Virus: Backdoor.Win32.Rbot.gen, ei poistu.

zanpo · Jan 14, 2006

Käyttis XP, Tietoturva on f-secure, ja palomuuri on myös f-secure.

F-secure ilmoittaa viruksesta [bold] Backdoor.Win32.Rbot.gen [/bold] Se ei lähde koneesta sitten millään. Ohjelma ilmoittaa, että se on poistettu, mutta hetken kuluttua f-secure löytää sen uudestaan. Kävin jo f-securen sivuilta imuroimassa työkalun jolla virus olisi pitänyt poistua, mutta sieltä se vaan hetken kuluttua tuli takaisin.
Muutaman kerran nimesin viruksen sisältävän tiedoston uudestaan, johtuuko asia siitä? En tiedä mihin tuo f-secure sen uudelleen nimetyn tiedoston sijoittaa.
Vinkkejä kaipaillaan. Kiitos jo etukäteen.

Ohessa loki, josta minä en kyllä ymmärrä mitään

Logfile of HijackThis v1.99.1
Scan saved at 22:03:44, on 14.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\PCPROT~1\backweb\4384293\Program\SERVIC~1.EXE
C:\Program Files\PC Protection\Anti-Virus\fsgk32st.exe
C:\Program Files\PC Protection\Anti-Virus\FSGK32.EXE
C:\Program Files\PC Protection\backweb\4384293\program\fsbwsys.exe
C:\Program Files\PC Protection\backweb\4384293\Program\fspex.exe
C:\Program Files\PC Protection\Common\FSMA32.EXE
C:\Program Files\PC Protection\Anti-Virus\fssm32.exe
C:\Program Files\PC Protection\Common\FSMB32.EXE
C:\Program Files\PC Protection\Common\FCH32.EXE
C:\Program Files\PC Protection\Common\FAMEH32.EXE
C:\Program Files\PC Protection\Anti-Virus\fsrw.exe
C:\Program Files\PC Protection\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\PC Protection\Common\FSM32.EXE
C:\Program Files\PC Protection\FSGUI\ispnews.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\PC Protection\Anti-Virus\fsav32.exe
C:\PROGRA~1\PCPROT~1\ANTI-S~1\fsaw.exe
C:\Program Files\PC Protection\FSGUI\fsguidll.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://phnet.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Incroporate] mfs.exe
O4 - HKLM\..\Run: [Sygat2e Personal Firewall] S1y3g4ate.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\PC Protection\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\PC Protection\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\PC Protection\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\PC Protection\FSGUI\ispnews.exe"
O4 - HKLM\..\RunServices: [Microsoft Incroporate] mfs.exe
O4 - HKLM\..\RunServices: [Sygat2e Personal Firewall] S1y3g4ate.exe
O4 - HKCU\..\Run: [Sygat2e Personal Firewall] S1y3g4ate.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure PC Protection.lnk = C:\Program Files\PC Protection\backweb\4384293\Program\fspex.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Estä tämä kohoikkuna - C:\Program Files\PC Protection\Anti-Spyware\blockpopups.htm
O9 - Extra button: IE-suojaus - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\PC Protection\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-suojaus... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\PC Protection\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl...
O23 - Service: F-Secure PC Protection (BackWeb Plug-in - 4384293) - BackWeb Technologies Inc. - C:\PROGRA~1\PCPROT~1\backweb\4384293\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\Program Files\PC Protection\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\PC Protection\backweb\4384293\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\PC Protection\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\PC Protection\Common\FSMA32.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

spertti · Jan 14, 2006

Poista ohjauspaneelin kautta ( lisää/poista sovelluksia ) jos löytyy

Microsoft Incroporate
Sygat2e Personal Firewall

Fixaa nämä HjT:lla

O4 - HKLM\..\Run: [Microsoft Incroporate] mfs.exe
O4 - HKLM\..\Run: [Sygat2e Personal Firewall] S1y3g4ate.exe
O4 - HKLM\..\RunServices: [Microsoft Incroporate] mfs.exe
O4 - HKLM\..\RunServices: [Sygat2e Personal Firewall] S1y3g4ate.exe
O4 - HKCU\..\Run: [Sygat2e Personal Firewall] S1y3g4ate.exe

Hae Ewido > http://keskustelu.afterdawn.com/thread_view.cfm/269186
Asenna ja päivitä se, älä tee vielä muuta

Hae eScan > http://koti.mbnet.fi/pattaya1/escanmwav.htm
Asenna ja päivitä, mutta älä tee vieläkään mitään muuta =)

Laita piilotiedostot näkyviin, ohje ->
http://keskustelu.afterdawn.com/thread_view.cfm/248944

Käynnistä vikasietotilaan ( F8 käynnistyksen yhteydessä )

Etsi nämä filut windowsin omalla etsi komennolla ( käynnistä > etsi > etsi myös piilo- ja järjestelmätiedostoista )

S1y3g4ate.exe
mfs.exe

Jos löydät, niin poista.

Skannaa Ewidolla ja eScanilla vikasietotilassa, ja anna poistaa kaikki mitä löytää. Tallenna Ewidon raportti, ja kopioi eScanin alalaatikon "örkkilöydökset"

Laita uusi loki, ja Ewidon ja eScanin löydöt.

Edit: Todennäköisesti tuo löytyy tuosta polusta
C:\\Windows\\System32\\mfs.exe

Edit2: Tuolla on vielä joku Nortonin jämä näköjään jäänyt pyrimään, niinkuin V-kos oli huomannutkin tuolla toisessa ketjussa.
Se saadaan pois näin
Käynnistä > suorita > services.msc > etsi listalta SymWMI Service (SymWSC) > tuplaklikkaa sitä, valitse seis, ja käynnistystavaksi ei käytössä.

Tonski · Jan 14, 2006

@spertti
Käsittääkseni tuokin pitäisi fixata?

O4 - HKLM\..\RunServices: [Sygat2e Personal Firewall] S1y3g4ate.exe

spertti · Jan 14, 2006

Juu. Oikeassa olet, eli fixaa tuokin. Oli näköjään mennyt ohi tuossa ekassa viestissäni. Korjaan sen nyt. Kiitos Tonski.

Tonski · Jan 14, 2006

Eipä mitään. Alan pikkuhiljaa oppia näitä lokeja.

zanpo · Jan 15, 2006

Tässä Hijack loki.

Logfile of HijackThis v1.99.1
Scan saved at 15:21:25, on 15.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\PCPROT~1\backweb\4384293\Program\SERVIC~1.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\PC Protection\Anti-Virus\fsgk32st.exe
C:\Program Files\PC Protection\backweb\4384293\program\fsbwsys.exe
C:\Program Files\PC Protection\Anti-Virus\FSGK32.EXE
C:\Program Files\PC Protection\Common\FSMA32.EXE
C:\Program Files\PC Protection\Anti-Virus\fssm32.exe
C:\Program Files\PC Protection\Common\FSMB32.EXE
C:\Program Files\PC Protection\Common\FCH32.EXE
C:\Program Files\PC Protection\Common\FAMEH32.EXE
C:\Program Files\PC Protection\Anti-Virus\fsrw.exe
C:\Program Files\PC Protection\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\PC Protection\Common\FSM32.EXE
C:\Program Files\PC Protection\FSGUI\ispnews.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\PC Protection\backweb\4384293\Program\fspex.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\PC Protection\Anti-Virus\fsav32.exe
C:\PROGRA~1\PCPROT~1\ANTI-S~1\fsaw.exe
C:\Program Files\PC Protection\FSGUI\fsguidll.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://phnet.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\PC Protection\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\PC Protection\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\PC Protection\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\PC Protection\FSGUI\ispnews.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure PC Protection.lnk = C:\Program Files\PC Protection\backweb\4384293\Program\fspex.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Estä tämä kohoikkuna - C:\Program Files\PC Protection\Anti-Spyware\blockpopups.htm
O9 - Extra button: IE-suojaus - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\PC Protection\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-suojaus... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\PC Protection\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136834918889
O23 - Service: F-Secure PC Protection (BackWeb Plug-in - 4384293) - BackWeb Technologies Inc. - C:\PROGRA~1\PCPROT~1\backweb\4384293\Program\SERVIC~1.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\Program Files\PC Protection\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\PC Protection\backweb\4384293\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\PC Protection\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\PC Protection\Common\FSMA32.EXE

Ewidon raportti:
---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------

+ Created on: 15:05:51, 15.1.2006
+ Report-Checksum: 1FA4861E

+ Scan result:

No infected objects found.

::Report End

Ja Tässä kasperskyn raportti.

Sun Jan 15 13:58:32 2006 => Scanning Folder: D:\GmRek2K\Maps\INDEX\*.*
Sun Jan 15 13:58:32 2006 => Scanning Folder: D:\GmRek2K\Routes\*.*
Sun Jan 15 13:58:33 2006 => Scanning Folder: D:\RECYCLER\*.*
Sun Jan 15 13:58:33 2006 => Scanning Folder: D:\RECYCLER\S-1-5-21-515967899-117609710-725345543-1003\*.*
Sun Jan 15 13:58:33 2006 => Scanning Folder: D:\System Volume Information\*.*
Sun Jan 15 13:58:33 2006 => ERROR!!! FindFirstFile For D:\System Volume Information\*.* Failed!!! Reason is Käyttö estetty. (0x5)
Sun Jan 15 13:58:33 2006 => Scanning Folder: D:\Tetris Unlimited\*.*
Sun Jan 15 13:58:33 2006 => Scanning Folder: D:\Tetris Unlimited\Data\*.*
Sun Jan 15 13:58:34 2006 => Scanning Folder: D:\Tetris Unlimited\Fondos\*.*
Sun Jan 15 13:58:34 2006 => Scanning Folder: D:\Tetris Unlimited\FX\*.*
Sun Jan 15 13:58:35 2006 => Scanning Folder: D:\Tetris Unlimited\Jugadores\*.*
Sun Jan 15 13:58:35 2006 => Scanning Folder: D:\Tetris Unlimited\Musica\*.*
Sun Jan 15 13:58:35 2006 => Scanning Folder: D:\Tetris Unlimited\Piezas\*.*
Sun Jan 15 13:58:36 2006 => Scanning Folder: D:\Tetris Unlimited\Text\*.*
Sun Jan 15 13:58:36 2006 => Scanning E:\ Drive
Sun Jan 15 13:58:36 2006 => Scanning Folder: E:\*.*
Sun Jan 15 13:58:36 2006 => Scanning Folder: E:\RECYCLER\*.*
Sun Jan 15 13:58:36 2006 => Scanning Folder: E:\RECYCLER\S-1-5-21-515967899-117609710-725345543-1003\*.*
Sun Jan 15 13:58:36 2006 => Scanning Folder: E:\System Volume Information\*.*
Sun Jan 15 13:58:36 2006 => ERROR!!! FindFirstFile For E:\System Volume Information\*.* Failed!!! Reason is Käyttö estetty. (0x5)

Sun Jan 15 13:58:36 2006 => ***** Checking for specific ITW Viruses *****
Sun Jan 15 13:58:36 2006 => Checking for Welchia Virus...
Sun Jan 15 13:58:36 2006 => Checking for LovGate Virus...
Sun Jan 15 13:58:36 2006 => Checking for CodeRed Virus...
Sun Jan 15 13:58:36 2006 => Checking for OpaServ Virus...
Sun Jan 15 13:58:36 2006 => Checking for Sobig.e Virus...
Sun Jan 15 13:58:36 2006 => Checking for Winupie Virus...
Sun Jan 15 13:58:36 2006 => Checking for Swen Virus...
Sun Jan 15 13:58:36 2006 => Checking for JS.Fortnight Virus...
Sun Jan 15 13:58:36 2006 => Checking for Novarg Virus...
Sun Jan 15 13:58:36 2006 => Checking for Pagabot Virus...
Sun Jan 15 13:58:36 2006 => Checking for Parite.b Virus...
Sun Jan 15 13:58:36 2006 => Checking for Parite.a Virus...

Sun Jan 15 13:58:36 2006 => ***** Scanning complete. *****
Sun Jan 15 13:58:36 2006 => Total Number of Files Scanned: 28813
Sun Jan 15 13:58:36 2006 => Total Number of Virus(es) Found: 0
Sun Jan 15 13:58:36 2006 => Total Number of Disinfected Files: 0
Sun Jan 15 13:58:36 2006 => Total Number of Files Renamed: 0
Sun Jan 15 13:58:36 2006 => Total Number of Deleted Files: 0
Sun Jan 15 13:58:36 2006 => Total Number of Errors: 4
Sun Jan 15 13:58:36 2006 => Time Elapsed: 00:51:32
Sun Jan 15 13:58:36 2006 => Virus Database Date: 2006/01/15
Sun Jan 15 13:58:36 2006 => Virus Database Count: 171597

Sun Jan 15 13:58:36 2006 => Scan Completed.

Tästä osiosta se virus aina löytyy, tai siis tuolta volu information tiedostosta...
Sun Jan 15 13:58:36 2006 => ERROR!!! FindFirstFile For E:\System Volume Information\*.* Failed!!! Reason is Käyttö estetty. (0x5)
Kommentteja?

Joudun tästä taas vaihtamaan paikkakuntaa, ja korjauksia tähän koneeseen pystyn tekemään aikaisintaan viikon päästä, mutta laittakaa kommenttia ja vinkkiä, jos jotain tulee mieleen? Kiitos aikaisemmista ohjeista.

Ainiin, nyt tuon f-securen internet suoja menee aika ajoin toiminta kyvyttömäksi, se ilmoittaa, että ohjelma sulkeutuu... niin että sekin vielä

spertti · Jan 15, 2006

Tuo on väärä loki eScanista. Sen alalaatikon löytöjä olisin halunnut tutkailla =)

EDIT: tosin eipä siellä mitään näköjään ole ollut, kun ei ole löytynyt pöpöjäkään =)

EDIT2: Lokista ainakin poistuivat nuo "pahikset"

zanpo · Jan 15, 2006

Juu, se alalaatikko oli täysin tyhjä, joten laitoin ylälaatikon.

spertti · Jan 15, 2006

Heetkinen....
Total Number of Files Scanned: 28813
Olikos ne asetukset nyt varmasti, niinkuin siellä sivulla neuvotaan?
Ei ole voinut koko konetta syynätä, kun noin vähän on filuja käyty läpi.

zanpo · Jan 15, 2006

hmm.. kyllä olin laittavinani sen koko systeemin skannauksen, koneeseen ei ole juurikaan muita ohjelmia laitettu kun windows ja office paketti virustorjunta + yks tetris..

V-kos · Jan 15, 2006

Laita eScanin asetukset näin:

zanpo · Jan 17, 2006

Kiitos vinkeistä, ilmeisesti örkki lähti sittenkin koneelta.

spertti · Jan 17, 2006

Loistavaa! Jos vielä tulee ongelmia, niin uutta lokia vaan =)

Log in or Sign up

Virus: Backdoor.Win32.Rbot.gen, ei poistu.

zanpo Member

spertti Active member

Tonski Regular member

spertti Active member

Tonski Regular member

zanpo Member

spertti Active member

zanpo Member

spertti Active member

zanpo Member

V-kos Regular member

zanpo Member

spertti Active member

Share This Page

Log in or Sign up

Virus: Backdoor.Win32.Rbot.gen, ei poistu.

zanpo Member

spertti Active member

Tonski Regular member

spertti Active member

Tonski Regular member

zanpo Member

spertti Active member

zanpo Member

spertti Active member

zanpo Member

V-kos Regular member

zanpo Member

spertti Active member

Share This Page

Useful Searches