Etusivu Omat asetukset Tiedostot Lähetä uutinen Keskustelupalsta IRC-kanava

   Valikko
· Etusivu
· Artikkelit
· Bannerit
· Haku sivustolta
· Keskustelu
· Linkit
· Palaute
· Sanasto
· Suosittele
· Testilabra
· UKK / FAQ
· Viestikeskus
· Yhteystiedot

   Info
Tervetuloa,
Anonymous
Kirjaudu sisään
Jäseniä yht:
Uusia tänään
Yhteensä: 24,306
Käyttäjiä online:
Vierailijoita: 142
Jäseniä: 11
Yhteensä: 159

   Online Scanners
TrendMicro
Symantec
Panda Security
BitDefender
F-Secure




Hosted By Nebulat
Virustorjunta.net: Keskustelu

 OhjeOhje   HakuHaku   KäyttäjäryhmätKäyttäjäryhmät   KäyttäjätiedotKäyttäjätiedot   Kirjaudu sisäänKirjaudu sisään 

Häiriösuosikit, ja -aloitusivu
 
 
Lähetä uusi viesti   Vastaa viestiin    Virustorjunta.net Foorumin päävalikko -> Kysymykset ja ongelmatilanteet
Näytä edellinen aihe :: Näytä seuraava aihe  
Kirjoittaja Viesti
eero
Jäsen
Jäsen


Liittynyt: Feb 29, 2004
Viestejä: 36
LähetäLähetetty: 29.02.2004 22:12    Viestin aihe: Häiriösuosikit, ja -aloitusivu Vastaa lainaamalla viestiä
Aloitussivuni vaihtuu jatkuvasti Googlesta johonkin ihmeen 4-counter.com sivustoon, ja Suosikkeihini tulee myös jatkuvasti poistamisesta huolimatta ihan outoja osoitteita (kansioita); Adult News, E-business News, Online Gambling News jne.
Miten voin lopettaa sen?
Virustorjunta (Norman) ei löydä mitään, eikä Ad-Aware.

eero  
Takaisin alkuun
Näytä käyttäjän tiedot Lähetä yksityinen viesti
hymppa
Jäsen
Jäsen


Liittynyt: Nov 17, 2003
Viestejä: 862
LähetäLähetetty: 29.02.2004 22:50    Viestin aihe: Vastaa lainaamalla viestiä
KOita tyhjentää kaikki väliaikaistiedostot ja hae Spybot - Search & Destroy ja aja uusien päivitysten kanssa läpi.. ja poista mitä löytyy.. Nyt kannattaa miettiä missä sivullla oikein liikkuu.. yleensä aikuisviihdesivut ovat tälläsiä, ja jälkeenpäin siittä kuulee... en tietenkään väitä että liikut näillä.. Mahollisuushan on joutua kaikkiin tällesen kiusan kohteeksi.  
Takaisin alkuun
Näytä käyttäjän tiedot Lähetä yksityinen viesti Käy lähettäjän sivustolla
eero
Jäsen
Jäsen


Liittynyt: Feb 29, 2004
Viestejä: 36
LähetäLähetetty: 29.02.2004 23:47    Viestin aihe: Vastaa lainaamalla viestiä
Näin tein, muttei auta.
Perkule, joutuuko tässä formatoimaan kovalevyn, vai mikä auttanee?  
Takaisin alkuun
Näytä käyttäjän tiedot Lähetä yksityinen viesti
illukka
Aktiivijäsen
Aktiivijäsen


Liittynyt: Jul 25, 2003
Viestejä: 1633
Paikkakunta: The Pits Of Hell
LähetäLähetetty: 01.03.2004 8:24    Viestin aihe: Re: cwshredder Vastaa lainaamalla viestiä
no worries. älä nyt yhen kotisivukaapparin takia formatoimaan ala..men tänne ja imuroi cwshredder ja hijackthis aja ensin cwshredder, ja sen jälkeen hijackthis laita hijackthis.exe omaan kansioonsa c-asemalle (backuppien takia) aja HJT, paina scan-nappia, kun scan on valmis muutuu nappi save log-napiksi, tallenna loki, avaa loki ja postaa (copy paste) se tänne niin katotaan mitä löytyy  
Takaisin alkuun
Näytä käyttäjän tiedot Lähetä yksityinen viesti MSN Messenger
jackdaniel
Aloittelija
Aloittelija


Liittynyt: Mar 24, 2004
Viestejä: 2
LähetäLähetetty: 24.03.2004 12:32    Viestin aihe: Re: cwshredder Vastaa lainaamalla viestiä
illukka kirjoitti:
no worries. älä nyt yhen kotisivukaapparin takia formatoimaan ala..men tänne ja imuroi cwshredder ja hijackthis aja ensin cwshredder, ja sen jälkeen hijackthis laita hijackthis.exe omaan kansioonsa c-asemalle (backuppien takia) aja HJT, paina scan-nappia, kun scan on valmis muutuu nappi save log-napiksi, tallenna loki, avaa loki ja postaa (copy paste) se tänne niin katotaan mitä löytyy


Liityin juuri jäseneksi ja löysin vastaavan ongelman, jota tämä vastaus koskee. Ajoin ohjelmat ja tässä tulos:

Logfile of HijackThis v1.97.7
Scan saved at 11:19:27, on 24.3.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\BacsTray.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\bpowmon.exe
C:\WINDOWS\dl.exe
C:\WINDOWS\dlm.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\FirstClass\fcc32.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allsearcher.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://allsearcher.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://allsearcher.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://allsearcher.info/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://allsearcher.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://allsearcher.info/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
F0 - system.ini: Shell=explorer.exe C:\WINDOWS\System\user32.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System\user32.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
O4 - HKLM\..\Run: [Serv] C:\WINDOWS\msstasks.exe
O4 - HKLM\..\Run: [Windows Stortup] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: Microsoft Office Pikahaku.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Officen käynnistys.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86...tl.CAB?
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/...lash...  
Takaisin alkuun
Näytä käyttäjän tiedot Lähetä yksityinen viesti
Karva
Jäsen
Jäsen


Liittynyt: Jan 21, 2004
Viestejä: 39
LähetäLähetetty: 24.03.2004 17:15    Viestin aihe: Vastaa lainaamalla viestiä
Dial22 or Dial33 dlm.exe = Adult content dialer

Tuommoista löytyi, dl.exe liittyy luultavasti tuohon kanssa. Tuosta pääsee eroon siten, että sammutat prosessit dl.exe ja dlm.exe ja sitten poistat kyseiset tiedostot windows kansiosta. Sen jälkeen poista rekisteristä ne kaksi merkintää, jotka viittaavat dl.exe ja dlm.exe tiedostoihin.  
Takaisin alkuun
Näytä käyttäjän tiedot Lähetä yksityinen viesti
illukka
Aktiivijäsen
Aktiivijäsen


Liittynyt: Jul 25, 2003
Viestejä: 1633
Paikkakunta: The Pits Of Hell
LähetäLähetetty: 24.03.2004 17:18    Viestin aihe: Vastaa lainaamalla viestiä
nää on viruksia (luultavasti) veikkaan gao/agobottia

O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
O4 - HKLM\..\Run: [Serv] C:\WINDOWS\msstasks.exe
O4 - HKLM\..\Run: [Windows Stortup] C:\WINDOWS\svchost.exe

skannaa nää tiedostot kaspersky online skannerilla http://www.kaspersky.com/remoteviruschk.html
joudut skannaamaan tiedosto kerrallaan tai sitten kopioit noi uuteen kansioon jonka pakkaat winzipillä ja sitten skannaat sen arkiston..


kiitollisena otan vastaan minäkin jos voit mailata( illukka@dslr.net , salasanalla suojattu zip-file kiitos) ) mulle nää tiedostot( dl.exe, dlm.exe, msstasks.exe, ja toi windows-kansiosta löytyvä svchost.exe). oikea svchost.exe on xp:ssä system32 kansiossa, tää on luultavasti sdbot-backdoor

nää voit fixata

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allsearcher.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://allsearcher.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://allsearcher.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://allsearcher.info/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://allsearcher.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://allsearcher.info/

F0 - system.ini: Shell=explorer.exe C:\WINDOWS\System\user32.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System\user32.exe

hmm onko koneessasi user32.exe niminen file?
se on yleensä nettrash niminen troijalainen.yleensäkin xp:ssä win.ini ja system.ini tiedostot ovat tyhjiä, jos niissa jotain on niin troijia..

toisella katsomalla tarttuu silmään tuo bwpomon.exe mikälie.. lisää skannattaviin myös tää  
Takaisin alkuun
Näytä käyttäjän tiedot Lähetä yksityinen viesti MSN Messenger
Näytä edelliset viestit:       
Lähetä uusi viesti   Vastaa viestiin    Virustorjunta.net Foorumin päävalikko -> Kysymykset ja ongelmatilanteet Kaikki ajat ovat GMT + 3 tuntia
 
 Sivu 1 Yht. 1

 
Siirry:   
Et voi lähettää viestejä foorumiin
Et voi vastata viesteihin
Et voi muokata viestejäsi
Et voi poistaa viestejäsi
Et voi äänestää tässä foorumissa
You can attach files in this forum
You can download files in this forum





All logos and trademarks in this site are property of their respective owner. The comments are property of their posters, all the rest © by Virustorjunta.net 2003-2010. roskaposti@virustorjunta.org
Virustorjunta.net is hosted by Nebula.fi. Web site engine's code is Copyright © by PHP-Nuke. All Rights Reserved. PHP-Nuke is Free Software released under the GNU/GPL license.
Sivun generointi: 0.27 sekuntia