1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

EXP/ASF.GetCodec.Gen

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi Jupsu 19.11.2008.

  1. Jupsu

    Jupsu Active member

    Liittynyt:
    30.12.2005
    Viestejä:
    1,459
    Kiitokset:
    2
    Pisteet:
    68
    Elikkä antivir löytää yhdestä mp3 tiedostostani EXP/ASF.GetCodec.Gen nimisen viruksen. tiedostoa ei pysty lisäämään foobariin joten varmaan joku pöpö on. tiedosto ei ole exe tai muu vastaava vaan ihan mp3. olisi kiva tietää onko tuo pöpö jotenkin saastuttanut konetta.

    antivir logista:

    Begin scan in 'D:\kansio\08-rihanna-disturbia__craig_cs_disturbstram ental_mix_.mp3'
    D:\kansio\08-rihanna-disturbia__craig_cs_disturbstramen tal_mix_.mp3
    [DETECTION] Contains recognition pattern of the EXP/ASF.GetCodec.Gen exploit


    kiitos vastauksista etukäteen.

    virustotalin scan tulos:


    Complete scanning result of "08-rihanna-disturbia__craig_cs_disturbstramental_mix_.m p3", processed in VirusTotal at 11/17/2008 06:37:02 (CET).

    [ file data ]
    * name..: 08-rihanna-disturbia__craig_cs_disturbstramental_mix_.mp3
    * size..: 11565140
    * md5...: 295e1c069ccccbe8a14adef9ce9514eb
    * sha1..: abd3b8a51df20b4c91bea30f55d03c25ff67b841
    * peid..: -

    [ scan result ]
    AhnLab-V3 2008.11.14.3/20081117 found nothing
    AntiVir 7.9.0.31/20081116 found [EXP/ASF.GetCodec.Gen]
    Authentium 5.1.0.4/20081117 found nothing
    Avast 4.8.1281.0/20081116 found [WMA:Wimad]
    AVG 8.0.0.199/20081116 found nothing
    BitDefender 7.2/20081117 found [Trojan.Wimad.Gen.1]
    CAT-QuickHeal 10.00/20081115 found nothing
    ClamAV 0.94.1/20081117 found nothing
    DrWeb 4.44.0.09170/20081117 found nothing
    eSafe 7.0.17.0/20081116 found nothing
    eTrust-Vet 31.6.6209/20081114 found [ASF/Wimad!generic]
    Ewido 4.0/20081116 found nothing
    F-Prot 4.4.4.56/20081116 found nothing
    F-Secure 8.0.14332.0/20081117 found nothing
    Fortinet 3.117.0.0/20081115 found nothing
    GData 19/20081117 found [Trojan.Wimad.Gen.1]
    Ikarus T3.1.1.45.0/20081117 found nothing
    K7AntiVirus 7.10.526/20081115 found nothing
    Kaspersky 7.0.0.125/20081117 found nothing
    McAfee 5436/20081116 found nothing
    Microsoft 1.4104/20081117 found [TrojanDownloader:ASX/Wimad.I]
    NOD32 3616/20081117 found [a variant of WMA/TrojanDownloader.GetCodec.gen]
    Norman 5.80.02/20081114 found nothing
    Panda 9.0.0.4/20081116 found nothing
    PCTools 4.4.2.0/20081116 found nothing
    Prevx1 V2/20081117 found nothing
    Rising 21.04.00.00/20081117 found [Trojan.DL.Win32.GetCodec.b]
    SecureWeb-Gateway 6.7.6/20081116 found [Exploit.ASF.GetCodec.Gen]
    Sophos 4.35.0/20081117 found nothing
    Sunbelt 3.1.1801.2/20081114 found nothing
    Symantec 10/20081117 found nothing
    TheHacker 6.3.1.1.155/20081115 found nothing
    TrendMicro 8.700.0.1004/20081117 found nothing
    VBA32 3.12.8.9/20081116 found nothing
    ViRobot 2008.11.17.1471/20081117 found nothing
    VirusBuster 4.5.11.0/20081116 found nothing


    tiedän siis että kysessä on varmaan jonkun moinen virus koska tiedosto ei edes toimi mutta mitä se on koneelleni mahdollisesti tehnyt?


    HJT

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:49:55, on 17.11.2008
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18000)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Program Files\foobar2000\foobar2000.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.11\RivaTunerWrapper.exe" /S
    O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
    O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwa...ash.cab
    O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
    O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

    Mbam ja superin free versio scannattu ja mitään ei löytänny. (ei ollu vikasietotilassa)
     
  2.  
  3. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    Moi "Jupsu" oltiin samaan aikaa fixari koulussa !!!

    Se toinen logi jonka lähetit VT:nettiin oli puhdas ja tässäkään
    ei ole muutakuin poistat tuon mp3:sen (tarviitko tarkemmat ohjeet ?)


    D:\kansio\08-rihanna-disturbia__craig_cs_disturbstramen tal_mix_.mp3

    D:
    .
     
  4. Jupsu

    Jupsu Active member

    Liittynyt:
    30.12.2005
    Viestejä:
    1,459
    Kiitokset:
    2
    Pisteet:
    68
    selvä, kiitos paljon.. ai oltii samaa aikaa.. no mulla se jäi "vähän" kesken se hjt koulu kun innostus meni. liian aikaa vievää oli siinä alissa löytää oikeat ohjeet että pää meinasi hajota.. varmaan se helpompaa sitten on ku olis "valmistunnu" ku ois perus asiat tienny.

    mutta, poistelen ton tiedoston (oli kyllä jos poistettu muutenki). onko sulla tietoa mitä toi tiedosto mahollisesti tekis koneelle jos pääsis jotain tekemään, ja millä mp3 soittimella mahtas olla tohon joku haavoittuvuus ku foobarilla ei ainakaa mitään tullut..=)
     
    Viimeksi muokattu: 20.11.2008
  5. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    Enpä ole kerinnyt tutia sen sielunelämää.
    Mutta noita vastaavan näköisiä ilmestyy silloin täälöin koneille
    Terolla se poisti winampin koneelta useamman kerran, kunnes
    se mp3 poistettiin.
    PS.
    Tosi on se HJT koulu.
    mulla meni 8 kk vaikka lähes jokapäivä olin asialla HI
    D:
     
  6. Jupsu

    Jupsu Active member

    Liittynyt:
    30.12.2005
    Viestejä:
    1,459
    Kiitokset:
    2
    Pisteet:
    68
    muuten yhtä et huomannut..=) mutta "2" palomuuria.. comodo jättänny vanhanki exen tonne käynnistymää ku jouduin uudellee asentaa ku ei enää security centteri tunnistannu comodoa ku tuli toi uus 3.5 päivitys.. nojoo.. nyt ei enää ole kahta comodoa ku poistin uudellee ja käytin jonku comodo uninstallerin läpi.. alkaa men hermo ton securitycentterin kaa ku eka wines et palomuuri puuttuu sit korjasin sen ja nyt ilmottelee et ei antivirusta vaik antivir koneella.. noh antaa olla sit ku ei tykkää musta.. toivottavasti uusimmassa windowsissa taas korjattais jotain näytä ihania bugeja.
     
  7. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    msconfigista tuo kannattais ruxia
    käynnistyvistä pois COMODO Internet Security

    Nuo joutaa HJT:llä pois kans:
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')

    Mulla on Vista koneessa SP1 ollut 2 kk vistan oma palomuuri ainoastaan.
    Se kysyy luvan uusille ohjelmille luvan ulosmenoon ja sisälle tuloon.
    Enkä laita muuta ennenkun joku tai jollain tapaa todistetaan
    sen olevan kelvoton kokeile.

    Laita logi niin katsotaan.
    D:

    PS.
    Kyllä sitä S-Centerin ilmoittelua voi ohjata
    turhia rutkuttamasta.
     
  8. Jupsu

    Jupsu Active member

    Liittynyt:
    30.12.2005
    Viestejä:
    1,459
    Kiitokset:
    2
    Pisteet:
    68
    mä oon tykästynny comodoo nii en kyl siit luovu..=) enbkä kyl tohon vistan omaan luota vaikka ihan ok olisikin, onhan se microsoftin tekemä ja se kertoo jo paljon..:p
     

Jaa tämä sivu