No niin, sen siitä päättömästä surffailusta saa, onnistuin saamaan jotain pöpöjä koneelle ja poistin ne. Nyt sitten desktop vilkkuu harmaan valkoisena, enkä saa korjattua.. Yritin täältä vähän neuvoja hakea, mutten uskalla tehdä mitään ilman tarkkoja ohjeita.. Olisiko joku niin kiltti että neuvoisi mitä pitää tehdä? Ei viitseisi pistää koko paskaa uudelleen asennukseen vilkkuvan desktopin takia..
Laitapa nyt vaikka aluksi hjt-loki niin katsotaan mitä kivaa siellä koneella on =) Hae HijackThis -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.
Itseasiassa tein sen jo eilen.. en vaan tiedä mitä sillä logilla nyt pitäisi tehdä Tässä siis logi.. Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE C:\Program Files\F-Secure\Anti-Virus\fssm32.exe C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe C:\Program Files\F-Secure\Common\FSMA32.EXE C:\Program Files\F-Secure\Common\FSMB32.EXE C:\Program Files\F-Secure\Common\FCH32.EXE C:\Program Files\F-Secure\Common\FAMEH32.EXE C:\Program Files\F-Secure\Common\FNRB32.EXE C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe C:\Program Files\F-Secure\Common\FIH32.EXE C:\Program Files\F-Secure\Anti-Virus\fsav32.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\F-Secure\Common\FSM32.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\F-Secure\FSGUI\fsguiexe.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Drago\My Documents\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131561264064 O17 - HKLM\System\CCS\Services\Tcpip\..\{2DF739B6-960D-4D6B-84E0-02E033C15B21}: NameServer = 85.255.115.3,85.255.112.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{EA59D68A-E9E4-4F64-84A1-2FA250C836A0}: NameServer = 85.255.115.3,85.255.112.12 O17 - HKLM\System\CS1\Services\Tcpip\..\{2DF739B6-960D-4D6B-84E0-02E033C15B21}: NameServer = 85.255.115.3,85.255.112.12 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
Koneesi on näköjään kaapattu valko-venäjältä käsin. Eli avaa hjt -> do a system scan only Fixaa (merkkaa ja paina fix cheked): O17 - HKLM\System\CCS\Services\Tcpip\..\{2DF739B6-960D-4D6B-84E0-02E033C15B21}: NameServer = 85.255.115.3,85.255.112.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{EA59D68A-E9E4-4F64-84A1-2FA250C836A0}: NameServer = 85.255.115.3,85.255.112.12 O17 - HKLM\System\CS1\Services\Tcpip\..\{2DF739B6-960D-4D6B-84E0-02E033C15B21}: NameServer = 85.255.115.3,85.255.112.12 Hae ewido ja putsaa sillä. -> http://keskustelu.afterdawn.com/thread_view.cfm/269186 Tee sivun ohjeiden mukaisesti ja lähetä uusi hjt loki + ewido örkki raportti!
No just, vai että valko venäjältä kaapattu, sepä hienoa. Ewido tekee hommia parhaillaan.. Hah, meinasin saada paskahalvauksen kun tuo löysi ekan objektin, ilmoitusääni on.. no, huomiota herättävä Laitan raportit jahka saa valmiiksi.. kestänee nyt jonnin aikaa kun tuo käy kaikki levyasemat läpi.
No niin, homma tehty, eli täsä hjt-logi: Logfile of HijackThis v1.99.1 Scan saved at 19:28:19, on 21.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\F-Secure\Common\FSM32.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE C:\Program Files\F-Secure\Anti-Virus\fssm32.exe C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe C:\Program Files\F-Secure\Common\FSMA32.EXE C:\Program Files\F-Secure\Common\FSMB32.EXE C:\Program Files\F-Secure\Common\FCH32.EXE C:\Program Files\F-Secure\Common\FAMEH32.EXE C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\F-Secure\Common\FNRB32.EXE C:\WINDOWS\system32\wscntfy.exe C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe C:\Program Files\F-Secure\Common\FIH32.EXE C:\Program Files\F-Secure\Anti-Virus\fsav32.exe C:\Program Files\F-Secure\FSGUI\fsguiexe.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\HJT\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131561264064 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe Ja ewidon raportti: + Created on: 19:23:15, 21.12.2005 + Report-Checksum: D4529E59 + Scan result: C:\C.0BS -> Downloader.Small.f : Cleaned without backup C:\RECYCLER\S-1-5-21-1220945662-789336058-854245398-1003\Dc5.exe -> Adware.Casino : Cleaned without backup C:\WINDOWS\system32\POPCORN72.0XE -> Downloader.Agent.sy : Cleaned without backup ::Report End Jotain hyötyy näemmä siitä et olen spybottia ja ad-awarea käyttänyt.. kaipa ne on sentään ihan pahimpii vuotoja tilkinny.. Ai joo, kone ilmoittelee että jokin program.exe koittaa ottaa verkkoyhteyttä.. Estin ko. yhteyden muodostamisen.. onko koneella siis edelleen jotain pöpöjä? Ja desktop vilkkuu edelleen..
Tuo kyllä viittaisi johonkin matoseen. Laita piilotiedostot näkyviin, ohje -> http://keskustelu.afterdawn.com/thread_view.cfm/248944 Käytä windowsin etsi toimintoa> Etsi program.exe, ja kerropa meille mistä polusta tuo löytyi. Tuo kun ei ole ihan normaali XP:n prosessi.
Outoa.. ei löydy tuommoista lainkaan. Tsekkaan vielä koneen läpi virustutkalla. Mutta, tuo desktop ongelma edelleen kiusaa. Näkyikö siinä HJT-logissa jotain mistä olisi syytä hermostua? Miten saisi tuon desktopin taas kuntoon.. ei siis edelleenkään näytä taustakuvaa.
Tuosta lokista en kyllä löytänyt mitään hälyttävää. Hae eScan, asenna, ja päivitä ohjeiden mukaan, ja lähetä sen örkkitulokset tänne pällisteltäväksi. Ohjeet ja lataus >>>>http://koti.mbnet.fi/pattaya1/escanmwav.htm
Okei, menossa on skannaus. Luulen, että menee aamuun ennen kuin laitan logia.. Vaikka yökyöpeli olenkin, niin ihan koko yötä ei viitsisi valvoakaan. Kylläpäs tästä nyt koituikin melkoinen operaatio. Mietin tässä, että olisikohan loppujen lopuksi päässyt helpommalla, kun olisin vaan suosiolla asentanut koko helahoidon uusiksi.. No, tuleepahan opittua tässäkin jotain uutta hyvällä tuurilla.
Juuh. Onhan se uudelleenasennus usein helpompi vaihtoehto, mutta itse ainakin tykkään "säätää" näitten kikottimien kanssa, ja tosiaan jotainhan tuosta kaikesta myös aina jää päähän, ja oppii uutta. itse en aamulla pääse lokia katselemaan, mutta eiköhän tuon joku tarkasta. Kyllä tähän ratkaisu vielä löytyy...
Tuo program.exe liittyy ewidoon eli ei ongelmaa. Jeps, eli tee näin lisäksi(sulla on voi olla WareOut-rootkit koneella, nuo nimipalvelimet viittaa Atrivoon, joka levittää mm. WareOuttia): Hae fixwareout -> http://downloads.subratam.org/Fixwareout.exe Tallenna johonkin hakemistoon ja käynnistä se. Seuraa ohjeita, käynnistä kone uudestaan kun fixi pyytää sitä. Fixi avaa HjT:n. Sulje se.Lähetä C:\fixwareout\report.txt-tiedoston sisältö tänne. Ja tuohon taustakuvaan: Hae täältä -> http://www.billsway.com/vbspage/ registry search tool ja tee haku "desktop.html":llä. Jos antivirus herjaa, anna ajaa. Lähetä registry searchin tulokset. Jollei löydy, tee sama haku hakusanalla "warnhp.html".
Eli tuommosta sanoo eScan: File C:\WINDOWS\system32\rzspy.exe tagged as not-a-virus:AdWare.Win32.Raze.a. No Action Taken. File C:\Documents and Settings\Drago\Desktop\radmin22.zip tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.22. No Action Taken. File C:\Program Files\Radmin\radmin.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.22. No Action Taken. File C:\WINDOWS\system32\rzspy.exe tagged as not-a-virus:AdWare.Win32.Raze.a. No Action Taken. Kemisti: Joo, mä hokasin asian itsekin aamulla, eli se program.exe on ewidon juttuja.. Mä tuon fixwareoutin hainkin jo aikaisemmin ja kertaalleen sen ajoin läpi, voin ajaa sen nyt uusiksi. Laitan sitten tänne login jos se jotain sanoo.
Poista tuo: C:\WINDOWS\system32\==>rzspy.exe<== Jos nämä on sun itse asentamia, niin anna olla: File C:\Documents and Settings\Drago\Desktop\radmin22.zip tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.22. No Action Taken. File C:\Program Files\Radmin\radmin.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.22. No Action Taken. Ja tee se taustakuvahomma kans samalla vaivalla
Fixwareout ei löytänyt tällä kertaa enää mitään. Aikaisempi logi näytti tältä: Fixwareout ver 1.003 Last edited 12/5/2005 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\daolnwodi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\x0brks HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\lavinraCputeS PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool Registry search log: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "desktop.html" 22.12.2005 13:15:45 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_USERS\S-1-5-21-1220945662-789336058-854245398-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="C:\\WINDOWS\\desktop.html" [HKEY_USERS\S-1-5-21-1220945662-789336058-854245398-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0] "SubscribedURL"="C:\\WINDOWS\\desktop.html" Eli tuommosta.. mitäs sitten seuraavaksi? Tuo remoteadmin, ei ole minun asentama, mutta siis olen siitä tietoinen. Yksi kaverini sitä välillä tarvitsee täällä käydessään. Onko siitä siis jotain kiusaa jos annan sen olla? rzspy.exe poistettu.
Ok, sulla siis oli WareOut, jonka tuo poisti Anna olla vaan remoteadminin sitten. Tee näin: Ensin ota varmuuskopio rekisteristä näin: Suorita -> regedit -> ok. Sitten Tiedosto -> Vie. Kirjoita sille joku nimi ja sitten Tallenna(ja laita muistiin, mihin tallensit sen). Sitten tallenna tämä alla oleva tekstinpätkä nimellä fix.reg vaikka muistiossa ja vaikka työpöydälle (tallennusmuoto kaikki tiedostot) Windows Registry Editor Version 5.00 [-HKEY_USERS\S-1-5-21-1220945662-789336058-854245398-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="C:\\WINDOWS\\desktop.html" [-HKEY_USERS\S-1-5-21-1220945662-789336058-854245398-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0] "SubscribedURL"="C:\\WINDOWS\\desktop.html" Tuplaklikkaa ja paina kyllä ja ok. Käynnistä kone uudelleen. Auttoiko?
KYLLÄ! Nyt toimii! Voi kiitos kovasti! Ihanaa, että vielä löytyy herrasmiehiä auttamaan neitoa hädässä! Olipahan urakka, mutta taisin kyllä oppiakin tästä jotain. Nyt voinkin lähteä purkamaan (virusten viilaajia ja mainosmiehiä kohtaan parin päivän sisällä kerääntyneet) agressiot mattotelineelle.. Hyvää joulua -kemisti- ja spertti!
