Latasin tuossa Malware Scannerin ja ajoin sen läpi. Tuloksena oli 1) W32MydoomaAZ@mm C:\WINDOWS\JAVA 2) Remacc.SpyAnywhere C:\WINDOWS\SNMPAPI.DLL 3) Dsktop Surveil C:\WINDOWS\IUN6002.EXE 4) Other C:\WINDOWS\SYSTEM\SPOO32.EXE ja Malware RegKey: Remacc.Surveil .zlg\ Sen jälkeen yritin poistaa Mydoomin; ajoin Avastilla (ajantasalla)-ei löytänyt, Avast Cleaneril -ei löytänyt, Symtecin FxMydoom:n -ei löytänyt. Käsittääkseni ainakin tuo 3) ja 4) ei ole viruksia/haittaohjelmia. Tämän jälkeen skannasin vielä koneeni A-squarella, Ad-awarella. Olen myöskin vähän aika sitten skannannut koneeni läpi Spybotilla. Eikä ole löytynyt mitään spyware-ohjelmia. Ajattelinkin tässä ekaksi varmistaa, ettei Malware Scanner keksi omiaan ja kysyäkkin, että majaileeko Mydoom koneellani vaikka Avasti ja FxMydoom ei sitä löytänyt. Tekisin online skannauksen, mikäli ei modeemia käytössä olisi. Tuskimpa noiden ohjelmien poistamisella nyt superkiire on (, kerta modeemi on käytössä eikä netissä tule selailtua laajakaistan tavalla), mutta kaipa ne pitää poistaa Tässä on vielä HighjackThis:n logi (jos siitä jotakin hyötyä olisi : ogfile of HijackThis v1.99.1 Scan saved at 18:07:34, on 26.5.2005 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\EPSON\EBAPI\SAGENT2.EXE C:\OHJELMATIEDOSTOT\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\RSCMPT.EXE C:\WINDOWS\SM56HLPR.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\OHJELMATIEDOSTOT\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE C:\OHJELMATIEDOSTOT\MICROSOFT HARDWARE\MOUSE\POINT32.EXE C:\OHJELMATIEDOSTOT\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\OHJELMATIEDOSTOT\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\OHJELMATIEDOSTOT\SPYWAREGUARD\SGMAIN.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\OHJELMATIEDOSTOT\SPYWAREGUARD\SGBHP.EXE D:\OHJELMAT\SPYWARE\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.fi.soneraplaza.net/cgi/sonera-ie5 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.fi/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soneraplaza.fi/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Sonera Plaza Oy R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;*.*.fi;*.*.*.fi;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: YBIOCtrl Class - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\JUSTDO\JD2002.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\OHJELM~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Ohjelmatiedostot\GetRight\xx2gr.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\OHJELMATIEDOSTOT\SPYWAREGUARD\DLPROTECT.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Rscmpt] C:\WINDOWS\SYSTEM\Rscmpt.exe O4 - HKLM\..\Run: [ALiSndMgr] ALiSndMg.exe O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [avast! Web Scanner] C:\OHJELM~1\ALWILS~1\AVAST4\ASHWEBSV.EXE O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Ohjelmatiedostot\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [ashMaiSv] C:\OHJELM~1\ALWILS~1\AVAST4\ashmaisv.exe O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Ohjelmatiedostot\Yhteiset tiedostot\EPSON\EBAPI\SAgent2.exe O4 - HKLM\..\RunServices: [avast!] C:\Ohjelmatiedostot\Alwil Software\Avast4\ashServ.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - Startup: Officen käynnistys.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft Office Pikahaku.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE O4 - Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: SpywareGuard.lnk = C:\Ohjelmatiedostot\SpywareGuard\sgmain.exe O8 - Extra context menu item: Save Flash with Flash Catcher - res://C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\JUSTDO\IECatcher.DLL/FlashCatcher.htm O8 - Extra context menu item: Download with GetRight - C:\Ohjelmatiedostot\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Ohjelmatiedostot\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\JUSTDO\IECatcher.DLL O9 - Extra 'Tools' menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\JUSTDO\IECatcher.DLL O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll O12 - Plugin for .spop: C:\OHJELM~1\INTERN~1\Plugins\NPDocBox.dll O16 - DPF: Yahoo! PageBuilder - http://pagebuilder.yahoo.com/members/tools/pagebuilder/prod/client.2.60.23/code/client.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (YBIOCtrl Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio4024.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003012801/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetupml.cab O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
Jaahas, Malware Scanneria en tunne ja hieman epäilyttää nuo löydöt?? Ainut minkä minä noista suorilla poistaisin on(HUOM! EI SPOOL32.EXE) C:\WINDOWS\SYSTEM\SPOO32.EXE . Loki on minusta puhdas, mutta nuo voit fixata pois, eli laita merkki HjT:ssä noiden eteen, sulje selain ja klikkaa Fix O2 - BHO: YBIOCtrl Class - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: Yahoo! PageBuilder - http://pagebuilder.yahoo.com/members/tools/pagebuilder/prod/clien... Tuo Yahookin vain sen takia ettei siinä ole CLSID tunnusta Kerro minkä kokoisia nuo muut tiedostot ovat? C:\WINDOWS\JAVA C:\WINDOWS\SNMPAPI.DLL C:\WINDOWS\IUN6002.EXE Edit:Saat koon selville klikkaamalla tiedostoa/kansiota hiirenoikealla ja valitset Ominaisuudet
C:\WINDOWS\JAVA koko 49 kt C:\WINDOWS\SNMPAPI.DLL koko 32 kt C:\WINDOWS\IUN6002.EXE koko 708 kt. Hmm. Tämäpäs on perin mielenkiintoista -etsiskelin tuota SPOO32.exe-tiedostoa, eikä kyllä löydy sieltä mistä Malware Scanner sen sanoo olevan. Taitaa olla parasta poistaa Malware Scanner?
Laita piilotiedostot näkyviin jos se sitten löytyisi http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339 Ovat senverran pieniä että nuo voi tarkistaa Jotilla. Klikkaa > Selaa < ja ja etsi tarkistettava tiedosto, klikkaa > Submit < niin se kertoo hetkenpäästä onko se örkki vai ei. Tuo JAVA on kai kansio, eli tarkista sen sisältö. http://virusscan.jotti.org/
Unohdin laittaa tuon .exe lopun Java-tiedoston perään. Etsin uudelleen niin, että piilotiedostotkin olivat näkyvillä eikä löytynyt SPOO32:sta. Jottin skannerin mukaan nuo muut tiedostot ovat puhtaat. Poistan tuon Malware Scannerin kerta siihen ei näytä olevan luottamista! Kiitos vaivannäöstä! nim. katsoo seuraavaksi kaksi kertaa minkä ohjelman lataa koneelleen
