1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

Virus löytynyt

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi vebo 27.11.2005.

  1. vebo

    vebo Guest

    Eli koneeltani on löytynyt viirus eikä norttoni saa poistettua sitä
    Filename rdriv.sys
    Threatname Trojan.cachecachekit
    Mitä teen, että saan sen pois?
     
  2.  
  3. jokke70

    jokke70 Regular member

    Liittynyt:
    20.01.2005
    Viestejä:
    380
    Kiitokset:
    0
    Pisteet:
    26
    Jos käyttiksenä 2000/xp niin käy tuo -> http://www.ewido.net/en/?section=download

    * Latauslinkistä tulee paketti mikä sisältää molemmat versiot ( Plus ja Free ). Asennuksen jälkeen voit kokeilla niitä Plus-version ominaisuuksia 14 pv ajan , jonka jälkeen ohjelma muuttuu Free -versioksi. Ohjelma on tarkoitettu toimimaan ainoastaan käyttöjärjestelmissä Windows 2000 / XP . Ohjelma on keskittynyt troijalaisiin, keyloggereihin ja muuhun spywareen



    * Asennuksen ja päivityksen jälkeen valitse vasemmalta scanner => Settings => tarkista,että jokaisessa kohdassa on ruksi paikallaan ja muuta kohdassa What to scan? täppi kohtaan Scan every file.Paina OK.

    * Tämän jälkeen vasta valitse kohta Complete System Scan ja scannaus alkaa. Jos tulee ilmoitus Infected object found! Tarkista,että kohdassa Create encrypted backup in the quarantine on ruksi ja laita ruksi itse kohtaan Perform action with all infections. Kohdassa Perform action: on oletuksena Remove. Suosittelen jättämään sen paikalleen vaikka sieltä voi myös valita None. Paina OK. Scannauksen päätyttyä voit tallentaa raportin teksti muodossa.
     
  4. aaxxeell

    aaxxeell Regular member

    Liittynyt:
    28.07.2005
    Viestejä:
    2,145
    Kiitokset:
    0
    Pisteet:
    46
  5. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Sori, mutta toi ei lähde pois kummallakaan :) Se on rootkit ja sille on ihan oma fixinsä.

    Laita ensin HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.
     
  6. vebo

    vebo Guest

    Logfile of HijackThis v1.99.1
    Scan saved at 14:26:15, on 28.11.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\RevConnect\DCPlusPlus.exe
    C:\hjt\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133118465968
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
    O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

     
  7. Disa-

    Disa- Regular member

    Liittynyt:
    06.09.2005
    Viestejä:
    860
    Kiitokset:
    0
    Pisteet:
    26
    Lisää/poista -sovelluksesta:

    Alexa Toolbar <- Jos on

    Sitten fixaukseen, eli do a system scan only, laita rastit seuraaviin ja fix checked:

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    Käynnistä vikasietotilaan (F8 käynnistyksen yhteydessä) poista seuraavat:

    C:\WINDOWS\web\related.htm <- tiedosto

    http://www.f-secure.com/blacklight/ <- Lataa, skannaa ja sano löytikö se mitään.


    Windows update on ystäväsi ;)
     
    Viimeksi muokattu: 28.11.2005
  8. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Sori Disa-, mut mä tulen nyt väliin :)

    Noi muut voit tehdä paitsi tuon blacklightin.

    Hae ewido -> http://www.ewido.net/en/download
    Asenna ja päivitä, mutta älä skannaa vielä

    Hae rdrivrem -> http://www.atribune.org/downloads/rdrivrem.zip
    ja pura se työpöydälle

    Hae cleanup -> http://www.stevengould.org/software/cleanup/download.html
    ja asenna se

    Käynnistä vikasietotilaan (F8 käynnistyksen yhteydessä)

    Avaa rdrivrem-kansio työpöydältä ja tuplaklikkaa rdrivRem.bat
    Seuraa ohjeita. Kun fixi on valmis, rdriv.txt-tiedosto löytyy
    ko. kansiosta

    Skannaa ewidolla. Anna poistaa, mitä löytää ja tallenna sen raportti

    Avaa Cleanup!

    options -> custom cleanup!

    Valitse nämä ja katso, ettei mitään muuta ole valittuna:

    [*]Empty Recycle Bins
    [*]Delete Cookies
    [*]Delete Prefetch files
    [*]Cleanup! All Users

    Paina ok ja sitten cleanup!

    Jos cleanup! haluaa käynnistää koneen, paina no.

    Käynnistä normaalisti.

    Lähetä rdriv.txt-tiedoston sisältö ja ewidon raportti tänne.
     
  9. vebo

    vebo Guest

    Anteeksi laitoin vahingossa eka tuon hjk login ja sitten vasta scannasin
    ewidolla
    Tuossa on uus logi ewidon jälkeen:
    Logfile of HijackThis v1.99.1
    Scan saved at 15:05:02, on 28.11.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\MSmedia.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\RevConnect\DCPlusPlus.exe
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\hjt\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133118465968
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
    O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

     
  10. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Siis teitkö noiden mun ohjeiden mukaan? Ewidon skanni piti tehdä vikasietotilassa ja lisäksi ajaa rdrivrem ja cleanup!

    EDIT: Samalla vaivalla voit tehdä sitten tämän:

    Fixaa:

    O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe

    sitten suorita -> services.msc. Etsi listalta MicroSoft Media Tools, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi "ei käytössä".
    Sitten kun ewidon skannia ym. varten käynnistät vikasietotilaan, niin poista tämä ennen rdrivfixiä ja ewidon skannia:

    C:\WINDOWS\==>MSmedia.exe<==
     
    Viimeksi muokattu: 28.11.2005
  11. vebo

    vebo Guest

    Siis se ei mennyt vikasietotilaan F8 painamalla.
    Painoin F8 ja se meni ihan normaalisti windowsiin
     
  12. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Pidä sitä F8:a pohjassa käynnistyksen yhteydessä niin kauan, kunnes tulee käynnistysvalikko. Valitse siitä valikosta vikasietotila.
     
  13. vebo

    vebo Guest

    Sori en jotenkin nähny tuota yhtä tekstii joten en poistanut enen msmedia.exe
    rdrivren laitto tämmösen

    ~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~


    ~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~



    ~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~


    ~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

    rdriv.sys present!


    ~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~


    ~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~



    ~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

    Onko tuo se oikee`? ^^
    ja ewido
    ---------------------------------------------------------
    ewido security suite - Scan report
    ---------------------------------------------------------

    + Created on: 15:39:14, 28.11.2005
    + Report-Checksum: A02A4436

    + Scan result:

    :mozilla.27:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Questionmarket : Cleaned with backup
    :mozilla.28:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Ru4 : Cleaned with backup
    :mozilla.29:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
    :mozilla.31:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Ru4 : Cleaned with backup
    :mozilla.34:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Burstnet : Cleaned with backup
    :mozilla.35:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Burstnet : Cleaned with backup
    :mozilla.37:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
    :mozilla.38:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
    :mozilla.39:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
    :mozilla.40:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
    :mozilla.57:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Spylog : Cleaned with backup
    :mozilla.59:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Cleaned with backup
    :mozilla.60:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Cleaned with backup
    :mozilla.61:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Cleaned with backup
    :mozilla.62:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Cleaned with backup
    :mozilla.75:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Fastclick : Cleaned with backup
    :mozilla.76:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Fastclick : Cleaned with backup
    :mozilla.77:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Fastclick : Cleaned with backup
    :mozilla.78:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Casalemedia : Cleaned with backup
    :mozilla.79:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Casalemedia : Cleaned with backup
    :mozilla.80:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Casalemedia : Cleaned with backup
    :mozilla.87:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
    :mozilla.88:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
    :mozilla.90:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Cleaned with backup
    :mozilla.105:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.107:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.108:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.109:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.110:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.111:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.112:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.113:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.114:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.115:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.116:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.117:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.118:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.119:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.120:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.121:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.122:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.123:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.124:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.125:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.126:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.127:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.128:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.129:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.130:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Paypopup : Cleaned with backup
    :mozilla.134:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
    :mozilla.135:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Com : Cleaned with backup
    :mozilla.136:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
    :mozilla.138:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Atdmt : Cleaned with backup
    :mozilla.139:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Pointroll : Cleaned with backup
    :mozilla.140:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Pointroll : Cleaned with backup
    :mozilla.141:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Pointroll : Cleaned with backup
    :mozilla.147:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Googleadservices : Cleaned with backup
    :mozilla.152:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Advertising : Cleaned with backup
    :mozilla.154:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup
    :mozilla.155:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup
    :mozilla.157:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Trafic : Cleaned with backup
    :mozilla.162:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
    :mozilla.163:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Falkag : Cleaned with backup
    :mozilla.164:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup
    :mozilla.166:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Mediaplex : Cleaned with backup
    :mozilla.171:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
    :mozilla.172:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup
    :mozilla.175:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\s3jfazc2.default\cookies.txt -> Spyware.Cookie.Hitbox : Cleaned with backup


    ::Report End

    Ja vielä hjt logi perään
    Logfile of HijackThis v1.99.1
    Scan saved at 15:55:45, on 28.11.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\RevConnect\DCPlusPlus.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\hjt\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133118465968
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

     
    Moderaattorin viimeksi muokkaama: 28.11.2005
  14. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Ok, rdriv.sys on ilmeisesti lähtenyt pois. Teitkö varmasti "Complete System Scan"in ewidolla? Jollet, tee se uudestaan vikasietotilassa.

    Tee tämä, jos et jo tehnyt:

    Fixaa:

    O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe

    sitten suorita -> services.msc. Etsi listalta MicroSoft Media Tools, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi "ei käytössä".

    Laita piilotiedostot näkyviin, ohje -> http://keskustelu.afterdawn.com/thread_view.cfm/248944

    Katso löydätkö tämän ja kerro löytyykö:

    C:\Windows\system32\==>rdriv.sys<==

    Poista vikasietotilassa:

    C:\WINDOWS\==>MSmedia.exe<==

    Lähetä uusi HjT-loki
     
  15. vebo

    vebo Guest

    laitoin hjt login tuohon äskeisen jutun loppuun.
    ewidolla tein varmasti "Complete System Scan"
    Öö..löysin rdriv ja en se oli siinä mutta kun ''mustasin'' sen ni se katosi ja norttoni valitti sitä viirusta
     
  16. benalma

    benalma Member

    Liittynyt:
    28.01.2005
    Viestejä:
    6
    Kiitokset:
    0
    Pisteet:
    11
    Niinhän se norttoni herjaa melkein aina.Asenna f-secure niin ongelma poistuu,Mullahan oli tuo nortton ongelma just-mutta f-secure auttoi poistamaan pöpöt.
     
  17. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Selvä. Sitten käynnistä uudestaan vikasietotilaan ja tee uudestaan tämä:

    Avaa rdrivrem-kansio työpöydältä ja tuplaklikkaa rdrivRem.bat
    Seuraa ohjeita. Kun fixi on valmis, rdriv.txt-tiedosto löytyy
    ko. kansiosta.

    Käynnistä uudelleen ja lähetä sen rdriv.txt:n sisältö.

    Jos ei auta, niin pitää keksiä muuta.

     
  18. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Ei Norton eikä F-secure osaa poistaa tuota, ihan vaan tiedoksi ;)
     
  19. vebo

    vebo Guest

    Joo en löytäny msmedia.exee
    koitan enää yhen kerran tuota rdrivremiä!

     
  20. vebo

    vebo Guest

    ~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~



    ~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

    Tuommonen tuli
    Siis siinä ei sanota kun kaksi vaihentta paina enttieriä eka jolloin siin lukee että 1 file copied ja sitten paina jotain nappia jatkaaksesi
    ja kun sitä painaa niin se vaan sammuu
    Anteeksi tyhmyyttäni mutta en tiedä onko tuo .bat, mutta ainakin se on
    ms-dos komentojonotiedosto
     
    Moderaattorin viimeksi muokkaama: 28.11.2005
  21. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Selvä.

    Kato nyt löytyykö:

    C:\Windows\system32\==>rdriv.sys<==

    Jos löytyy, tee näin:

    Hae KillBox

    http://www.bleepingcomputer.com/files/spyware/KillBox.zip

    Pura,avaa ja täppi kohtaan [bold]Delete on Reboot[/bold]
    Sitte kopioi rivi tosta alapuolelta

    C:\Windows\system32\rdriv.sys

    Sitten KillBoxissa ylhäältä File > Paste from Clipboard
    Sen jälkeen paina Delete (punainen, jossa on valkonen X)
    Vastaa myöntävästi kysymyksiin ja jos kone ei itestään käynnisty uudestaan,niin käynnistä se.

    Ja katso lähtikö rdriv.sys ja kerro se tänne.
     
    Viimeksi muokattu: 28.11.2005

Jaa tämä sivu