Ongelmia IE:n kanssa

StartDreck (build 2.1.7 public stable) - 2005-04-02 @ 21:06:07 (GMT +03:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 2)
Internet Explorer: 6.0.2900.2180


»Registry
»Run Keys
»Current User
»Run
*MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*ATIModeChange=Ati2mdxx.exe
*Wizard=
*ATIPTA=C:\ATI-CPanel\atiptaxx.exe
*SoundMan=SOUNDMAN.EXE
*F-Secure Manager="C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE" /splash
*F-Secure TNB="C:\Program Files\Elisa Tietoturvapalvelu\TNB\TNBUtil.exe" /CHECKALL
*SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0\bin\jusched.exe
*gcasServ="C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+448=\SystemRoot\System32\smss.exe
+512=\??\C:\WINDOWS\system32\csrss.exe
+536=\??\C:\WINDOWS\system32\winlogon.exe
+596=C:\WINDOWS\system32\services.exe
+608=C:\WINDOWS\system32\lsass.exe
+796=C:\WINDOWS\system32\svchost.exe
+896=C:\WINDOWS\system32\svchost.exe
+972=C:\WINDOWS\System32\svchost.exe
+1100=C:\WINDOWS\System32\svchost.exe
+1204=C:\WINDOWS\System32\svchost.exe
+1336=C:\WINDOWS\system32\spoolsv.exe
+1612=C:\WINDOWS\Explorer.EXE
+1716=C:\ATI-CPanel\atiptaxx.exe
+1728=C:\WINDOWS\SOUNDMAN.EXE
+1736=C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE
+1780=C:\Program Files\Java\jre1.5.0\bin\jusched.exe
+1800=C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
+1836=C:\Program Files\Messenger\msmsgs.exe
+1888=C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
+1952=C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE
+2032=C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
+176=C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\program\fsbwsys.exe
+212=C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\FSGK32.EXE
+264=C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fssm32.exe
+364=C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\Program\BackWeb-4119343.exe
+372=C:\Program Files\Elisa Tietoturvapalvelu\fswsclds.exe
+1288=C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
+1176=C:\WINDOWS\system32\wdfmgr.exe
+2000=C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE
+2080=C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMB32.EXE
+2304=C:\Program Files\Elisa Tietoturvapalvelu\Common\FCH32.EXE
+2496=C:\Program Files\Elisa Tietoturvapalvelu\Common\FAMEH32.EXE
+2504=C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsav32.exe
+3008=C:\Program Files\Elisa Tietoturvapalvelu\DFW\Program\fsdfwd.exe
+3092=C:\WINDOWS\System32\alg.exe
+2532=C:\Program Files\Mozilla Firefox\firefox.exe
+2420=C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
+708=C:\Documents and Settings\Työpöytä\startdreck\StartDreck.exe
»Application specific

 

No johannyt on PER¤#"%, ei siellä muita näy??
Hmmm??? Hmmmm???
Koitetaas KillBoxilla
http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Avaa se ja pistä rasti ruutuun
Delete on Reboot
ja
Full Path of File to Delete

Kopioi tuo rivi siihen

C:\WINDOWS\SYSTEM32\mskf.dll

ja klikkaa sitä punaista ympyrää jossa on valkoinen X ja vastaa Yes.
Kone käynnistyy uudestaan.

Kokeile testaile ja kerro että nyt toimii hyvin jooko

 

Tein neuvojesi mukaan. Tuli tämmönen herja:
Pending file rename operations registry data has been remove by external process
ja uudelleen käynnistyksen jälkeen Blacklight löysi sen jälleen.

 

Taisin mennä TAAS vanhanaikaiseen, todennäköisesti se on Microsoft AntiSpyware joka estää tuon poiston!! Eli sammuta se ja kokeile uudelleen KillBoxilla.

 

Hyvää huomenta Toymaatti!

Suljin Antispywaren ja yritin killboxilla uudelleen, mutta sama herja tuli uudelleen

 

mskf.exe näyttää olevan yksi troijalaisimuri (trojandownloader) jotenkin viittaisi siihen tuo mskf.dll

tuolla ohjeita manuaaliseen poistoon:
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453088156

 

Menin rekisterieditoriin yritin etsiä sitä HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ja etsi komennolla(mskf.dll). Mitään ei löytynyt. Ainoa mistä en tiedä mitään on Wizard ohjelma joka sieltä löytyi(avautuu käynnistyksen yhteydessä). Näkyy myös StartDreckissä. Mikäs se on?

Miten "eheyttämisen" yhteydessä tiedosto löytyy, mutta muuten sitä ei löydy?

 

Mikähän siellä oikein hannaa vastaan?
Laita se StartDreck loki vielä tänne.

Tuo ei näy koska se on Rootkit eli näkymätön örkki.

 

Sieltä rekisteristä ei kyllä pitänytkään etsiä sitä mskf.dll vaan mskf.exe
Tuo .exe voisi nimittäin olla se ohjelma joka luo aina uudestaan sen .dll tiedoston sinne system32 kansioon

 

Etsin rekisterieditorista uudestaan mskf.exe, ei tulosta.

Tässä tää StartDreck:

StartDreck (build 2.1.7 public stable) - 2005-04-03 @ 15:05:26 (GMT +03:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 2)
Internet Explorer: 6.0.2900.2180


»Registry
»Run Keys
»Current User
»Run
*MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*ATIModeChange=Ati2mdxx.exe
*Wizard=
*ATIPTA=C:\ATI-CPanel\atiptaxx.exe
*SoundMan=SOUNDMAN.EXE
*F-Secure Manager="C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE" /splash
*F-Secure TNB="C:\Program Files\Elisa Tietoturvapalvelu\TNB\TNBUtil.exe" /CHECKALL
*SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0\bin\jusched.exe
*gcasServ="C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+444=\SystemRoot\System32\smss.exe
+500=\??\C:\WINDOWS\system32\csrss.exe
+524=\??\C:\WINDOWS\system32\winlogon.exe
+592=C:\WINDOWS\system32\services.exe
+604=C:\WINDOWS\system32\lsass.exe
+784=C:\WINDOWS\system32\svchost.exe
+884=C:\WINDOWS\system32\svchost.exe
+964=C:\WINDOWS\System32\svchost.exe
+1096=C:\WINDOWS\System32\svchost.exe
+1200=C:\WINDOWS\System32\svchost.exe
+1332=C:\WINDOWS\system32\spoolsv.exe
+1604=C:\WINDOWS\Explorer.EXE
+1736=C:\ATI-CPanel\atiptaxx.exe
+1756=C:\WINDOWS\SOUNDMAN.EXE
+1768=C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE
+1800=C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE
+1808=C:\Program Files\Java\jre1.5.0\bin\jusched.exe
+1860=C:\Program Files\Messenger\msmsgs.exe
+1924=C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
+1984=C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
+176=C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\program\fsbwsys.exe
+188=C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\FSGK32.EXE
+216=C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\Program\BackWeb-4119343.exe
+236=C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fssm32.exe
+320=C:\Program Files\Elisa Tietoturvapalvelu\fswsclds.exe
+1348=C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
+1484=C:\WINDOWS\system32\wdfmgr.exe
+2024=C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE
+2080=C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMB32.EXE
+2408=C:\Program Files\Elisa Tietoturvapalvelu\Common\FCH32.EXE
+2552=C:\Program Files\Elisa Tietoturvapalvelu\Common\FAMEH32.EXE
+2560=C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsav32.exe
+3060=C:\Program Files\Elisa Tietoturvapalvelu\DFW\Program\fsdfwd.exe
+3164=C:\WINDOWS\System32\alg.exe
+3616=C:\Program Files\Mozilla Firefox\firefox.exe
+3756=C:\WINDOWS\regedit.exe
+1052=C:\Documents and Settings\Omat tiedostot\Tietoturva\startdreck\StartDreck.exe
»Application specific

 

Ei siellä näy edelleenkään ylimääräistä.
Koita uudelleen vikasietotilassa ja vaihda ensin F-S BlackLight työkalun nimeksi vaikka putsari.exe.

 

Vikasietotilassa mä yritin poistaa sitä jo eilen. Tyhjensin myös tempit ja poistin järjestelmän palautuksen käytöstä (oon mä jotain sulta oppinut ), mutta ei auttanut. Täytyy vielä kokeilla vikasietotilassa tota putsari.exe juttua.

 

Muutin nimen niinkuin neuvoit ja ajoin ohjelman, mutta lopputulos edelleen sama. Blacklight löysi taas sen tiedoston.

 

HYVÄ!
Mutta multa alkaa keinot loppua
Kokeillaan vielä sitä "perhanan" ideaa, tosin sen .exen pitäisi näkyä. Eli laita KillBoxiin tuo rivi.
C:\WINDOWS\SYSTEM32\mskf.exe
Älä anna sille vielä lupaa käynnistää uudelleen(eli vastaa NO).
Ja laita vielä tuo rivi
C:\WINDOWS\SYSTEM32\mskf.dll
Nyt anna lupa boottiin.

Sitten viimeinen keino, hae RootkitReveal(Vastaava kuin BlackLight)ja putsaa sillä.
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml

 

RootkitRevealer löysi tämmöset tiedostot:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ 6.9.2003 3:39 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 16.7.2004 9:22 58 bytes Windows API length not consistent with raw hive data.
C:\Documents and Settings\Jani Vuoristo\Local Settings\Temp\~DFF1D1.tmp 3.4.2005 18:34 32.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\system32\mskf.dll 16.7.2004 9:22 56.00 KB Hidden from Windows API.

Siis mitä mä niinku teen noille? Menee yli mun taitojen. Voitko neuvoa MITEN ja mitkä niistä poistetaan.

 

Empäs tiedä minäkään miten tuo RootkitRevealer toimii?
Mutta löysi se jotain C:\Documents and Settings\Jani Vuoristo\Local Settings\Temp\~DFF1D1.tmp.
Mene tuonne Temppiin vikasietotilassa, paina Ctrl+A > Delete > Enter > vastaa kysymykseen Kyllä kaikkiin.
Yritä taas poistaa mskf.dll, KillBoxilla ja BlackLightillä. Käynnistä normaalisti, vieläkö se sinnittelee.

 

Taas sama juttu. Ei auttanut. Blacklight löysi sen jälleen.

 

Vaihda selainta.

 

Oletko muuten bootannu välillä?

 

Mullakin on toi se.Dll ongelma ja HiJack näyttää tämmöstä:

Logfile of HijackThis v1.99.1
Scan saved at 18:53:50, on 13.4.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSMA32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSMB32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FCH32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\BACKWEB\4119343\PROGRAM\FSBWSYS.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\BACKWEB\4119343\PROGRAM\FSPEX.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FAMEH32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSGK32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\DFW\PROGRAM\FSDFWD.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSSM32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSAV32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSM32.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://elisa.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://elisa.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;;*.f;*.*.;*.*.;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {5DAFD089-24B1-4c5e-BD42-8CA72550717B} - (no file)
O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {850A3D0E-AC42-11D9-BE75-0003C981BF92} - C:\WINDOWS\SYSTEM\HGKH.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [F-Secure Manager] "C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\RunServices: [fsaa] C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\fsaa.exe
O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\FSMA32.EXE
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: Elisa Tietoturvapalvelu.lnk = C:\Ohjelmatiedostot\Elisa Tietoturvapalvelu\backweb\4119343\Program\fspex.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with &FD - fdiectx.htm
O8 - Extra context menu item: Download &All by FD - fdiectx2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Palvelut - {10BCB140-88B5-11D9-BE75-000347C8F77A} - http://service.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: Tuki - {10BCB141-88B5-11D9-BE75-000347C8F77A} - http://tuki.elisa.net/ (file missing) (HKCU)
O9 - Extra button: SMS-viesti - {10BCB142-88B5-11D9-BE75-000347C8F77A} - http://sms.kolumbus.fi/ (file missing) (HKCU)
O12 - Plugin for .mpeg: C:\OHJELM~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mp3: C:\OHJELM~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://elisa.net/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O18 - Filter: text/html - {499FB123-AC4A-11D9-BE75-0003C3544EC3} - C:\WINDOWS\SYSTEM\HGKH.DLL
O18 - Filter: text/plain - {499FB123-AC4A-11D9-BE75-0003C3544EC3} - C:\WINDOWS\SYSTEM\HGKH.DLL


Mitä pitää tehdä