Hakkeri pääsi koneelle....

No vattu, mulla oli just anti´vir guard ja zonealarm päällä, haittaiskohan se? Niin ja siinä oli kohta Fix Check niin painoin sitä, ei ollu pelkkää Fix vaihto ehtoa. Se vaan ilmotti sitte että HiJackThis korjaa ja/tai poistaa valitut tiedostot...Oon nyt tolla toisella koneella siinä vikasietotilassa, alan ettiin nyt noita tiedostoja mitä käskit...

 

Nou hätä, ihan oikein meni

 

Ei löytyny vikasietotilasta mitään näistä:
C:\WINDOWS\==tuo==>jgbkj.dll
C:\WINDOWS\system32\==tuo==>atlzs.dll
C:\WINDOWS\system32\==tuo==>appzh32.exe
C:\WINDOWS\system32\==tuo==>d3uo32.exe

Tässä on nyt uusloki:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\antivir\AVGUARD.EXE
C:\Program Files\antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\ntjn32.exe
C:\Program Files\antivir\AVGNT.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HiJackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {070A9AF7-732E-A801-646D-0D9F1C0626F9} - C:\WINDOWS\system32\addyi.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fi\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [ntjn32.exe] C:\WINDOWS\ntjn32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\antivir\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing)

 

Se troijalainen näyttäs nyt olevan ad-awaren mukaan C:\WINDOWS\ntjn32.exe
Prosesseissa sitä ei kuitenkaan näy eikä kuulu.

 

Jaahas, vaihtoi nimeään!
Onhan ne piilotiedostot näkyvissä?

Sammuta tehtävienhallinnasta(Ctrl+Alt+Delete)tuo prosessi
C:\WINDOWS\ntjn32.exe

Fixaa HjT:llä nuo.
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {070A9AF7-732E-A801-646D-0D9F1C0626F9} - C:\WINDOWS\system32\addyi.dll
O4 - HKLM\..\RunOnce: [ntjn32.exe] C:\WINDOWS\ntjn32.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing)

Sitten poista vikasietotilassa jos löytyy
C:\WINDOWS\system32\==tuo==>addyi.dll
C:\WINDOWS\==tuo==>ntjn32.exe

Käynnistys normaalisti ja uusi loki.

 

C:\WINDOWS\==tuo==>ntjn32.exe <-- tämän sain poistettua
C:\WINDOWS\system32\==tuo==>addyi.dll <-- ei löytynyt

Tässä uusi loki:

Logfile of HijackThis v1.99.1
Scan saved at 21:28:23, on 27.2.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\antivir\AVGNT.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\antivir\AVGUARD.EXE
C:\Program Files\antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\HiJackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fi\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\antivir\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing)

Muuten, viime fixauksen jäljiltä windows on sammunut ja käynnistynyt taas normaalilla nopeudella.

 

No hemmetti!!

Mitäs nyt tehdään, kun se örkki hävis
Ollaan voitonpuolella

Nuo 2x015 ja 2x023 ei kylläkään suostu lähtemään?

Otas vielä eScan, päivitä se ohjeen mukaan ja scannaa, laita kopio siitä alalaatikosta tänne(jos jotain löytyy).
http://koti.mbnet.fi/pattaya1/escanmwav.htm

Tuossa voi mennä senverran aikaa(tai sitten ei)että palataan huomenna asiaan.

 

Ok, vilkasen huomenna tuota saittia. Mutta tuhannet kiitokset sulle Toymaatti! Kiitokset myös kaikille vastanneille. Oot sä kyllä hemmetin viisas mies/nainen...Kiitos oikeesti.

 

Ole Hyvä.
Vai viisas heh heh, hullun tuuria kaikki tyyni.
Vaikka örkistä päästiinkin niin pari asiaa olis vielä tekemättä. Palataan niihin eScannin jälkeen.

 

Tässä on eScanin tulokset siitä alemmasta laatikosta:

File C:\WINDOWS\apinb32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\appfx32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\appkz.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\atlhc32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\atlit.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\atlxx.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\iexb.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\ipjd32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\javahz.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\ntht32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\ntte32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\n_hgmsdq.log infected by "Trojan-Downloader.Win32.Agent.kd" Virus. Action Taken: File Deleted.
File C:\WINDOWS\sdkhw32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\appzh32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\ipyu.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\mfcaw32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\tmp.exe tagged as not-a-virus:AdWare.ToolBar.Perez.b. No Action Taken.
File C:\WINDOWS\System32\winzt.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Matti Holm\Local Settings\Temp\temp.frF0A6 infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed.
File C:\Program Files\HiJackThis\hijackthis\backups\backup-20050227-202031-282.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\Program Files\HiJackThis\hijackthis\backups\backup-20050227-212029-292.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\Program Files\Mirc\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\Program Files\Mirc\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\WINDOWS\system32\tmp.exe tagged as not-a-virus:AdWare.ToolBar.Perez.b. No Action Taken.

Hmm, mikäli tuosta mitään ymmärrän niin kyllä siellä pöpöjä vielä on.
Toymaatti, tulen koneelle taas viimeistään klo 20.00, ku on noita kouluhommia, niin jatketaan sitten jos sinulla sattuu olemaan aikaa. Ois ihan kiva saada nuo pöpöt pois.

 

Joopa, olihan siellä örkkimörkkejä ihan kivasti ja melkein kaikki joko tuhottu tai uudelleennimetty toimimattomaksi,HYVÄ!

Etsi ja poista
C:\WINDOWS\System32\==tuo==>tmp.exe
Tuota Mirc:ä se pitää riskinä, tee sen kanssa kuten haluat(lähtee Lisää/Poista sovelluksesta)
C:\Program Files\Mirc


Sitten niiden HjT rivien kimppuun, ensin ne 023.

Klikkaa Käynnistä > Suorita > (kirjoita) services.msc > OK

Etsi ikkunasta rivi > Remote Procedure Call (RPC) Helper < täsmälleen tällainen!!!
Tuplaklikkaa sitä > klikkaa "Seis" > Valitse "Käynnistystapa" alasvetovalikosta "Ei käytössä"
Klikkaa OK

Toista sama riville > Network Security Service (NSS)

Sulje ikkuna.


Sitten ne 015 rivit

http://www.mvps.org/winhelp2002/DelDomains.inf

Klikkaa linkkiä hiiren oikealla, valitse "tallenna kohde levylle..", ja laita se työpöydälle.
Sulje selain.
Klikkaa hiiren oikealla DelDomains.inf kuvaketta ja valitse ASENNA.

Fixaa nyt ne kaksi 015 riviä HijackThis:ä


Seuraavaksi voisit tyhjennellä tempit, mene noihin kansioihin ja paina Ctrl+A > Delete > Enter ja vastaa kysymykseen, "Kyllä kaikkiin"
Nuo alemmat kaikissa käyttäjätileissä
C:\Temp
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp


Ja vielä voisit pyöräyttää jonkun rekisterin putsausohjelman, esim. RegSeeker on hyvä ja osaa Suomeakin.
Ja EasyCleanerilla kun poistelet turhat pois niin väittäisinpä että koneesi alkaa olla puhdas
http://koti.mbnet.fi/pattaya1/muut_ilmaisohjelmat.htm

SpywareBlaster kannattaa asentaa suojaksi noita örkkejä vastaan.
http://koti.mbnet.fi/pattaya1/spywareblaster.htm

Sitten tee levyneheytys C:lle (onnistuu parhaiten vikasietotilassa)

Jos kone vieläkin toimii?? Sulje järjestelmänpalautus ja laita bootin jälkeen takaisin päälle, luo palautuspiste.

Vielä kun haet Winupdatesta SP2+muut tärkeät päivitykset niin johan kone kehrää tyytyväisenä.

Eipä siinä sen kummempia, pientä ilta-askaretta
Jaaniin sen DelDomains.inf kuvakkeen voit poistaa.

 

Tää linkki ei suostunu toimiin, johtuisko firefoxista?
http://www.mvps.org/winhelp2002/DelDomains.inf

Ja tuosta service pack2 vielä yks juttu. Asensin sen kerran ja kone meni aivan sekaisin, piti vikasietotilasta mennä järjestelmänpalautukseen...
Että sellaista. Sitten vielä tuo että kuinka luodaan noita palautuspisteitä? Ja oon mie tolla easycleanerilla katellu, mutta löytyy jotaki epäilyttäviä tiedostoja joista en ole varma ovatko ns. höpölöpöä vai jotaki tärkeääki...

Ne easycleanerilla löytyneet "turhat" tiedostot on kaikki (4kpl) tälläsia C:\Documents and Settings\Matti Holm\Local Settings\Temporary Internet Files\Content.ja jotaki....Uskaltaako poistaa?

 

Katos uudelleen kuinka neuvon sitä linkkiä käyttämään

Palautuspiste luodaan, Käynnistä > Kaikkiohjelmat > Apuohjelmat > Järjestelmätyökalut > järjestelmän palauttaminen.

Olisko siinä SP2 sotkenut päivittämätön palomuuri/virustorjuntasi tai SP2 oletuksena päälle menevä palomuuri??

Putsaa vain EasyCleanerilla kaikki pois, onhan siellä se KUMOA nappi josta saa palautettua poistoja jos joku ei toimi ja taitaa osa poistoista mennä roskakoriinkin.

Heh, tuo polku muistuttaa erehdyttävästi sitä joka on neuvossani tempin tyhjennykseen
C:\Documents and Settings\Matti Holm\Local Settings\Temporary Internet Files\Content.ja jotaki
Ei ku pois vaan.

 

HJt ei löytäny niitä 015 eikä myöskään niitä kahta 023, mutta ne 023:t mä poistin käytöstä kuten neuvoit.

Voinko poistaa nyt ton DelDomainsin tosta työpöydältä?
Taidankin jatkaa nyt näiden poistosta
C:\Temp
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp

Niin ja tuosta RegSeekkeristä vielä, otanko vaan tuon Clean The registry ja klikkaan OK? Vai pitiskö mun tietää vielä jotain siitä ennen tota siivousta...

 

HjT on OK.

Poista vaan kuvake.

Vaihda RecSeekerin kieli Suomeen vasemmalla ylhäällä(Languages).
Klikkaa "Puhdista rekisteri", odota kunnes on valmis, klikkaa "Valitse kaikki", Klikkaa hiiren oikealla sitä postettavien listaa ja valitse olikohan "Poista" tai jotain??

 

No nyt poistin sen rekisterin tuolla RegSeekkerillä ja olen asentanut SpyWareBlaster onnistuneesti. Eli enään olisi jäljellä ton C:n eheytys ja palautuspisteen luominen... Tuota sp2 vielä vähä tässä epäröin...:/ Enpä tiedä uskallanko asentaa sitä jos käy kuten edellisellä kerralla. Mutta nyt piipahtaan vikasietotilassa...

 

Kauankohan tuo C: aseman ehetys kestää?noin?

 

Kyllähän siinä voi aikaa vierähtää, riippuu niin monesta, aseman koosta, tiedostojen määrästä/pirstaloituneisuudesta jne.. tunti-2-3.
Vielähän sen SP2 tietysti kerkiää myöhemminkin, nyt ois vaan suht puhdas kone sille, ja puhdas palautuspiste jos ei toimisikaan.
Joku noista poistetuistakin on voinut aiheuttaa sen SP2 sekoilun.

 

Hehe, no pistin tuon kovon c:n eheytyksen eilen joskus 22.00, klo on nyt 7.45 aamulla ja se on edennyt 47%... "kuseekohan" tässä nyt joku? Juu voiskai tuota kokeilla sitte tota sp2. Menis nyt vaan tuo eheytys loppuun....

 

Tais olla toimenpide aiheellinen
Minkä kokoinen tuo C: on? Taitaa olla aika iso.
Noo.. eiköhän se valmistu vielä tänään.