SpyWare Quake

[Guest arttula]

Terve

 

Tyhmyydestä sakotetaan ! > HP:n kirjoittimen asennusohjelma käski (pyysi) disabloimaan palomuurin asennuksen ajaksi. Mitään ajattelematta tein niin. Nyt koneeni on täynnä matoja, joista suurimmasta osasta olen päässyt eroon. Tuollainen Spyware Quake jatkaa sitkeästi vastarintaansa. Olen netistä löytänyt muutaman ohjeen tuon poistamiseksi, mutta ne vaativat aika raakaa rekisterin puukottamista. Onko muita ideoita ?

 

Arttu

 

Ah, ja kaveri tuossa kertoi saaneensa PestTrap -nimisen syöpäläisen. Löytyykö siihen apuja ?

[Jani Viipuri 0]

Varmistan vain että onhan Ad-aware ja Spybot asennettu ja ajettu läpi ?

[Guest mhx]

http://www.sunbelt-software.com/CounterSpy.cfm

 

..väittää pystyvänsä poistamaan Spyware Quaken.

 

edit: Pesttrap kuulunee noihin feikki malware-ohjelmiin - ohjeet poistoon täällä

[Guest arttula]

Terve

 

Joo, Ad-Aware ja SpyBot eivät noita onnistu poistamaan - eivät vaikka ajaisi Safe modessa. Tuo Markuksen mainitsema on maksullinen ohjelma. Mieluummin ilmainen, jos vaan mahdollista. En juuri tällä hetkellä kovin mielelläni näpyttelisi luottokorttini numeroa juuri tällä koneella...

 

Arttu

[Sami Puro 599]

Windows defender  ..?

 

 

Toisaalta kun googleen laittaa tuon pöpön nimen niin johan tulee infoa: http://www.virustorjunta.net/modules.php?name=Forums&file=viewtopic&t=4157&view=next

[Guest mhx]

Joo, sry! En huomannu, että oli maksullinen.

 

Tässä ohje poistoon:

 

http://www.geekstogo.com/forum/How_to_Remove_SpywareQuake-t104439.html

[Guest arttula]

Terve

 

No nyt ainakin näyttäisi nitistyneen ! Kiitos taas kaikille auttaneille !

 

Ihmettelen vaan, miten ihan oikeasti HP:n asennusohjeissa VOIDAAN kehottaa kytkemään palomuuri hetkeksi pois päältä. (Ja miksi jotkut idiootit tosiaan tekevät niin... )

 

Arttu

[Jani Viipuri 0]

Näitä disabloi tämä ja tuo kehoituksia näkyy todella monessa ohelmassa. saattaa johtua siitä että näin päästään vähemmällä tech supportilla ja saadaan "vastuu" siirrettyä naapurille/atk firmalle. jos esim ohjelma haluaa nettiin ja palomuuti blokkaa se, niin siinä on peruskäyttäjällä sormi suussa kun tulee sitä sun tätä ilmoitusta ja ohjelma ei suostu meneen nettiin tms. tottahan toki se Pentti Peruskäyttäjä seuraa ohjeita kuin pässi narua, jolloin näitä spyware tms pääsee ilmaantumaan =(

 

sama virustorjunnan kanssa, jos vaikka ohjelmasta löytyy virusta muistuttava koodi ja antivirus antaa siitä ilmoituksen käyttäjälle niin taas ihmetellään että mikäs nyt ja uskaltaakohan enään tehdä mitään.

 

oma mielipiteeni on että tuollaiset disablointi pyynnöt on peestä, itse en ole koskaan ottanut antivirusta tai palomuuria pois päältä ohjelman pyynnöstä ja silti on kaikki toiminut hyvin.

[Guest AvS_MotorSports]

Vähän ohi, mutta Saunalahden tietoturvapaketti (sis. Virustorjunta + palomuurisofta) pyytää päästä nettiin ennen paketin asennusta, jotta se saa jotenkin aktivoitua itsensä. Fiksua

[Lauri Rantanen 0]

Ennestään tuttu minullekkin tuo kyseinen Spyware ja sain sen hoidettua Spybotilla..

Kannattaa hankkia uusimmat päivitykset bottiin.. Muuten ei onnistu.

 

Vinkkinä : Tietoturva ongelman, sekä kyseisen spywaren aiheuttaa AU_.exe tiedosto.

Suosittelen blokkaamaan koko tiedoston. Älä kuitenkaan poista sitä ! On hyvä, että kone ei saastu uudelleen.

 

Spybotin ajettuasi, kone käynnistyy uudestaan ja suorittaa läpiajon.

Tiedosto on poistettu..

Suosittelen blokkaamaan myöskin Spywareen liittyvät asennus ohjelmistot.

Itse, kun poistin, niin koneeseen pukkasi uutta asennustiedostoa ja se suoritti sen vieläpä ilman minkäänlaista ilmoitusta.

 

 

[Guest arttula]

Terve

 

Joo, jotain tuonne tuntui jääneen SpyBotin (uusimmat päivitykset) ja Nortonin jälkeenkin, sillä Win21.tmp.exe (ja muulla vastaavalla nimellä varustettu ohjelma) yrittää vähän väliä nettiin, mutta Norton blokkaa sen. Imuroin SpySweeper -nimisen ohjelman kokeiluversion, ja skannasin levyt. Tosiaan SpyBotin ja Nortonin jälkeen löytyi edelleen 14 syöpäläistä. Poistin ne, ja ajoin Spy Sweeperin vielä kertaalleen Windowsin Safe Modessa. Yksi troijalainen oli vieläkin jäänyt henkiin. Senkin nitistin.

 

Melko pirullisia ohjelmia nuo !!! > Ja kaikki tämä 2 päivän työ vain sen vuoksi, että Norton oli pari minuuttia pois päältä. Todellakaan ei turhaan noita palomuureja ym. kehoteta hankkimaan !

 

Arttu

[Mikko Lindström 55]

Terve

 

Joo, jotain tuonne tuntui jääneen SpyBotin (uusimmat päivitykset) ja Nortonin jälkeenkin

 

Lataa HijackThis niminen ohjelma, käynnistä ja paina "Do a system scan and save a log file" ja pistä login sisältö kokonaisuudessaan tähän tai esim Afterdawnin foorumille niin katsotaan mitä löytyy. ÄLÄ todellakaan fixaile sillä mitään mistä et ole varma.

[Guest arttula]

Joo, tein sen jo, mutta en uskaltanut koskea mihinkään... Tuossa logi:

 

Logfile of HijackThis v1.99.1

Scan saved at 11:08:50, on 27.6.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Internet Security\ISSVC.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe

C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe

C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\HPZinw12.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Program Files\Messenger\msmsgs.exe

C:\HJT\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fi\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fi\msntb.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [indicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe

O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe

O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe /NoDialog

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: HP Image Zone Fast Start.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Locate Spot on Map by GPS - C:\Program Files\Opanda\IExif 2.25\IExifMap.htm

O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - C:\Program Files\Opanda\IExif 2.25\IExifCom.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winmbj32 - C:\WINDOWS\SYSTEM32\winmbj32.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

 

 

 

Arttu

 

Lataa HijackThis niminen ohjelma, käynnistä ja paina "Do a system scan and save a log file" ja pistä login sisältö kokonaisuudessaan tähän tai esim Afterdawnin foorumille niin katsotaan mitä löytyy. ÄLÄ todellakaan fixaile sillä mitään mistä et ole varma.

[Mikko Lindström 55]

Fixaa tämä. Muuten näyttäisi olevan ok.

 

O20 - Winlogon Notify: winmbj32 - C:\WINDOWS\SYSTEM32\winmbj32.dll

 

Tämän jälkeen käynnistä tietokone uudelleen vikasietotilaan ja poista kyseinen tiedosto.

[Guest arttula]

Terve

 

Ei helvata !!! Hetken näytti siltä, että kone olisi madoton, mutta nyt alkoi taas tulla noita pop uppeja, ja yrityksiä yhdistää verkkoon. Spy Sweeper näytti jo kertaalleen kaiken olevan ok, samoin Norton. Mistä noita oikein tulee nyt koneelleni ?? Tsekkasin Nortonin asetukset, eikä siellä näyttänyt olevan mitään epäilyttävää. Melkoisen sitkeähenkinen paskiainen !!! >

 

Onko muita ideoita, kuin format c: ??

 

Niin juu... Poistin tuon Mikon ehdottaman, mutta ei auttanut... :-/

 

Arttu

[Sami Puro 599]

Kokeilepa jo ottaa se Windows Defender tuolta MS:n sivuilta ... lienee tehokkain spywaren kitkijä toistaiseksi ainakin.

[Mikko Lindström 55]

Koitas myös eScanilla skannata.

 

http://koti.mbnet.fi/pattaya1/escanmwav.htm

 

Se on ainakin löytänyt eniten sontaa tässä sangen tuoreessa testissä

 

http://koti.mbnet.fi/pattaya1/testitulokset_19062006.htm

 

Onhan myös Windowsin päivitykset kunnossa?

[Guest arttula]

Ookkei... Kokeilin molempia eScania, että Windows defenderia. eScan ilmoitti 34:stä viruksesta, joista tosin osa oli jo muiden ohjelmien karanteenissa. Win Defender taasen ruoski yhden pöpön. Nyt ei hetkeen ole tullut ilmi mitään virustoimintaan viittaavaa. Toivotaan, että se tästä paranisi...

 

Kiitos teille !

 

Arttu

[Esa Lehtismäki 0]

Palomuurin voi toki kytkeä pois päältä, mutta ensin aina verkkopiuha irti koneesta. Oikeasti tarvetta palomuurin sammuttamiseen on tuskin koskaan. Virustorjunnan sammuttaminen kuulema saattaa joskus olla tarpeen jossain asennuksessa, mutta eipä ole semmoistakaan F-Securella tullut vastaan. Silloin pitää skannata se asennuspaketti ensin.

[Guest arttula]

Joo, ei tarvitse tosiaan, ei. Eikä näköjään kannatakaan... Mutta kun HP:n printterin asennuksessa selvästi niin käskettiin. Tyhmähän minä olin, kun sitä noudatin.

 

Arttu

 

Palomuurin voi toki kytkeä pois päältä, mutta ensin aina verkkopiuha irti koneesta. Oikeasti tarvetta palomuurin sammuttamiseen on tuskin koskaan. Virustorjunnan sammuttaminen kuulema saattaa joskus olla tarpeen jossain asennuksessa, mutta eipä ole semmoistakaan F-Securella tullut vastaan. Silloin pitää skannata se asennuspaketti ensin.

[Guest Jukkis]

Ihan rautapalomuurinkin ostaminen kotikäyttöön on nykyään ihan perusteltua, tässäkin tapauksessa olisi säästytty paljolta vaivalta. Halvimmat nat-purkit taitaa olla siinä 30€ pintaan, ja suojakerrointa on ihan riittävästi torjumaan kaikki suorat ulkoiset hyökkäykset. Suosittelen lämpimästi.