[siim951]

Arvutisse on kuidagi sisse pääsend mingi viiruse laadne asi. Nimelt too avab pidevalt IE'd aga mitte nii et aken avaneks vaid ainult task managerist on n2ha et IEXPLORE.EXE on avatud pidevalt 2 korraga. püüan panna end task taa tuleb tagasi.
seda v2rki põhjustavad 2 asja:
DATEFO~1.EXE-36F998CC.pf
KINDCH~1.EXE-23A6A25C.pf

mõlemad asuvad C:\WINDOWS\Prefetch kaustas.


tegin hijackthis logi:

Logfile of HijackThis v1.99.1
Scan saved at 19:39:14, on 1.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Hijackthis\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

[Lord Ami]

Proovi seda:
start-run kirjuta prefetch
Kustuta kõik failid mis seal kaustas.On abi?

[siim951]

[jossi 1]

Prefetch on kõrvaline tegur, sealt otseselt failid ei käivitu. See on tihti käivitavate failide kiiremaks käivitamiseks. Kuid sellegi poolest võib prefetch kausta tühjaks lasta, win tekitab ise uue.

Mõistatuseks jääb miks on wuauclt.exe windows update topelt.

Kontrolli ka peidetud ning süsteemikaustade näitamisega kas c:\progra~1\intern~1\iexplore.exe on ikka tegu Microsofti omaga. Järsku veidi teise sarnase nimega kaust. Õige IE asub Program Files\Internet Explorer. Selle tee peaks logis korrektelt olema kuvatud, mitte DOS 8.3 stiilis.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
ebavajalik, kustuta, kuid mitte ohtlik

Otsi peidetud ja süs failide lubamisega
DATEFO~1.EXE
KINDCH~1.EXE
ning kustuta need, samuti otsi registrist neile viiteid.

Samuti soovitan IE uuendada IE7 peale.

[Lord Ami]

Lase nod32 maha ja tõmba Kaspersky v7 siit:
ftp://kav2006:Fynb02dbhec60@data.kaspersky.com/7.0.0.125/KAV/English/2007_06_28_12_33/kav.en.msi
Installi, restart ja siis tee update.Mine safe modesse.Võid veel lubada potentsiaalselt ohtliku tarkvara leiu, seda tee settings-threats and exclusions ja pane linnuke ette Potenially dangerous software.Tee kogu süsteemi scan safe modes ja vaata kas leiab midagi.
Hijackthis logi paistis enamvähem puhas olevat.

[jossi 1]

Kaspersky prooviversiooni asemel soovitan Kaspersky online. Milleks NOD32 maha lasta kui see toimib pikemalt kui mingi prooviversioon.

[Lord Ami]

nojah, aga too võtaks rohkem aega..
Aga lase käiia, online scan on ka hea võimalus.

[nexus]

[Lord Ami]

Mismõttes...?
Sry..
Ega ma siin kasperskyt ei taha talle pähe määrida(sorry kui nii aru saite)
Lihtsalt, äkki leiab Kaspersky mingeid viiruseid üles.

[siim951]

Probleem lahendatud!

tegin mõne aja pärast hijackthis'ga uuesti scanni ja sealt leidsin jällegi selle KINDCH~1., aga seal oli ära märgitud ka tolle kaust kus ta asetseb, seal kaustas oli veel teisigi kahtlaseid programme ja nii kustutasin terve kausta ära. nüüd igas tahes enam iexplore.exe enam ei jama.

[laurx]

startup tuleks ka yle kaeda, sinna kausta ilmselt viivad mingid v6tmed. tuleks tyhjaks lasta ka temp.. lord amil natuke 6igus: sellistel puhkudel mitme asjaga sk2nnimine abiks, liiatigi kui need katkised nod id masinatesse juhtunud on. ise tahaks hirmsasti teada, mis asjaga tegu oli, kasvõi mõne programmi nime, mis seal kaustas istusid..

[jossi 1]

DATEFO~1.EXE
KINDCH~1.EXE

asukohta saab ka kindlaks teha kui WINDOWS\Prefetch kaustas DATEFO~1.EXE-36F998CC.pf ja KINDCH~1.EXE-23A6A25C.pf failid notepadiga avada ning teraselt lõppoole nende teed otsida. Lihtsam on notepadis Edit>find ja failinimi tühikuteka sisse toksida, stiilis D A T E F O

[siim951]

Need viirused olid:

datefordteam.exe
ketqlgyj.exe
load about burn one.exe
timehidehole.exe
kind chin.exe

Uinstallisin NOD32 ja panin peale Kaspersky Internet Security. NOD32 ühtegi nedndest viirustest ei leidnud. Scannisin nüüd Kiv'ga arvuti läbi ja too leidis kohe nad kõik prügikastist ülesse (unustasin prügkasti tühjaks teha ) . Troojakad oli raisad . hea et midagi hullemat ei teinud arvutis .

Nüüd igal juhul hakkan kaspersky kasutajaks.

[jossi 1]

Huvi pärast googeldasin nende nimedega, ühtegi tulemust ei saanud.

Kui sul karantiinis alles, järsku saad saata need failid mulle uurimiseks crazy65 at hot.ee

[laurx]

ilmselt on tegemist mingi asja uute versioonidega mida kav " ennustada " oskas.. asjal võib olla ka võime genereerida omale nimesid stiilis laurxonloll.exe

[siim951]

kõikide nende failide viiruse nimi oli Trojan.Win32.Obfuscated.en

[jossi 1]

Kuigi Kaspersky leidis failid, peab ka registris nende käimatirimise võti olema. Vaevalt, et KAv selle võtme kustutas. Pealegi võib hoopis mingi muu fail olla, mis genereeris need loetletud.

[siim951]