Trojan.Win32 , StartPage.uz

Viestiketju Ajuri- ja softaongelmat -osiossa. Ketjun avasi ande 08.05.2005.

  1. ande

    ande Regular member

    Liittynyt:
    17.02.2003
    Viestejä:
    143
    Kiitokset:
    0
    Pisteet:
    26
    Meikäläisellä on pieni ongelma tuollaisen pöpön kanssa. Käyttiksenä win xp.
    Se luo automaattisesti internet exploreria avattaessa c:\documents and settings\käyttäjä\local settings\temp\se.dll tiedoston jota ei voi sen syntymisen jälkeen poistaa kuin vikasietotilassa.
    Se syntyy uudestaan myös vikasietotilassa jolloin kone on käynnistettävä uudelleen. Virus vaihtaa aloitus sivuksi about blank sivuston jne.

    Olen yrittänyt spybottia, adawarea, microsoft antispywarea ja olen etsinyt regeditillä nuo se.dll tiedostoon viittaavat rekisterit ja poistanut suon se.dll tiedoston, sekä hijackthis:llä vielä tarkistanur rekisterin. Olen myös vaihtanut aloitus sivuksi googlen. Mutta ei... se vain luo rekisterinsä uudestaan ja uudestaan ja luo sen se.dll:n uudestaan . Mikä avuksi. Joku on varmaan törmännyt samaiseen joskus ja tietää mihin kaikkialle tuo virus oikein pesiytyy..

    hijackthis loki nyt:


    Logfile of HijackThis v1.99.1
    Scan saved at 14:32:44, on 8.5.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Documents and Settings\Hannu\Työpöytä\hijackthis\hijackthis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {3C9D8F8F-DA60-4884-841F-33D932BEC950} - C:\WINDOWS\System32\fknn.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [LaunchApp] LaunApp
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
    O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Acer\Launch Manager\LaunchAp.exe"
    O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Acer\Launch Manager\PowerKey.exe"
    O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Acer\Launch Manager\HotkeyApp.exe"
    O4 - HKLM\..\Run: [KeyHook] "C:\Program Files\Acer\Launch Manager\KeyHook.exe"
    O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Acer\Launch Manager\CtrlVol.exe"
    O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
    O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll,DllInstall
    O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe
    O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: BTTray.lnk = ?
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\MSI\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=http://elisa.net/
    O18 - Filter: text/html - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll
    O18 - Filter: text/plain - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: F-Secure Internet Security 2004 (BackWeb Client - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\MSI\Bluetooth Software\bin\btwdins.exe
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
    O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
    O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
    O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\fswsclds.exe

    Olen poistanut jo useampaan otteeseen nuo aboutblank/se.dll rekisterimerkinnät mutta ne vain uusiutuvat!!!
     
    ande, 08.05.2005
    #1
  2.  
  3. V-kos

    V-kos Regular member

    Liittynyt:
    13.03.2005
    Viestejä:
    1,345
    Kiitokset:
    0
    Pisteet:
    46
    Tuo voi olla aikaa sitkee pirulainen, mutta toivotaan että se lähtee ku näkee Toymaatin.
     
    V-kos, 08.05.2005
    #2
  4. ande

    ande Regular member

    Liittynyt:
    17.02.2003
    Viestejä:
    143
    Kiitokset:
    0
    Pisteet:
    26
    Mikähän tuo fknn.dll oikein on. Ei tuntunut oikein löytyvän tietoa tuosta tiedostosta. Voisinpa melkein kokeilla sen poistamista.
     
    ande, 08.05.2005
    #3
  5. morbir

    morbir Regular member

    Liittynyt:
    26.11.2003
    Viestejä:
    939
    Kiitokset:
    0
    Pisteet:
    26
    Viimeksi muokattu: 08.05.2005
    morbir, 08.05.2005
    #4
  6. ande

    ande Regular member

    Liittynyt:
    17.02.2003
    Viestejä:
    143
    Kiitokset:
    0
    Pisteet:
    26
    Enpä ole löytänyt korjaustiedostoja. SP2:nen on harkinnassa. Tuo keskustelu tuli kyllä tutkittua, mutta vahingolisesti nuokaan ei tepsineet. Taitaa olla hiukan eri versio, kun ei ole noita acbodda.dll:ään viittaavia rekistereitä. Selaimen vaihtokin voisi olla hyvä idea.
     
    ande, 08.05.2005
    #5
  7. LaLLi80

    LaLLi80 Senior member

    Liittynyt:
    23.11.2003
    Viestejä:
    5,010
    Kiitokset:
    0
    Pisteet:
    116
    Ei kai...mitä turhaan IE tuo jännitystä elämään..se on ihan ehdottomasti superparas selain...NOT! En ymmärrä ihmisiä jotka käyttää IE:tä muuhun kuin Windows Updateen. No ei kaikki voi olla kaukaa viisaita.

    Kuten ande sanoi toi taitaa olla jokin random generoitu dll. Ei löydy tietoa netistä.
    O2 - BHO: (no name) - {3C9D8F8F-DA60-4884-841F-33D932BEC950} - C:\WINDOWS\System32\fknn.dll
    O18 - Filter: text/html - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll
    O18 - Filter: text/plain - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll

    Toi nyt on ihan selvä ongelmakohta.
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll,DllInstall

    Sulla taitaa olla useampi antispyware tutka päällä...tarpeetonta.
     
    LaLLi80, 08.05.2005
    #6
  8. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    Moro ande, tiiäkkö mitä nyt tehdään?? Nyt annetaan örkille kyytiä :)) (toivottavasti)

    Ihan ensimmäiseksi siirrä Hjt kansioineen tuonne C:\hijackthis\hijackthis.exe

    Laita piilotiedostot näkyviin
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

    Hae linkistä työkalu, pura se työpöydälle, tuplaklikkaa kuvaketta ja kun kone käynnistyy uudelleen niin mene VIKASIETOTILAAN.
    http://www.derbilk.de/SpSeHjfix112.zip

    Merkkaa nuo HjT:ssä, sulje muut ikkunat, klikkaa Fix
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {3C9D8F8F-DA60-4884-841F-33D932BEC950} - C:\WINDOWS\System32\fknn.dll
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll,DllInstall
    O18 - Filter: text/html - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll
    O18 - Filter: text/plain - {757F7309-A9A6-4727-93EF-2063E89E0C53} - C:\WINDOWS\System32\fknn.dll

    Etsi ja poista tuo
    C:\WINDOWS\System32\===>fknn.dll<===
    Tyhjennä tuo temp kansio
    C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp

    Käynnistä normaalisti, kokeile ja kuulostele, aja HjT ja katso pysyivätkö nuo poistetut rivit poissa??
     
    Toymaatti, 08.05.2005
    #7
  9. ande

    ande Regular member

    Liittynyt:
    17.02.2003
    Viestejä:
    143
    Kiitokset:
    0
    Pisteet:
    26
    Jep. Lähtihän se pöpö menemään!!! Oli tuo kyllä etsinnän alla. Koneessa oli lisäksi win32.blaster mato yms.
    Uskoakseni tuo fknn.dll oli juuri siitä viruksesta.
    Kun se mato oli poistettu symantecin sivuilta löytyvällä poisto työkalulla, ajoin cwshedderillä tarkistuksen ja sieltä löytyi coolwebsearchista erilaisia versioita.
    Sen jälkeen poistin hijackthis:illa seuraavat rekisterit:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\se.dll,DllInstall

    Ne fknn.dll tiedoston rekisterit olivat poistuneet uskoakseni blaster wormin poisto-ohjelmalla.

    Sitten tuli käytettyä tuota http://www.derbilk.de/SpSeHjfix112.zip :iä
    Jonka jälkeen poistin fknn.dll:n ja käyttäjien temp kansioiden sisällön uudemman kerran (olin jo ennen varsinaista urakkaa kerran tyhentänyt kaikki väliaikaistiedostot yms.)

    Lopuksi ajoin scannit spybotilla ja microsoftin antispywarella sekä xoftspylla. spybot ja antispyware löysivät molemmat vielä tuosta viruksesta jämiä ja ne poistettiin.

    xoftspysta meikäläisellä ei ollut kuitenkaan rekisteröityä versiota ja joudui poistamaan sen löytämät rekisterivirheet manuaalisesti regeditin avulla. Niitä oli noin kahdeksan. Samalla löysin muutamia muitakin oleellisia rekistereitä jotka oli syytä poistaa. mm. toolbareihin liittyviä jne. Ja oli tuosta coolwebsearchista vielä pieni jämä tuonne jäänyt.

    Mutta nyt kaikki toimii niin kuin pitääkin.
    Ei enää virhe ilmoituksia. Latasin vielä varmuuden vuoksi mozilla ja otin sen koekäyttöön. Nyt ei pitäisi nuo samat enää vaivata.

    Sen näistä käytetyistä koneista saa. Kunnon matolaatikko tämäkin...
     
    ande, 08.05.2005
    #8
  10. sakke99

    sakke99 Guest

    Itse painin saman ongelman kanssa ja en sitten löytänyt muuta ratkaisua
    että koko winToosa uusiksi.
    Mulla lakkasi toimimasta palomuurit ja virustarkistus ohjelmat
    prosessit juoksi 100% eli koneestani tuli oikea muurais virus pesäke
    - arvaa Kypsyttikö?
     
    sakke99, 21.05.2005
    #9
  11. V-kos

    V-kos Regular member

    Liittynyt:
    13.03.2005
    Viestejä:
    1,345
    Kiitokset:
    0
    Pisteet:
    46
    Kyllähän se varmaan kypsyttää. Pidä windows päivitettynä, virustorjunta ajantasalla, käytä firefoxia ja asenna SpyweraBlaster ja joku spywarenpoisto ohjelma niin olet paremmin suojassa. Tutustu tuosta linkistä löytyviin muihinkin ohjelmiin.

    http://keskustelu.afterdawn.com/thread_view.cfm/162275
     
    V-kos, 21.05.2005
    #10

Jaa tämä sivu