-231207-576.dll (Adware.AskSBAR) -> No action taken.
c:\program files\xp codec pack\Uninstall.exe (Rogue.Installer) -> No action taken.

Poistanko kaikki?

 

joo

 

Ootko ihan varma? Ei toi rekisteriavain hidasta/myöhemmin tee hallaa, kun sen poistaa?

 

Tracking Cookiet ovat vain internetsivujen tekemiä evästeitä, mitkä ovat pääasiassa "vaarattomia". Juuri tossa kun koneen läpi kävin niin löysi sata noita Tracking cookieita, mutta ei silti ollu mitään viruksia

 

Hmm... Mutta kun AVG on niistä valitellut, niin jälkeenpäin Malwarebytes' on löytänyt myös jotain trojan agenttei hetikun track. cookie ongelma tuli...
Ja nyt on simmonen pulma, että kun koneen sammuttaa, niin se pääsee siihen asti "tallennetaan tiedostoja", "windows sammutetaan" ja sitten se jääkin siihen. :|

 

Niinku tossa ylempää näkee, ni on jotain viruksia, ovatko nuo rogue installerit muuten vaarallisiakin?
Voiko noilla tracking cookieilla ja näillä olla jotain yhteistä?
Heti cookie-ongelman ilmettyä tuli nuokin virukset & halusin vielä kysyä miks ne lymyilee jossai messengerissä?

e:Olis kiva tietää miks toi AVG kokoajan sanoo "detected on open", kun avaan messengerin? Siis onko se normaalia, että se on "siellä" vai onko AVG vain liian herkkä?

 

(anteeksi viestin nostaminen)
Elikkäs moni on sitä mieltä, että AVG tekee 'false positivea'?
Mua ihmetyttää vaan se, että miksi AVG löytää sen jostain Messengerin processista?
---

Nyt ei enään firefox aukea ellen mene task manageriin ja pistä lopeta prosessi. Ja sitten kun käyn IE:llä, niin tapahtuu näin:

 

DoubleClick does use information about your browser and web surfing to determine which ads to show your browser.

Tradedoubler ses information about your web surfing that could include any information, like accounts and passwords.

Spybot löys noi kaks, poistan nytten, mutta tuon minkä minä tajusin DC:stä, niin eipä ihme kun Mozilla ei estä näitä adverttei enää yhtä paljon.

e:tracking cookie.atdmt[1].txt ja [2] 'uusiutuvat' koko ajan, vaikken ole nytten kolmeen päivään netissä käynyt paitsi tänne tullut vilkaisemaan (on kyllä ollut päällä samalla kuin konekin). Pitäiskö vaa olla välittämättä niistä vai mitä? Kun AVG kokoajan jaksaa valittaa "detected on open", kun esim. pistän Malwarebytes'n pyörimää eikä tode sitä uhkana.