Scheduled Tasks (WinPatrol) - AT1, AT2 - mitähän mahtavat olla?

Discussion in 'Virukset ja haittaohjelmat' started by BTR, Jan 10, 2006.

  1. BTR

    BTR Member

    Joined:
    Jan 30, 2004
    Messages:
    57
    Likes Received:
    0
    Trophy Points:
    16
    Elikkä mistä on kyse, WinPatrolin Scheduled Tasks -välilehdeltä löytyi seuraavaa infoa:

    Name:AT1
    Program:username.exe
    Company:
    Startup Location:Windows Task Scheduler
    C:\WINDOWS\SYSTEM32\USERNAME.EXE
    Status:Ready
    ja Status:Local File Not Found
    NetScheduleJobAdd-funktion luoma.

    Name:AT2
    Program:expiorer.exe (ei siis explorer)
    Company:Media Gateway
    Startup Location:Windows Task Scheduler
    C:\WINDOWS\SYSTEM32\EXPIORER.EXE
    Status:Ready
    NetScheduleJobAdd-funktion luoma.

    Tuo AT2 näyttää pyörineen aikaisemminkin ja sille oli myös asetettu seuraava toimintapäivä, AT1 ei ole aikaisemmin käynnistynyt, mutta sillekin oli määritelty seuraava käynnistymispäivä.

    Mistä mahtavat olla kotoisin - voisiko kyse olla esim. Skypestä? Ja toisaalta onko niistä syytä hankkiutua eroon?

    PS. Lisäkyssärinä vielä - minkä takia Adoben Version Cue CS2 käynnistyy siitäkin huolimatta, että sen olen WinPatrolin Startupista disabloinut? En viitsisi sitä kokonaan poistaa käynnistyksestä kun sillä saa helposti päivitettyä koko CS-paketin tarvittaessa, kun noita päivityksiä tulee kuitenkin aika tiuhaan.
    Toisaalta sen sulkeminen käynnistyksen yhteydessä kestää aivan julmetun kauvan ja se syö muistiresursseja vähän turhankin kanssa.
     
    BTR, Jan 10, 2006
    #1
  2. Disa-

    Disa- Regular member

    Joined:
    Sep 6, 2005
    Messages:
    860
    Likes Received:
    0
    Trophy Points:
    26
    Disa-, Jan 10, 2006
    #2
  3. BTR

    BTR Member

    Joined:
    Jan 30, 2004
    Messages:
    57
    Likes Received:
    0
    Trophy Points:
    16
    Logfile of HijackThis v1.99.1
    Scan saved at 0:41:27, on 11.1.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\WINDOWS\system32\carpserv.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
    C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
    C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\McAfee.com\SpamKiller\SpamKiller.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: McAfee.com SpamKiller.lnk = C:\Program Files\McAfee.com\SpamKiller\SpamKiller.exe
    O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Lataa käyttäen &Download Expressiä - C:\Program Files\Download Express\Add_Url.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1103582124031
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
     
    BTR, Jan 10, 2006
    #3
  4. aaxxeell

    aaxxeell Regular member

    Joined:
    Jul 28, 2005
    Messages:
    2,145
    Likes Received:
    0
    Trophy Points:
    46
    Loki kylläkin näyttää puhtaalta.

    Program:expiorer.exe
    Company:Media Gateway
    on juuri örkki mutta se ei kuitenkaan listassa näy.

    Katso ohjauspeliin lisää/poista ohjelma kohdasta löytyykö:
    Media Gateway, poista jos näkyy.

    Lisäksi C:\WINDOWS\SYSTEM32\-->EXPIORER.EXE<-- on syytä poistaa vikasietotilassa (F8 naputtaen käynnistyksessä ja valitsemalla vikasietotila pääset)

    Tarkista kone vielä ewidolla
    -> http://keskustelu.afterdawn.com/thread_view.cfm/269186
    Tee ohjeiden mukaisesti ja lähetä lopuksi raportti tänne.

    Adobe Version Cue CS2 käynnistyy tuolla servise palvelussa.
    Eli Käynnistä -> suorita -> services.msc ja sieltä etsit tuon Adobe Version Cue CS2 ja halutessasi voit pysäyttää palvelu ja käynnistää tarvittaessa aina.
     
    aaxxeell, Jan 10, 2006
    #4
  5. BTR

    BTR Member

    Joined:
    Jan 30, 2004
    Messages:
    57
    Likes Received:
    0
    Trophy Points:
    16
    Tuolta lisää/poista sovellukset -valikosta sitä Gatewayta ei löytynyt ja voi olla, että sen olen sieltä jo aiemmin poistanut kun siivoilin turhia rainoja pois. Ja ihme kyllä sitä expiorer.exeä ei löytynyt tuolta hakemistosta edes vikasietotilassa, mutta näköjään Ewido kuitenkin löysi.

    Tässä tuo reportaasi vielä:
    ---------------------------------------------------------
    ewido anti-malware - Scan report
    ---------------------------------------------------------

    + Created on: 3:34:31, 11.1.2006
    + Report-Checksum: 2A1686C

    + Scan result:

    HKLM\SOFTWARE\AKSoft -> Spyware.AkSoft : Cleaned with backup
    HKLM\SOFTWARE\AKSoft\X-Tractor -> Spyware.AkSoft : Cleaned with backup
    :mozilla.12:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
    :mozilla.13:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
    :mozilla.14:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
    :mozilla.15:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Questionmarket : Cleaned with backup
    :mozilla.18:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
    :mozilla.20:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
    :mozilla.22:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
    :mozilla.24:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Fastclick : Cleaned with backup
    :mozilla.26:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Tribalfusion : Cleaned with backup
    :mozilla.27:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Fastclick : Cleaned with backup
    :mozilla.29:C:\Documents and Settings\Computer\Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
    :mozilla.12:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
    :mozilla.13:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
    :mozilla.14:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
    :mozilla.15:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Questionmarket : Cleaned with backup
    :mozilla.18:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
    :mozilla.20:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
    :mozilla.22:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
    :mozilla.24:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Fastclick : Cleaned with backup
    :mozilla.26:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Tribalfusion : Cleaned with backup
    :mozilla.27:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Fastclick : Cleaned with backup
    :mozilla.29:C:\Documents and Settings\Computer\Kopio Application Data\Mozilla\Profiles\default\9nipfepe.slt\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
    :mozilla.9:C:\Documents and Settings\Niko\Application Data\Mozilla\Firefox\Profiles\606ovh2k.default\cookies.txt -> Spyware.Cookie.Ivwbox : Cleaned with backup
    :mozilla.13:C:\Documents and Settings\Niko\Application Data\Mozilla\Firefox\Profiles\606ovh2k.default\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
    :mozilla.14:C:\Documents and Settings\Niko\Application Data\Mozilla\Firefox\Profiles\606ovh2k.default\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
    :mozilla.55:C:\Documents and Settings\Niko\Application Data\Mozilla\Firefox\Profiles\606ovh2k.default\cookies.txt -> Spyware.Cookie.I12 : Cleaned with backup
    :mozilla.56:C:\Documents and Settings\Niko\Application Data\Mozilla\Firefox\Profiles\606ovh2k.default\cookies.txt -> Spyware.Cookie.I12 : Cleaned with backup
    :mozilla.58:C:\Documents and Settings\Niko\Application Data\Mozilla\Firefox\Profiles\606ovh2k.default\cookies.txt -> Spyware.Cookie.Adocean : Cleaned with backup
    :mozilla.59:C:\Documents and Settings\Niko\Application Data\Mozilla\Firefox\Profiles\606ovh2k.default\cookies.txt -> Spyware.Cookie.Adocean : Cleaned with backup
    :mozilla.91:C:\Documents and Settings\Niko\Application Data\Mozilla\Firefox\Profiles\606ovh2k.default\cookies.txt -> Spyware.Cookie.Googleadservices : Cleaned with backup
    :mozilla.132:C:\Documents and Settings\Niko\Application Data\Mozilla\Firefox\Profiles\606ovh2k.default\cookies.txt -> Spyware.Cookie.Myaffiliateprogram : Cleaned with backup
    :mozilla.25:C:\Documents and Settings\Sari.COMPUTER-2XFTO6\Application Data\Mozilla\Firefox\Profiles\qliph9wq.default\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
    :mozilla.30:C:\Documents and Settings\Sari.COMPUTER-2XFTO6\Application Data\Mozilla\Firefox\Profiles\qliph9wq.default\cookies.txt -> Spyware.Cookie.Adtech : Cleaned with backup
    :mozilla.31:C:\Documents and Settings\Sari.COMPUTER-2XFTO6\Application Data\Mozilla\Firefox\Profiles\qliph9wq.default\cookies.txt -> Spyware.Cookie.Adtech : Cleaned with backup
    C:\WINDOWS\system32\expIorer.exe -> Spyware.WinAD : Cleaned with backup

    ::Report End

    --------------------------------------------------------

    Nyt vain hiukan huolestuttaa kun taas on tilanne, että vanhan turvaohjelmiston rinnalle kun laittoi uuden ohjelman (Evido) niin taas vain löytyi lisää ökköjä (sama tilanne viimeksi kun asensin MS AntiSpyWaren niin silloinkin heti löytyi backdoori, mikä oli muulta softalta päässyt ohi) eli tarvitsenko nyt vielä jotain softaa perusturvatason ylläpitoon?
    Tällä hetkellä käytössä:
    Zone Alarm
    AVG Anti-Virus
    MS Anti Spyware
    Ad-Aware
    Spybot
    Ewido
    Spyware Blaster
    CWShredder
    WinPatrol
    XP Antispyn ja WinPatrolin asutuksista olen kytkenyt "yleisohjeiden" mukaisesti kaiken tarpeettoman pois/manuaaliasetuksille.

    ...eikö tämäkään vielä riitä? Alkaa kohta jurppia, kun puolet työpöydän pikakuvakkeista on tietoturvasoftaa!

    PS. Kiitoksia myöskin aaxxeell kovasti tuosta Verion Cue -vinkistä.
     
    BTR, Jan 10, 2006
    #5
  6. spertti

    spertti Active member

    Joined:
    Jun 1, 2005
    Messages:
    1,222
    Likes Received:
    0
    Trophy Points:
    66
    Kyllä noilla jo pärjää. Syy siihen miksi MS-anti-spyware ja Ewido löysivät ad-awaren ja spybotin jälkeen "örkkejä" löytyy tuosta > http://koti.mbnet.fi/pattaya1/testitulokset_23102005.htm

    On aika ajanut jo ohi noista kahdesta ohjelmasta, ja alkavat olla melko turhaa kamaa tänäpäivänä. Toki nekin voit pitää koneella, ja ajaa scannit sillointällöin. Käyttäväthän ne kuitenkin eri tunnisteita kuin esim. Ewido tai MS-antispyware.
     
    spertti, Jan 10, 2006
    #6
  7. BTR

    BTR Member

    Joined:
    Jan 30, 2004
    Messages:
    57
    Likes Received:
    0
    Trophy Points:
    16
    Kiitos, Spertti, näköjään on aika uudistaa tuota softapuolta.
     
    BTR, Jan 11, 2006
    #7

Share This Page