Luulen että koneellani on jokin haittaohjelma?

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi Jussa81 10.02.2006.

  1. Jussa81

    Jussa81 Member

    Liittynyt:
    10.02.2006
    Viestejä:
    19
    Kiitokset:
    0
    Pisteet:
    11
    En ymmärrä näistä virus/haittaohjelma jutuista paljoakaan. Luulen että koneellani on jokin haittaohjelma, koska koneeni käynnistyy uudestaan jos sillä ei tee mitään vähään aikaan. Ennen kone boottasi itsensä noin tunnin kuluttua, mutta eilisestä lähtien boottaus tulee jo 2min kuluttua. Ongelmaa ei ole jos taustalla pyörii koko ajan esim. Winamp.

    Olen ajanut säännöllisesti päivitetyt versiot ohjelmista:
    - F-secure
    - Ad-Aware
    - Spybot
    - BitDefender 8 Free
    - Mikrosoftin haittaohjelman poistaja
    - Windows Worms Doors Cleaner

    Näillä ei mitään kummempaa ole löytynyt, ja ongelma on ollut jo lähes vuoden, eilinen "paheneminen" sai kuitenkin ihmettelemään mistä ihmeestä tässä on kyse...?

    Asensin juuri koneelleni tuon HijackThis -ohjeman, voinko sen hjt-login laittaa tänne "turvallisesti" vai kannattaako siitä jättää jotain koneen/käyttäjän "tunniste" juttuja pois?
     
  2.  
  3. mikkoi

    mikkoi Regular member

    Liittynyt:
    14.05.2004
    Viestejä:
    702
    Kiitokset:
    0
    Pisteet:
    26
    Senkus vaan lähetät sen tänne niin jotkut asiantuntijat voi kertoa on logissa jotain vikaa.
     
    Viimeksi muokattu: 10.02.2006
  4. blade81

    blade81 Active member

    Liittynyt:
    29.07.2003
    Viestejä:
    1,287
    Kiitokset:
    0
    Pisteet:
    66
    Tuskin siellä mitään niin salaista on. Ei muuta kuin tänne vaan tarkastukseen. :)
     
  5. spertti

    spertti Active member

    Liittynyt:
    01.06.2005
    Viestejä:
    1,222
    Kiitokset:
    0
    Pisteet:
    66
    Jos haluat, niin voit toki korvata käyttäjänimesi, jos se esimerkiksi jossain tiedostopolussa näkyy vaikkapa xxxxx merkinnällä.
     
  6. Jussa81

    Jussa81 Member

    Liittynyt:
    10.02.2006
    Viestejä:
    19
    Kiitokset:
    0
    Pisteet:
    11
    Ok. Ajoin eScan:n myös ja se löysi seuraavaa:

    File C:\Documents and Settings\xxxxxxx\Application Data\SecuROM\UserData\???????????p???????? infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

    File C:\Documents and Settings\xxxxxxx\Application Data\SecuROM\UserData\???????????p??????????? infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

    mitä noi on?
    yritin poistaa koko tiedoston, mutta ilmoitti ettei voi poistaa.
    _________________________________________________



    Logfile of HijackThis v1.99.1
    Scan saved at 21:32:23, on 10.2.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\WINDOWS\soundman.exe
    C:\Program Files\D-Tools\daemon.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\Softwin\BitDefender8\bdmcon.exe
    C:\Program Files\Softwin\BitDefender8\bdnagent.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
    C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\Common\FNRB32.EXE
    C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
    C:\Program Files\F-Secure\Common\FIH32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\HJT\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mtv3.fi/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fi/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL
    O4 - HKLM\..\Run: [SoundMan] soundman.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
    O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://koti.sonkajarvi.net/activex/AxisCamControl.cab
    O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
    O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


    Kiitokset avusta jo etukäteen!
     
  7. spertti

    spertti Active member

    Liittynyt:
    01.06.2005
    Viestejä:
    1,222
    Kiitokset:
    0
    Pisteet:
    66
    Loki on kunnossa. Nuo SecuRom hässäkät liittyvät johonkin kopiosuojaukseen. Siis ovat voineet tulla vaikkapa jonkin pelin mukana, ja ovat erittäin vaikeita poistaa, joskaan eivät tosiaan ole vaarallisia.
     
  8. Jussa81

    Jussa81 Member

    Liittynyt:
    10.02.2006
    Viestejä:
    19
    Kiitokset:
    0
    Pisteet:
    11
    Kiitos! Hyvä että loki on kunnossa. Mut mikähän ton boottaamisen aiheuttaa? Kohtuu rasittavaa kun käy vaikka kahvilla eikä muista jättää Winampia päälle. Ei liene koneellekaan kovin terveellistä? Voisko se olla jotakin "fyysistä" emolevyssä tai jotakin?
     
  9. spertti

    spertti Active member

    Liittynyt:
    01.06.2005
    Viestejä:
    1,222
    Kiitokset:
    0
    Pisteet:
    66
    Tuo saattaa johtua ihan jostain Windowsin asetuksistakin. Laitapa uusi viestiketju tuonne Windows ongelmat alueelle, jossa kuvailet ongelmaasi mahdollisimman tarkasti, niin ne sen alan expertit osaavat varmaankin neuvoa sinua paremmin. Ei vaikuta tosiaan miltään rautaongelmalta, jos kone pysyy silloin päällä kuitenkin jos esim: winamp hyrisee taustalla.
     
  10. admins

    admins Guest

    oletko varma että kone käynnistyy uudelleen, ettei sinulla olisi näytönsäästäjän asetuksissa että loggaudu ulos koneesta/ ajoitetuissa tehtävissä jotain joka jostain syystä haluaa käynnistää koneen uudelleen. Virran säästö???. Miten huomaat että kone buutannut.
     
    Moderaattorin viimeksi muokkaama: 10.02.2006
  11. Jussa81

    Jussa81 Member

    Liittynyt:
    10.02.2006
    Viestejä:
    19
    Kiitokset:
    0
    Pisteet:
    11
    Jep! Hieno juttu että tallainen palsta on olemassa. Näitä kaltaisiani tunareita taitaa riittää ihan vaivaksi asti=)

    ps. liike idea..?
     
  12. Jussa81

    Jussa81 Member

    Liittynyt:
    10.02.2006
    Viestejä:
    19
    Kiitokset:
    0
    Pisteet:
    11
    BINGO!!!

    Sielähän se vika oli! Ja toi käynnistys ajan lyheneminen 2 minuuttiin johtuu siitä, että sain eilen uuden LCD näytön (Benq), ajattelin "rasittaa" sitä kunnolla että viat paljastuisi kaupan purkuajan puitteissa. Muutin sit asetuksista ruudun sammumisajankohdaksi "never", samalla olin näköjään räveltänyt entisen 1h "system standby" ajaksi 2min!!

    Ei vitsi mä oon tyhmä=D
     
  13. spertti

    spertti Active member

    Liittynyt:
    01.06.2005
    Viestejä:
    1,222
    Kiitokset:
    0
    Pisteet:
    66
    Heh =) No tulipa samalla todettua koneen puhtaus... Jotain tuonne asetuksiin viittaavaahan tuossa aavistelinkin. Hyvä että ongelma selvisi
     
  14. Yuza81

    Yuza81 Guest

    @Jussa81
    Jätä noi muut ad-awaret ym. pois ja hae ewido :)
    http://www.ewido.net/en/download/
    lataa,asenna,päivitä ja aja :) http://keskustelu.afterdawn.com/thread_view.cfm/269186 <---tossa vielä käyttöohje :D ja sit escan olis toinen mitä vois myös käyttää.. :) siinä olis aka kova pakeeti :) f-secure/ewido/escan :) ainaskin madot ja muut pysyy loitolla..

    Edit:vaikka eihän tässä ollut kysessä loppujen lopuks edes mato :) ja ei tulis niitä vastaisuudessakaan :D
     
    Moderaattorin viimeksi muokkaama: 10.02.2006
  15. Jussa81

    Jussa81 Member

    Liittynyt:
    10.02.2006
    Viestejä:
    19
    Kiitokset:
    0
    Pisteet:
    11
    Kiitti vinkistä!
    Taidanpa tehdä näin=)
     
  16. Yuza81

    Yuza81 Guest

    juu ei mitään ;)
     

Jaa tämä sivu