1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

HijackThis logi backdoor poebot.b

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi Sean_ 28.04.2005.

  1. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    Jussin lokinPUOLIKKAASSA ei näy muuta fixattavaa kuin tuo
    R3 - URLSearchHook: (no name) - {DB4CA3DA-A8B2-4BEE-BAD4-0B002E12F30E} - (no file)

    HjT:n asennuspaikka on kyllä hanurista, tämä näyttäisi PALJON paremmalta C:\HjT\HijackThis.exe ;)
     
  2.  
  3. olpp

    olpp Member

    Liittynyt:
    18.05.2005
    Viestejä:
    35
    Kiitokset:
    0
    Pisteet:
    16
    Hyvä homma, erittäin iso kiitos avusta! Palaan asiaan jos sitkeitä örkkejä ilmaantuu lisää :)
     
  4. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    :D :D Tämä sopii minulle :)
     
  5. lettas

    lettas Moderator Ylläpitäjä

    Liittynyt:
    03.03.2003
    Viestejä:
    4,410
    Kiitokset:
    219
    Pisteet:
    93
    Onkos toymaatti kirjoitellut tänne mitään guidea tuon hjacking käyttöön? Saat kohta puoli päivää lueskella logeja täällä kun suosio leviää. Pieni faq vois olla paikallaan selvimpiin tapauksiin.
     
  6. jussi_vaa

    jussi_vaa Guest


    siis en ymmärrä en oo laittanu sitä minnekkää' tollassee mestaa se on mulla jossain vastaan otetuissa kansisoissa..:D
    miten se on oikee tuolla?
    pitäiskö sen temp kansion olla tyhjä mulla on siellä 450 tiedostoo en tiedä mitä??!
     
  7. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    lettas, en ole ohjetta tehnyt mutta gerbiilillä on sellainen harkinnassa.

    jussi_vaa, siinähän se oikeapaikka on lainauksessasi. Kyllä niitä TEMP kansioita kannattaisi tyhjennellä suht säännöllisesti.
     
  8. jussi_vaa

    jussi_vaa Guest

    njuuh vois kai sen sit tyhjentää..;D
     
  9. olpp

    olpp Member

    Liittynyt:
    18.05.2005
    Viestejä:
    35
    Kiitokset:
    0
    Pisteet:
    16
    Terve taas. Ostin uuden koneen ja heti siellä alkaa Norman huutelemaan muuttuneista tiedostoista jne. Onko tuossa lokissa jotain mätää?

    Logfile of HijackThis v1.99.1
    Scan saved at 22:34:02, on 29.6.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
    C:\Program Files\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
    C:\Norman\Nvc\BIN\NPFSVICE.EXE
    C:\Norman\bin\ZANDA.EXE
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\ATI-CPanel\atiptaxx.exe
    C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
    C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
    C:\Norman\bin\ZLH.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Norman\Nvc\BIN\NIP.EXE
    C:\Norman\Nvc\BIN\npfmsg2.exe
    C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    C:\Norman\bin\NJEEVES.EXE
    C:\Norman\Nvc\BIN\NVCSCHED.EXE
    C:\Norman\Nvc\BIN\nipsvc.exe
    C:\Norman\Nvc\bin\nvcoas.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Norman\Nvc\bin\cclaw.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Olpp\Omat tiedostot\Ladatut\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://laajakaista.elisa.net/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PMCS] C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
    O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
    O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
    O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
    O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
    O23 - Service: Norman Type-R - Unknown owner - C:\Norman\Nvc\BIN\NPFSVICE.EXE
    O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
    O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
    O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
    O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

     
  10. Divi

    Divi Regular member

    Liittynyt:
    26.11.2004
    Viestejä:
    112
    Kiitokset:
    0
    Pisteet:
    26
    PoeBot iski koneelle kun formatoin ja oli jopa netistä irti... laitoin avastin ja sygaten ja iskin nettiin, backdoorihan sieltä tuli, sittemmin tapeltu sen kanssa eikä mitään tunnu auttavan. eScan löysi 11 kohdetta ja nimesi uudelleen, botti tuli takas 10 sekunnissa... Juu SP2 pitäs asentaa, kellään linkkiä?
    Tässäpä Hijack This logi:

    Logfile of HijackThis v1.99.1
    Scan saved at 22:44:36, on 20.10.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    D:\Ohjelmat\Sygate PF\smc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    D:\Ohjelmat\Avast!\ashDisp.exe
    D:\Ohjelmat\Messenger Plus\MsgPlus.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Ohjelmat\a2\a2guard.exe
    D:\Ohjelmat\Avast!\aswUpdSv.exe
    D:\Ohjelmat\Avast!\ashServ.exe
    D:\Ohjelmat\Ewido\security suite\ewidoctrl.exe
    D:\Ohjelmat\Ewido\security suite\ewidoguard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\wdfmgr.exe
    D:\Ohjelmat\Avast!\ashMaiSv.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe
    D:\Ohjelmat\Avast!\ashWebSv.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    D:\Ohjelmat\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Ohjelmat\Adobe Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Ohjelmat\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [avast!] D:\Ohjelmat\Avast!\ashDisp.exe
    O4 - HKLM\..\Run: [SmcService] D:\Ohjelmat\SYGATE~1\smc.exe -startgui
    O4 - HKLM\..\Run: [MessengerPlus3] "D:\Ohjelmat\Messenger Plus\MsgPlus.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [a-squared] "D:\Ohjelmat\a2\a2guard.exe"
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Ohjelmat\Adobe Acrobat\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129325965703
    O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.techsmith.com/codec/tsccinst.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Ohjelmat\Avast!\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - D:\Ohjelmat\Avast!\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - D:\Ohjelmat\Avast!\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - D:\Ohjelmat\Avast!\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - D:\Ohjelmat\Ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - D:\Ohjelmat\Ewido\security suite\ewidoguard.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Ohjelmat\Sygate PF\smc.exe

     
  11. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    Et sitten yhtään vanhempaa ketjua löytänyt? Täällä on nykyään viruksille ja haittaohjelmille oma palsta. Loki näyttäisi puhtaalta(paitsi MessengerPlussan &/#¤¤""%#&&), Avastiko siitä hälyyttää?? Sanooko Ewido mitä?? Laita se eScanin loki tänne näytille.
     
  12. Divi

    Divi Regular member

    Liittynyt:
    26.11.2004
    Viestejä:
    112
    Kiitokset:
    0
    Pisteet:
    26
    ensimmäinen ketju joka tuli vastaan PoeBot nimellä... Juu avasti hälyyttää, ajan eScanin ja ewidon ja laitan logia tänne
     
  13. Divi

    Divi Regular member

    Liittynyt:
    26.11.2004
    Viestejä:
    112
    Kiitokset:
    0
    Pisteet:
    26
    noniin, ewido löysi 3 virusta ja "poisti" ne, avast! herjaa edelleen...
    eScan ei löytäny mitään...

    Mitä pitäs tehdä, aika häiritsevää tuo avastin ilmottelu.

    EDIT* heh joo... eipä tullu heti mieleen...
     
    Viimeksi muokattu: 20.10.2005
  14. Jannejt

    Jannejt Moderator Ylläpitäjä

    Liittynyt:
    10.02.2005
    Viestejä:
    5,045
    Kiitokset:
    6
    Pisteet:
    118
    ketju siirretty oikealle alueelle.

    @Divi: viestejä voi sit muokata, edit-nappi näyttää tältä -> [​IMG]
     
  15. Divi

    Divi Regular member

    Liittynyt:
    26.11.2004
    Viestejä:
    112
    Kiitokset:
    0
    Pisteet:
    26
    Viimeksi muokattu: 22.10.2005
  16. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Ota viestinvälityspalvelu pois käytöstä.

    Käynnistä -> suorita -> services.msc -> ok -> etsi listalta viestienvälityspalvelu -> tuplaklikkaa sitä, paina seis ja valitse käynnistymistavaksi "ei käytössä" Auttoiko?
     
  17. Divi

    Divi Regular member

    Liittynyt:
    26.11.2004
    Viestejä:
    112
    Kiitokset:
    0
    Pisteet:
    26
    Auttoi, kiitos!!!

    Mutta avasti tuli takas :D tai siis PoeBot.D

    Avasti herjaa välillä tuosta eikä onnistu poistamaan sitä... muut ohjelmat ei löydä mitään:..
     
  18. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
  19. Divi

    Divi Regular member

    Liittynyt:
    26.11.2004
    Viestejä:
    112
    Kiitokset:
    0
    Pisteet:
    26
    ei löytänyt mitään... avast herjaa edelleen PoeBotista...
     
  20. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Jollei löydä, niin luulen, että Avast!:in väärä hälytys koko juttu. Koska eScan ei löytänyt aiemmin myöskään.
     
  21. Divi

    Divi Regular member

    Liittynyt:
    26.11.2004
    Viestejä:
    112
    Kiitokset:
    0
    Pisteet:
    26
    no mitenkäs tuon hälytyksen sais blokattua... se kun on jokseenkin häiritsevää... pitäskö vaihtaa anti-virus softaa??
     

Jaa tämä sivu