Spyware doctorin löydöksiä!!!

Ovatkohan nämä spyware doctorin löydöt vakavia? Ja kuinkahan ne sais poistettua?

Infection Name Location Risk
Fast Video Player Dialer HKU\.DEFAULT\Software\Netscape\Netscape Navigator\User Trusted External Applications##C:\Program Files\Mpb\Dialers\Blondes\Blondes.exe High
Fast Video Player Dialer HKU\S-1-5-18\Software\Netscape\Netscape Navigator\User Trusted External Applications##C:\Program Files\Mpb\Dialers\Blondes\Blondes.exe High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR## High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##Data High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##LSTV High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##Brnd High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##MSLIST High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##PID High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##Rid High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##LID High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##SCLIST High
Trojan.Downloader.Small.CML HKLM\SOFTWARE\Microsoft\MSSMGR##SSLIST High

 

Hae täältä -> http://www.ewido.net/en/download
ewido, asenna, päivitä ja skannaa. Anna poistaa mitä löytää, tallenna raportti. Lähetä ewidon raportti.

 

Tässä ewidon-logi nyt kuitenkin vaikka se on puhdas. Laitan nyt vielä ton hjt-login myös. Ajoin tuossa aiemmin xoftspySe:n ja se löysi kans jotain. Kaveri meinas että aja vielä tämä spyware doctor että löytääkö se samat ja löysihän se jotain, mutta EI samoja. Eikä näitä ole löytänyt muut scannerit ollenkaan. Onkohan kyseessä vain ohjelmien myynti keinottelu???

---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------

+ Created on: 23:15:22, 14.6.2006
+ Report-Checksum: 84DD56D8

+ Scan result:

No infected objects found.


::Report End

Logfile of HijackThis v1.99.1
Scan saved at 23:52:26, on 14.6.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\NORMAN\Npf\BIN\NPFSVICE.EXE
C:\NORMAN\bin\ZANDA.EXE
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\bin\NJEEVES.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\NORMAN\bin\ZLH.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\NORMAN\Npf\BIN\npfmsg2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\NORMAN\Nvc\bin\nvcoas.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\bin\cclaw.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\SiteAdvisor\SiteAdv.exe
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\saIE.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Google-haku - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Käännä englanninkielinen sana - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fi-fi\msntb.dll/search.htm
O8 - Extra context menu item: Avaa uuteen etuvälilehteen - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fi-fi\msntabres.dll/230?f50ccb43ed5c4e90aa42b88dd711aab
O8 - Extra context menu item: Avaa uuteen taustavälilehteen - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fi-fi\msntabres.dll/229?f50ccb43ed5c4e90aa42b88dd711aab
O8 - Extra context menu item: Linkit taaksepäin - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Samankaltaisia sivuja - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Välimuistissa oleva kuvakaappaus sivusta - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123151511218
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127924658500
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://koti.sonkajarvi.net/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Npf\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\NORMAN\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Logi on puhdas. Tiedä sitten noista spyware doctorin löydöksistä. Katso löytyykö seuraavaa tiedostoa:

C:\Program Files\Mpb\Dialers\Blondes\Blondes.exe

Jos löytyy, niin poista. Aja vielä eScan, jos se löytäis jotakin muuta. http://koti.mbnet.fi/pattaya1/escanmwav.htm päivitä, skannaa ja lähetä sen logi tänne.

 

Pikemminkin poista Blondes ohjauspaneelista (lisää/poista sovellus), jos löytyy ja tuo pois -> C:\Program Files\Mpb\Dialers

 

Tuota hakemistoa/tiedostoa (C:\Program Files\Mpb\Dialers\Blondes\Blondes.exe) ei löydy mistään muualta kuin rekisteristä. Pitäiskö se poistaa sieltä jotenkin? Se oli sen netscapen hakemiston alla siellä. Ajelen vielä sen eScannin ja laitan sen tänne kun ehdin.

 

Laita piilotiedostot näkyviin, ohje ->
http://keskustelu.afterdawn.com/thread_view.cfm/248944

Näkyykö nyt? Poista se tuolta ohjauspaneelista, miten -kemisti- opasti.

 

Ei löydy sittenkään. Eikä ole ohjauspaneelin lisää/poista listoilla. Kokeilin vielä lisäksi etsi-toiminnolla joka etsi myös piilotiedostot...ja ei vaan löytynyt. eScannin logi oli muuten puhdas mutta luulee ccleanerin asennus tiedostoa joksikin pöpöksi: (C:\........\ccsetup128.exe tagged as not-a-virus: Risk Tool.Win32.PsKill.n. No Action Taken.) Tuon saman se on tehnyt myös ccleanerin aikaisempien versioiden asennustiedostoille.???

 

Process killer, eli ei mitään hätää. Nuo Spyware Doctorin löydökset voi olla ihan mitä sattuu näköjään. :|

 

Spyware Doctor, vaikka onkin hyvä ohjelma on "kuuluisa" vääristä positiivisistaan. Eli sen löytöihin kannattaa suhtautua suurella varauksella.

Esim.nämä kaikki -> Trojan.Downloader.Small.CML
ovat vääriä hälyjä.

 

Pitää paikkansa, myös Spyware Eliminator antaa noita ns. "vääriä hälytyksiä".

 

Eikä tuo XoftSpy sen parempi ole, jota ketjun aloittaja myös kehui käyttäneensä. Taitaa olla jopa vieläkin epäluotettavampi =)

 

XoftSpy "pelitti" mulla aikoinaan hyvin, mutta poistin sen, kun siitä yleisesti raportoitiin negatiivisesti että se jopa itse tuo jotain örkkejä mukanaan. Tiedä näistä....

En tiedä mitä muut funtsivat, mutta Ewido on aika tehokas, ja sen lisäksi mulla Ad-aware Se Pro, molemmat löytävät aina jotain, vaikka käytän Mozillaa.

 

@Degra: Lisäksi Spywareblaster, niin tuskin enää löytää

 

Joo, mulla on myös se, ja selaimena Mozilla.
Mutta ihan hyvän pointin pistit.

 

Joo. Kyllä nyt saa zoftspy ja tämä spyware doctor kyytiä mun koneelta. Välillä iskee vain joku viruskammo, niin pitää kokeilla kaikki mahdolliset ohjelmat. Taidan luottaa nyt sitten ewidoon ja ad-awareen, eikä spybottikaan taida aivan turha olla. Toisaalta ei ad-aware eikä spybotti ole juuri mitään löytänyt sen jälkeen kun asensin tuon spywareblasterin koneeseen. Tuon windows defenderin taidan kuitenkin säilyttää koneella. Sen ei nyt ainakaan luulis tuovan mukanaan mitään örkkejä.

 

Mulla oli ihan sama jutska vähän aika sitten.
Eli Doctoriin en luota.

Tuo Spybot (vanhempi versio) poisti mulla aikoinaan myös F-Securen (silloin kun oli F-Secure virussoftana)jonkun tärkeän sovelluksen ja sen jälkeen piti ajaa F-Secure uusiksi. Mutta kaikenkaikkiaan eräänlainen nyrkkisääntö voisi olla, ainakin mun mielestäni, että tuo Ewido on koneessa kuin koneessa paikallaan, se kun löytää myös ainakin joitain troijalaisia. Suosittelen!