Buuttaava virus
TeKa
on mitä todennäköisimmin viruksen aiheuttamaa? Viruksen nimestä ei
havaintoa.
Vaihdoin toisen kovalevyn (sekä eri XP:n), sekä ajoin F-securen
skannauksella saastuneen kovalevyn tiedostot läpi tämän ollessa "slave"
tilassa. No apua ei ollut, vaan kyseiseltä kovalevyltä käynnistäessä kone
buuttaa edelleen. Mitä tehdä?
Mitä XP:n korjausasennus tekee? Voiko sillä yritää paikata saastunutta levyä
ilman, että asennetut ohjelmat lakkaa toimimasta tai häviää?
Ari Laitinen
> Vaihdoin toisen kovalevyn (sekä eri XP:n), sekä ajoin F-securen
> skannauksella saastuneen kovalevyn tiedostot läpi tämän ollessa
> "slave" tilassa. No apua ei ollut, vaan kyseiseltä kovalevyltä
> käynnistäessä kone buuttaa edelleen. Mitä tehdä?
Jos ei ole tietoa ongelman syystä niin siinä tapauksessa kopioit tiedostosi
toiselle levylle ja asennat windowsin uudelleen.
TeKa
myös tässäkin, taustalla on laiskuus. Ei haluaisi asentaa taas niitä kaikkia
ohjelmia ja etsiä ajureita uudelleen XP:hen.
Tuomo Auer
"TeKa" <teee...@POISTAhotmail.com> wrote in message
news:Eu_Ti.242642$EK4.1...@reader1.news.saunalahti.fi...
Mikäli oikein ymmärsin, niin kokeilit käynnistystä toisella XP:llä
alkuperäisen käynnistyslevyn ollessa vaan mukana systeemissä ja silti
buuttailee. Epäilen kullä tällöin laitevikaa. Pullistuneet konkat, huono
poweri, etc. Ota kokonaan se alkuperäinen kovalevy ja käynnistä pelkästään
siltä toiselta kovalevyltä. Tai vielä parempi, aja korpulta vaikkapa
memtestiä. Jos vieläkin boottailee, niin kovovikahan se on.
TA
TeKa
"Tuomo Auer" <tuomo...@poistatama.hut.fi> wrote in message
news:ffq0o0$7s9$1...@epityr.hut.fi...
Ei boottaile tuolla "uudella" kovalevyllä, johon asennettu sama XP kuin
alkuperäisessä. Tuo alkuperäinen toimii slavena oikein hyvin ja sain kaikki
tarvittavat tiedostot talteen, mutta ei toimi käynnistyslevynä (master),
vaan boottailee vaikka virukset poistettu päivitetyllä F-securella.
Olettaisin, että kyseessä ei ole laitevika.
kawa
> Kone buuttaa muutaman minuutin välein. Miten lähteä vikaa etsimään, kun se
> on mitä todennäköisimmin viruksen aiheuttamaa? Viruksen nimestä ei
> havaintoa.
Kurkaa ennen kuin masiina ehtii buutata että onko palveluissa
msblast.exe niminen ohjelma käynnissä, jos on niin killaa se heti.
(msblast.exe on virus joka buuttaa konetta).
--
kawa
Seppo Loisa
>Kone buuttaa muutaman minuutin välein. Miten lähteä vikaa etsimään, kun se
>on mitä todennäköisimmin viruksen aiheuttamaa? Viruksen nimestä ei
>havaintoa.
Mikään ei viittaa virukseen jos oireet on tuossa.
Pistä nyt ensin pois päältä koneen automaattinen
uudelleenkäynnistyminen vikatilanteessa niin näet minkä
virheilmoituksen Windows antaa BSOD-ruutuun. (STOP-koodi)
Tuon automaattikäynnistyksen saa pois päältä muistaakseni joko
F8-valikosta tai boottaamalla asennuslevyllä ja valitsemalla sieltä.
Kun saat STOP-koodin niin käytä ystävällistä googlea koodin
selvittäiseen.
kawa
> "TeKa" <teee...@POISTAhotmail.com> kirjoitti:
>
>> Kone buuttaa muutaman minuutin välein. Miten lähteä vikaa etsimään, kun se
>> on mitä todennäköisimmin viruksen aiheuttamaa? Viruksen nimestä ei
>> havaintoa.
>
> Mikään ei viittaa virukseen jos oireet on tuossa.
Ainakin CERTin mukaan pelkkä buuttaaminen voi olla merkki viruksesta.
Esim: "Lovsan"-verkkomato saastuttaa tietojärjestelmiä hyväksikäyttäen
Microsoftin RPC-haavoittuvuutta, joka on kuvattu tarkemmin CERT-FI:n
varoituksessa 52/2003. Saastuneessa tietojärjestelmässä saattaa esiintyä
uudelleen käynnistysongelmia; tietojärjestelmä uudelleen käynnistyy
automaattisesti 60 sekunnin välein."
--
kawa
Kristian Laihinen
auttanut, kts.linkki
http://www.nacs.uci.edu/security/MicrosoftRPCExploit.html
"kawa" <kaw...@gmail.com> kirjoitti
viestissä:4720d1a9$0$3522$39db...@news.song.fi...
TeKa
news:rVhUi.72$rn3...@read3.inet.fi...
Ajoin sekä msblast (lovsan) sekä Welchi virusten korjausohjelmat. Kummatkin
väittivät, että kyseisten ohjelmien tiedostoja koneessa ei ole. En toki
niitä löytänyt manuaalisestikaan. Kummallista kyllä, että tuon boottauksen
sai keskeytettyä, kun lopetti task managerista svghost verkonhallinta
onjelman. Tämä toi näyttöön jotain RPC läppää ja sekunnit alkoi kulumaan.
Regeditistä kun ajoin komennon shutdown -a, niin boottailu loppui. Mutta
koneen uudelleen käynnistäessä sama boottaus alkaa uudelleen.
Jos on tiedossa boottausta aiheuttavia viruksia, niin antakaa vinkkejä.
Vaikeuttaa kun ei tiedä, että mitä pitäis etsiä?
Ari Laitinen
> Ajoin sekä msblast (lovsan) sekä Welchi virusten korjausohjelmat.
> Kummatkin väittivät, että kyseisten ohjelmien tiedostoja koneessa ei
> ole. En toki niitä löytänyt manuaalisestikaan. Kummallista kyllä,
> että tuon boottauksen sai keskeytettyä, kun lopetti task managerista
> svghost verkonhallinta onjelman. Tämä toi näyttöön jotain RPC läppää
> ja sekunnit alkoi kulumaan. Regeditistä kun ajoin komennon shutdown
> -a, niin boottailu loppui. Mutta koneen uudelleen käynnistäessä sama
> boottaus alkaa uudelleen.
> Jos on tiedossa boottausta aiheuttavia viruksia, niin antakaa
> vinkkejä. Vaikeuttaa kun ei tiedä, että mitä pitäis etsiä?
Näin juuri kone käyttäytyy silloin kun siinä on Windows SP1 tai Windows 2k
ja se kytketään verkkoon.
Otapa verkkokaapeli irti ja tutki jatkuuko ongelman.
Jos jatkuu niin silloin on parasta asentaa Windows kokonaan uudelleen sillä
kone on saastunut tai sekaisin.
kawa
> Ajoin sekä msblast (lovsan) sekä Welchi virusten korjausohjelmat. Kummatkin
> väittivät, että kyseisten ohjelmien tiedostoja koneessa ei ole. En toki
> niitä löytänyt manuaalisestikaan. Kummallista kyllä, että tuon boottauksen
> sai keskeytettyä, kun lopetti task managerista svghost verkonhallinta
Oliko tuo svghOst.exe tai muu samatyyppinen, ei siis svghost.exe?
Jos on tuollai erikoisesti kirjoitettu, on se troijalainen ja olet
löytänyt ongelman ytimen :)
--
kawa
TeKa
"kawa" <kaw...@gmail.com> wrote in message
news:47260875$0$3519$39db...@news.song.fi...
Ei tunnu mikään auttavan. Boottaa vaikka lopettaa kaikki svghost.exe:t mitä
tuolla on. Täytynee tyytyä ja asentaa tuohon toiseen kovalevyyn kaikki
tarvittavat ohjelmat ja tyhjentää tuo "saastunut" levy, ellei jostain jotain
väläystä äkkiseltään ilmaannu...
kawa
> Ei tunnu mikään auttavan. Boottaa vaikka lopettaa kaikki svghost.exe:t mitä
> tuolla on.
Lataa hijackthis ja aja se. Laita sitten loki vaikka tänne niin katotaan :)
http://www.download.fi/tyopoytaohjelmat/haittaohjelmien_poisto/hijackthis.cfm
--
kawa
TeKa
"kawa" <kaw...@gmail.com> kirjoitti
viestissä:4729ebe7$0$3498$39db...@news.song.fi...
Siinäpä loki:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:59:08, on 2.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\OHJELM~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Ohjelma tiedostot\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\F-Secure\Common\FSLAUNCH.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {837B45D6-BF85-457D-AABF-6D2E7815F791} -
C:\WINDOWS\system32\qommjjg.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class -
{AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat
6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PCSuiteTrayApplication]
D:\OHJELM~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTDrive] rundll32.exe
C:\WINDOWS\system32\drvgid.dll,startup
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program
Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program
Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"
/background
O4 - HKCU\..\Run: [PcSync] D:\Ohjelma tiedostot\Nokia\Nokia PC Suite
6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat
6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: Vie Microsoft E&xceliin -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) -
file:///D:/Ohjelma%20tiedostot/AutoCad%202002/AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
file:///D:/Ohjelma%20tiedostot/AutoCad%202002/InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) -
file:///D:/Ohjelma%20tiedostot/AutoCad%202002/InstFred.ocx
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment
1.4.0_03) -
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
file:///D:/Ohjelma%20tiedostot/AutoCad%202002/AcPreview.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: crehcjid - C:\WINDOWS\SYSTEM32\crehcjid.dll
O20 - Winlogon Notify: qommjjg - qommjjg.dll (file missing)
O20 - Winlogon Notify: winmyy32 - winmyy32.dll (file missing)
O20 - Winlogon Notify: ` ð - ` ð (file missing)
O20 - Winlogon Notify: ` ° ð - ` ° ð (file missing)
O20 - Winlogon Notify: ` ¸ ð - ` ¸ ð (file missing)
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program
Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure
Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation -
C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure
Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure
Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation -
C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate
Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
--
End of file - 6657 bytes
TeKa
"TeKa" <teee...@POISTAhotmail.com> kirjoitti
viestissä:472b6e59$0$3511$9b53...@news.fv.fi...
>
> "kawa" <kaw...@gmail.com> kirjoitti
> viestissä:4729ebe7$0$3498$39db...@news.song.fi...
>> TeKa kirjoitti:
>>
>>> Ei tunnu mikään auttavan. Boottaa vaikka lopettaa kaikki svghost.exe:t
>>> mitä tuolla on.
>>
>> Lataa hijackthis ja aja se. Laita sitten loki vaikka tänne niin katotaan
>> :)
>>
>> http://www.download.fi/tyopoytaohjelmat/haittaohjelmien_poisto/hijackthis.cfm
>>
>> --
>> kawa
>
> Siinäpä loki:
>
Tuon yllä olevan dll:n kun poisti, niin loppui boottailu. Kiitän vinkeistä.
Petri Lopia
> TeKa kirjoitti:
>
>> Ei tunnu mikään auttavan. Boottaa vaikka lopettaa kaikki svghost.exe:t mitä
>> tuolla on.
>
> Lataa hijackthis ja aja se. Laita sitten loki vaikka tänne niin katotaan :)
Ei mielellään näitä hijackthis logeja tänne tai muuallekkaan.
Ärsyttää niin maan vietävästi etsiä tietoa jostain tiedostosta/prosessista x, kun
kaikki mitä google löytää ovat jotain hijackthis logeja.
--
Ei se valokuva selittällä parane: http://www.petrilopia.net/
Valokuvia halvoilla zoomeilla: http://www.pbase.com/whig/