Viruksen poisto

Miten saa sellaisen viruksen poistettua, jonka eScan ilmoittaa olevan System volume information kansiossa, mutta sinne kansioon ei pääse millään. Virus on jotain Adwarea tai spywarea. Onko mitään tehtävissä.

 

Tuolla löytyy ohje onkelmaan.

http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleansystemrestore.shtml

 

C:\WINDOWS\Downloaded Program Files\secureweb.ocx
miten tällaisen sit saa poistettua kun sitä ei löydy koneelta ollenkaan

 

Tuolla löytyy ohje onkelmaan.

http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleansystemrestore.shtml

Eihän tuossa kerrota suoraan, että miten se sieltä poistetaan. En vieläkään pääse poistamaan sitä ja eScan ei sitä suostu poistamaan

 

Kyllä siellä kerrotaan, eli kun poistat
järjestelmänpalautuksen käytöstä se örkki häviää. Voi laittaa sen takaisin päälle käynnistyksen jälkeen.

Siis tuolla Downloaded Program Files kansiossako ei ole tuota secureweb.ocx?
Laita piilotiedostot näkyviin, jos se sitten löytyisi
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Onko tuo eScan se poistava versio vai näyttääkö se vain uhat mutta ei tee niille mitään?

 

Aijaa en heti tajunnu, sori. Tuolta yheltä sivulta latasin, jonka taisit olla juuri sinä pistänyt eli se poistava versio ja onkin poistanut jo useammankin örmykörmyn. Siis kyllä se löytää, mut ei tee sille mitään ja "käsin" sellaista tiedostoa ei löydy mistään.

 

Piilotiedostotko on nyt näkyvissä?

Koitas löytyiskö ETSI toiminnolla.

Laita HijackThis loki, jos siinä näkyis jotain
http://koti.mbnet.fi/pattaya1/hijackthis.htm

 

On näkyvis ja ei löydy

Logfile of HijackThis v1.99.1
Scan saved at 17:05:13, on 3.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\dna Nettiturva\Common\FSM32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\DNANET~1\backweb\4653381\Program\SERVIC~1.EXE
C:\Program Files\dna Nettiturva\Anti-Virus\fsgk32st.exe
C:\Program Files\dna Nettiturva\Anti-Virus\FSGK32.EXE
C:\Program Files\dna Nettiturva\backweb\4653381\program\fsbwsys.exe
C:\Program Files\dna Nettiturva\Anti-Virus\fssm32.exe
C:\Program Files\dna Nettiturva\fswsclds.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\dna Nettiturva\backweb\4653381\Program\BackWeb-4653381.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\dna Nettiturva\Common\FSMA32.EXE
C:\Program Files\dna Nettiturva\Common\FSMB32.EXE
C:\Program Files\dna Nettiturva\Common\FCH32.EXE
C:\Program Files\dna Nettiturva\Common\FAMEH32.EXE
C:\Program Files\dna Nettiturva\Anti-Virus\fsav32.exe
C:\Program Files\dna Nettiturva\DFW\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe

Explorer\Main,Window Title = dna Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://paivitys.dnainternet.fi/yhteys/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\dna Nettiturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\dna Nettiturva\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\googletoolbar.dll/cmtrans.html
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.salonseutu.fi
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/209a356f4749198dc205/netzip/RdxIE601.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1031_pack_XP.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1009_1035_pack_XP.cab
O16 - DPF: {CF5F84EB-D3FC-4F98-BE3B-F5B56B962CED} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_XP.cab
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_EN_XP.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: dna Nettiturva (BackWeb Client - 4653381) - Unknown owner - C:\PROGRA~1\DNANET~1\backweb\4653381\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\dna Nettiturva\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\dna Nettiturva\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\dna Nettiturva\backweb\4653381\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\dna Nettiturva\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\dna Nettiturva\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\dna Nettiturva\fswsclds.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

 

Sulla on XP:n palomuuri päällä ja eikös tuossa Nettiturvassakin ole palomuuri? Jos on niin sammuta XP:n muuri.

Scannaa HjT:llä uudelleen, laita merkki noiden eteen, sulje selain ja muut ikkunat, klikkaa Fix Checked
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll (file missing)
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/209a356f4749198dc205/netzip/RdxIE601.cab
O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1031_pack_XP.cab
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1009_1035_pack_XP.cab
O16 - DPF: {CF5F84EB-D3FC-4F98-BE3B-F5B56B962CED} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_XP.cab
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_EN_XP.cab

Scannaa eScanilla ja laita sen alalaatikon lista tänne.

 

File C:\WINDOWS\Downloaded Program Files\secureweb.ocx tagged as not-a-virusorn-Dialer.Win32.ALifeDialer. No Action Taken.
File C:\WINDOWS\system32\Macromed\Shockwave 10\Download.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File D:\vanhastac\Paikallinen levy (E)\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File E:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken

Kaiken näköisiä sitä koneelta löytyy

 

Voihan helevata!!

En sitten muistanut kertoa että käynnistä uudelleen Hjt:n jälkeen.
Luulisin että tuo File C:\WINDOWS\Downloaded Program Files\secureweb.ocx ei enää löydy, ehkä, tai sitten, no minun moka
Ajatko vielä eScanin, ja laita lista... sorry.

Tiedätkö/tunnetko tämän ohjelman, onko se OK
E:\WINDOWS\COMMAND

 

No voihan prkele. ei mitään tietoa tuosta tiedostosta.


EDIT: Itse asiassa tuossa vähän aikaa sitten ajoin eScanin ja löytys tuo secureweb homma ja buuttasin koneen sen jälkeen eikä se näköjään ole sieltä mihinkään kadonnu

 

No voihan..Heh täähän menee kiroilukilpailuks.

Jos tuo on miettimisenkin jälkeen ihan outo niin katso Lisää/Poista sovelluksesta löytyykö, jos niin poista, ellei niin poista koko kansio käsin.
E:\WINDOWS\COMMAND\EBD\EBD.CAB

Ota linkistä KillBox.

http://www.bleepingcomputer.com/files/killbox.php

Avaa se ja pistä rasti ruutuun(taitaa olla jo oletuksena)
Standart file kill

Sitten tähän kohtaan

Full Path of File to Delete

Kopioi tuo rivi siihen

C:\WINDOWS\Downloaded Program Files\secureweb.ocx

ja paina sitä punaista ympyrää jossa on valkoinen X ja vastaa Yes.

Jokohan nyt lähti??

 

Siellä kuitenkaan mitään erroreita ollu kun kerran tuli tuplana.

 

Samassa kansiossa on Microsoft console based script host ja monta .exe tiedostoa. Eli uskaltaako poistaa koko COMMAND kansion?

 

Anna olla, ei taida olla pahis. Katsele jos jostain esim. tekstitiedostosta selviäisi mitä se tekee. On vaan niin outo paikka koko Windows kansiolla(E, kun käyttis on kuitenkin C:llä, tosin ei tuo command XP:hen kuulukkaan.
Mitenkäs sen secureweb.ocx kanssa kävi??

 

Websecure katos mut noi kaks muuta jäi eli annanko asian vaan olla kun ei ne mitään näytä haittaavan. Ja kiitos sulle kovasti, taidat olla virusmaailman terminaattori kun näytät kaikkia meitä tyhmempiä neuvovan näissä asioissa.

 

Kyllä näyttäis siltä että puhdasta on.

Tarkoitat näitä kahta??
E:\WINDOWS\COMMAND\EBD\EBD.CAB
Paikka on outo mutta ei varmaankaan ole pahis, tosin lieneekö mitään hyötyäkään?

Ne toiset kaksi on hoidettu

Hyvä että siitä secureweb.ocx päästiin eroon.

Ja örkkien kaveri en ainakaan ole mutta että ihan Terminaattori...no ei sentään... tai pitäisköhän vaihtaa nikki
Eipä täällä taida olla muita viisaampia eikä tyhmempiä, toiset tietää jostain asiasta enemmän kuin toiset ja toiset taas enemmän jostain muusta asiasta. Kun autellaan muita niissä asioissa joissa voidaan niin kaikilla menee hieman paremmin.

Ainiin, sulla on Internet Explorer käytössä, jos ei vielä ole niin hommaa SpywareBlaster lisäsuojaksi
http://koti.mbnet.fi/pattaya1/spywareblaster.htm

 

Turha tajusin jo itekki

 

Hyvä!!
Jos en ihan väärin arvaa niin nyt luit rivin loppuunasti.
Sinussa on Terminaattori ainesta