Troijalainen? apua

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi megabang 18.06.2012.

  1. megabang

    megabang Member

    Liittynyt:
    18.06.2012
    Viestejä:
    5
    Kiitokset:
    0
    Pisteet:
    11
    Moro, mitä minun pitäis tehä kun minun avasti ilmoittaa troijalaista
    (Tartunta = Win32:dnsChanger-VJ[Trj]
    (Prosessi = C:\windows\System32\services.exe)
    (Kohde = C:\windows\Installer\{107c7db3-dffe-5bfd-2fb3-bf3bea2ff434}\U\80000032.@)
    80000008.@
    80000000.@
    80000064.@
    Mutta installer kansiota ei ole olemassa minun koneella? avast ilmoittaa noista noin joka minuutti ja karanteenissa noita on päälle 30 kpl
    Malwarebytes löysi 24 epäilyttävää kohdetta?

    ----------------------------------------------------------------------------------------
    Malwarebytes Anti-Malware (Kokeiluversio) 1.61.0.1400
    www.malwarebytes.org

    Tietokantaversio: v2012.06.18.05

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 8.0.7601.17514
    *********** :: ***********-PC [järjestelmänvalvoja]

    Suojaus: Käytössä

    18.6.2012 15:49:11
    mbam-log-2012-06-18 (16-40-54).txt

    Tarkistustyyppi: Täysi tarkistus
    Tarkistussuodattimia valittu: Muisti | Käynnistys | Rekisteri | Tietojärjestelmä | Heuristinen/Ylimäärinen | Heuristinen/Shuriken | Mahdollisesti haitallinen ohjelma | Mahdollisesti haitallinen muutos
    Käytöstä poistetut tarkistusvalinnat: Vertaisverkko (Peer-to-Peer)
    Tarkistettuja kohteita: 406011
    Kulunut aika: 44 minuutti(a), 28 sekunti(a)

    Epäilyttäviä muistiprosesseja: 0
    (Ei haitallisia kohteita)

    Epäilyttäviä muistimoduuleja: 0
    (Ei haitallisia kohteita)

    Epäilyttäviä rekisteriavaimia: 9
    HKCR\CLSID\{6B5B12BE-5690-6755-5FD4-873313BD7324} (PUP.DownloadnSave) -> Toimintoja ei suoritettu.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6B5B12BE-5690-6755-5FD4-873313BD7324} (PUP.DownloadnSave) -> Toimintoja ei suoritettu.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6B5B12BE-5690-6755-5FD4-873313BD7324} (PUP.DownloadnSave) -> Toimintoja ei suoritettu.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6B5B12BE-5690-6755-5FD4-873313BD7324} (PUP.DownloadnSave) -> Toimintoja ei suoritettu.
    HKCR\TypeLib\{C2CF0D01-7657-48AA-98C9-AE5E64757FCC} (PUP.DownloadnSave) -> Toimintoja ei suoritettu.
    HKCR\Interface\{BBA74401-6D6F-4BBD-9F65-E8623814F3BB} (PUP.DownloadnSave) -> Toimintoja ei suoritettu.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{597A9974-8CB0-4F41-B61F-ED065738A397} (PUP.RewardsArcade) -> Toimintoja ei suoritettu.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{597A9974-8CB0-4F41-B61F-ED065738A397} (PUP.RewardsArcade) -> Toimintoja ei suoritettu.
    HKCU\Software\DC3_FEXEC (Malware.Trace) -> Toimintoja ei suoritettu.

    Epäilyttäviä rekisteriarvoja: 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft® Windows® Operating System (Backdoor.Messa) -> Tiedot: C:\Users\***********\AppData\Roaming\Microsoft\Windows\Templates\VSCover.exe -> Toimintoja ei suoritettu.

    Epäilyttäviä rekisterikohteita: 0
    (Ei haitallisia kohteita)

    Epäilyttäviä kansioita: 0
    (Ei haitallisia kohteita)

    Epäilyttäviä tiedostoja: 14
    C:\ProgramData\Bcool\bhoclass.dll (PUP.DownloadnSave) -> Toimintoja ei suoritettu.
    C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> Toimintoja ei suoritettu.
    C:\Users\***********\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B35T05CA\bi_downloader[1].exe (PUP.BundleInstaller.BI) -> Toimintoja ei suoritettu.
    C:\Users\***********\AppData\Local\Temp\nsc32A6.tmp (PUP.BundleInstaller.BI) -> Toimintoja ei suoritettu.
    C:\Users\***********\AppData\Local\Temp\nsv430E.tmp (PUP.BundleInstaller.BI) -> Toimintoja ei suoritettu.
    C:\Users\***********\Desktop\Cain\Abel.exe (HackTool.Cain) -> Toimintoja ei suoritettu.
    C:\Users\***********\Desktop\Cain\Abel64.exe (HackTool.Cain) -> Toimintoja ei suoritettu.
    C:\Users\***********\Desktop\Cain\Cain.exe (PUP.Passwordtool.Cain) -> Toimintoja ei suoritettu.
    C:\Users\***********\Downloads\DownloadSetup.exe (Affiliate.Downloader) -> Toimintoja ei suoritettu.
    C:\Users\***********\Downloads\rpc412_setup.exe (PAssword.Tool) -> Toimintoja ei suoritettu.
    C:\Users\***********\Downloads\SoftonicDownloader_for_cain-abel.exe (PUP.ToolbarDownloader) -> Toimintoja ei suoritettu.
    D:\Pelit\Assassin's creed II\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> Toimintoja ei suoritettu.
    D:\Pelit\Dirt3\paul.dll (PUP.RiskwareTool.CK) -> Toimintoja ei suoritettu.
    D:\Pelit\Dirt3\SKIDROW.dll (Trojan.Downloader.H) -> Toimintoja ei suoritettu.

    (loppu)
    ----------------------------------------------------------------------------------------
    Avastilla kun tein tarkistuksen niin löytyi 6
    Auttakaa Kiitos!

    Poistin kaikki malwarebytellä ja tässä toinen teksti.
    ----------------------------------------------------------------------------------------

    Suojaus: Käytössä

    18.6.2012 15:49:11
    mbam-log-2012-06-18 (15-49-11).txt

    Tarkistustyyppi: Täysi tarkistus
    Tarkistussuodattimia valittu: Muisti | Käynnistys | Rekisteri | Tietojärjestelmä | Heuristinen/Ylimäärinen | Heuristinen/Shuriken | Mahdollisesti haitallinen ohjelma | Mahdollisesti haitallinen muutos
    Käytöstä poistetut tarkistusvalinnat: Vertaisverkko (Peer-to-Peer)
    Tarkistettuja kohteita: 406011
    Kulunut aika: 44 minuutti(a), 28 sekunti(a)

    Epäilyttäviä muistiprosesseja: 0
    (Ei haitallisia kohteita)

    Epäilyttäviä muistimoduuleja: 0
    (Ei haitallisia kohteita)

    Epäilyttäviä rekisteriavaimia: 9
    HKCR\CLSID\{6B5B12BE-5690-6755-5FD4-873313BD7324} (PUP.DownloadnSave) -> Karanteenattu ja poistettu onnistuneesti.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6B5B12BE-5690-6755-5FD4-873313BD7324} (PUP.DownloadnSave) -> Karanteenattu ja poistettu onnistuneesti.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6B5B12BE-5690-6755-5FD4-873313BD7324} (PUP.DownloadnSave) -> Karanteenattu ja poistettu onnistuneesti.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6B5B12BE-5690-6755-5FD4-873313BD7324} (PUP.DownloadnSave) -> Karanteenattu ja poistettu onnistuneesti.
    HKCR\TypeLib\{C2CF0D01-7657-48AA-98C9-AE5E64757FCC} (PUP.DownloadnSave) -> Karanteenattu ja poistettu onnistuneesti.
    HKCR\Interface\{BBA74401-6D6F-4BBD-9F65-E8623814F3BB} (PUP.DownloadnSave) -> Karanteenattu ja poistettu onnistuneesti.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{597A9974-8CB0-4F41-B61F-ED065738A397} (PUP.RewardsArcade) -> Karanteenattu ja poistettu onnistuneesti.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{597A9974-8CB0-4F41-B61F-ED065738A397} (PUP.RewardsArcade) -> Karanteenattu ja poistettu onnistuneesti.
    HKCU\Software\DC3_FEXEC (Malware.Trace) -> Karanteenattu ja poistettu onnistuneesti.

    Epäilyttäviä rekisteriarvoja: 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft® Windows® Operating System (Backdoor.Messa) -> Tiedot: C:\Users\***********\AppData\Roaming\Microsoft\Windows\Templates\VSCover.exe -> Karanteenattu ja poistettu onnistuneesti.

    Epäilyttäviä rekisterikohteita: 0
    (Ei haitallisia kohteita)

    Epäilyttäviä kansioita: 0
    (Ei haitallisia kohteita)

    Epäilyttäviä tiedostoja: 14
    C:\ProgramData\Bcool\bhoclass.dll (PUP.DownloadnSave) -> Karanteenattu ja poistettu onnistuneesti.
    C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> Karanteenattu ja poistettu onnistuneesti.
    C:\Users\***********\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B35T05CA\bi_downloader[1].exe (PUP.BundleInstaller.BI) -> Karanteenattu ja poistettu onnistuneesti.
    C:\Users\***********\AppData\Local\Temp\nsc32A6.tmp (PUP.BundleInstaller.BI) -> Karanteenattu ja poistettu onnistuneesti.
    C:\Users\***********\AppData\Local\Temp\nsv430E.tmp (PUP.BundleInstaller.BI) -> Karanteenattu ja poistettu onnistuneesti.
    C:\Users\***********\Desktop\Cain\Abel.exe (HackTool.Cain) -> Karanteenattu ja poistettu onnistuneesti.
    C:\Users\***********\Desktop\Cain\Abel64.exe (HackTool.Cain) -> Karanteenattu ja poistettu onnistuneesti.
    C:\Users\***********\Desktop\Cain\Cain.exe (PUP.Passwordtool.Cain) -> Karanteenattu ja poistettu onnistuneesti.
    C:\Users\***********\Downloads\DownloadSetup.exe (Affiliate.Downloader) -> Karanteenattu ja poistettu onnistuneesti.
    C:\Users\Superfantti\Downloads\rpc412_setup.exe (PAssword.Tool) -> Karanteenattu ja poistettu onnistuneesti.
    C:\Users\***********\Downloads\SoftonicDownloader_for_cain-abel.exe (PUP.ToolbarDownloader) -> Karanteenattu ja poistettu onnistuneesti.
    D:\Pelit\Assassin's creed II\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> Karanteenattu ja poistettu onnistuneesti.
    D:\Pelit\Dirt3\paul.dll (PUP.RiskwareTool.CK) -> Karanteenattu ja poistettu onnistuneesti.
    D:\Pelit\Dirt3\SKIDROW.dll (Trojan.Downloader.H) -> Karanteenattu ja poistettu onnistuneesti.

    (loppu)

    ----------------------------------------------------------------------------------------
    Silti tulee avastilta varoituksia??!!
     
    Viimeksi muokattu: 18.06.2012
  2.  
  3. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    9,192
    Kiitokset:
    1,227
    Pisteet:
    243
    No poistitko ne, mitä MBAM löysi? Laitoit kaksi kertaa saman lokin. Mikä on tilanne poistojen jälkeen?

    Muuten, sinun kannattaisi tarkemmin miettiä, mitä lataat, ja mistä.
     
  4. megabang

    megabang Member

    Liittynyt:
    18.06.2012
    Viestejä:
    5
    Kiitokset:
    0
    Pisteet:
    11
    (Nyt on oikeat lokit)
    Joo noi suurin osa on sellasia juttuja joista ei oo mitään harmia mutta poistin silti. Tilanne ei muuttunut. Mutta miksi minulla ei ole installer kansiota jossa avast havaitsee ne viirukset? Ne kait ilmestyvät sinne jostain... en tiedä mistä?
    Services.exe saattaa olla saastunut. Voiko ladata uuden services.exe:n jostain?
     
    Viimeksi muokattu: 18.06.2012
  5. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    9,192
    Kiitokset:
    1,227
    Pisteet:
    243
    Ilmeisesti kansioasetuksissa on kruksattu vaihtoehto "Piilota suojatut käyttöjärjestelmätiedostot" tai jotain vastaavaa.


    En tiedä, mutta mielestäni Windowsin järjestelmätiedostoja pitäisi korvata vain alkuperäiseltä asennusmedialta tai asennushakemistosta.

    Tee MBAM:lla uudelleen täysi tarkastus nähdäksesi, miltä loki näyttää edellisten poistojen jälkeen.
     
  6. megabang

    megabang Member

    Liittynyt:
    18.06.2012
    Viestejä:
    5
    Kiitokset:
    0
    Pisteet:
    11
    Olen tehnyt uudelleen täyden tarkastuksen ja mitään ei löytynyt ja huomasin samalla että palomuuri ei toimi?
    ''Windows palomuuri ei käytä tietokoneen suojaamiseen suositeltuja asetuksia''
    Ja painaa painiketta ''käytä suositeltuja asetuksia'' niin tulee errori.
    virhekoodi: 0x8007042c?
    pitäisiköhän asentaa windows uudelleen?
     
  7. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    9,192
    Kiitokset:
    1,227
    Pisteet:
    243
  8. megabang

    megabang Member

    Liittynyt:
    18.06.2012
    Viestejä:
    5
    Kiitokset:
    0
    Pisteet:
    11
    Ei auttanut mikään noista... :(
     
    Viimeksi muokattu: 19.06.2012
  9. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    9,192
    Kiitokset:
    1,227
    Pisteet:
    243
    Ilmeisesti Windowsin palomuuri vahingoittui noiden haitakkeiden toimesta. Vielä voisi kokeilla järjestelmän palautusta ongelmien alkamista edeltävään ajankohtaan, jos sellainen palautuspiste on käytettävissä.
     
  10. megabang

    megabang Member

    Liittynyt:
    18.06.2012
    Viestejä:
    5
    Kiitokset:
    0
    Pisteet:
    11
    Ei taida olla, tai sitten se piste on lähes aivan alussa.
    Microsoft safety cleaner päällä ja nyt 8 haittaohjelmaa löytynyt :O toivottavasti ei löydy enempää. Ainakin yksi löytyi Windows/installer kansiosta, toivotaan parasta. :D
     
  11. donjonsa

    donjonsa Guest

    Itellä on nortton ja ei tarvi muutakun nauttia surffailusta missä vaan, jo 12v ja vaan 30ev.
     

Jaa tämä sivu