Apua. Mikä on bot.exe? Ei kai vaan virus?

Mediaprofeetta

Well-known member
Liittynyt
6.3.2007
Viestit
3579
Sijainti
____________
Vähän aikaa sitten avasin f1-forumin niin joku Turva PC -ilmoitus hyppäsi silmille. Kuulemma olisi skannannut koneen viruksien ja haittaohjelmien varalta... joopa joo, oli niin arveluttavan näköinen ilmoitus, että tietty klikkasin vaan punaista raksia. Ajoin varmuuden vuoksi vielä Ad-awaren ja virustorjunnan skannaukset, mutta silti nyt kun käynnistin koneen, niin joku bot.exe -niminen ohjelma käynnistyy DOS-ikkunassa. Mikä helvetti tämä on? Googlella pikaisen etsinnän perusteella ei ainakaan mikään hyödyllinen ohjelma. Miten sen saa poistettua?
 

burb

.
Liittynyt
19.2.2002
Viestit
46199
Mikäs virustorjuntaohjelma sulla on? Eikös se herjaa skannauksen jälkeen tuosta mitään? Jos se herjais niin varmaan myös kyselis että mitä sille tehdään ja silloin vois valita poiston/tuhoamisen/tms.
 

Mediaprofeetta

Well-known member
Liittynyt
6.3.2007
Viestit
3579
Sijainti
____________
Ad-aware ei ainakaan sitä löytänyt, mutta noin 20 muuta haittaohjelmaa kyllä, jotka poistinkin samalla :D
 

Mediaprofeetta

Well-known member
Liittynyt
6.3.2007
Viestit
3579
Sijainti
____________
burb sanoi:
Mikäs virustorjuntaohjelma sulla on? Eikös se herjaa skannauksen jälkeen tuosta mitään? Jos se herjais niin varmaan myös kyselis että mitä sille tehdään ja silloin vois valita poiston/tuhoamisen/tms.
Minulla on AVG. Skannasin koko koneen läpi, mutta ei ilmoittanut mitään tuosta bot.exestä :nope:
 

burb

.
Liittynyt
19.2.2002
Viestit
46199
Albert Oil sanoi:
Ehh... eihä... siis eihän noin voi vastata... toihan on ihan älytön vastaus... EIEIEIIIIJJEEEEIIIHHHH, MÄ EN KESTÄÄÄÄ!!!!!! :nope: :nope: :thumbfh: :jaska: :jaska:
 

OoPee

Nuori ikäisekseen
Liittynyt
2.6.1999
Viestit
81528
Sijainti
Far enough
Mediaprofeetta sanoi:
Vähän aikaa sitten avasin f1-forumin niin joku Turva PC -ilmoitus hyppäsi silmille. Kuulemma olisi skannannut koneen viruksien ja haittaohjelmien varalta... joopa joo, oli niin arveluttavan näköinen ilmoitus, että tietty klikkasin vaan punaista raksia. Ajoin varmuuden vuoksi vielä Ad-awaren ja virustorjunnan skannaukset, mutta silti nyt kun käynnistin koneen, niin joku bot.exe -niminen ohjelma käynnistyy DOS-ikkunassa. Mikä helvetti tämä on? Googlella pikaisen etsinnän perusteella ei ainakaan mikään hyödyllinen ohjelma. Miten sen saa poistettua?
Viruspa/troijalainenpa hyvinkin.

Kokeiles tuolta vaikka kohdan F-Bot alta löytyviä poistotyökaluja eli siis: http://www.f-secure.com/tools/f-bot.exe
 

Joni

Well-known member
Liittynyt
19.1.2004
Viestit
16802
burb sanoi:
Ehh... eihä... siis eihän noin voi vastata... toihan on ihan älytön vastaus... EIEIEIIIIJJEEEEIIIHHHH, MÄ EN KESTÄÄÄÄ!!!!!! :nope: :nope: :thumbfh: :jaska: :jaska:
Niimpä. Tainnu oikeesti vetää muutama alput. :doubtful:
 

Mangelo

Well-known member
Liittynyt
19.4.2007
Viestit
24381
Nuo on kyllä hämäriä nuo ruudut mitkä pomppaa silmille joillain sivuilla. Ei niistä uskalla painaa edes sitä ruksia.
 

burb

.
Liittynyt
19.2.2002
Viestit
46199
Zaikom sanoi:
Nuo on kyllä hämäriä nuo ruudut mitkä pomppaa silmille joillain sivuilla. Ei niistä uskalla painaa edes sitä ruksia.
Jos tarkoitat niitä Windowsin virheilmoituksiksi tai vastaaviksi naamioituja roskamainosgiffejä tai muita niin juu, aika ärsyttäviä ovat. Useimmat taitaa blokkautua ihan vaan jonkun adblokkerin toimesta mutta joitakin aina silloin tällöin pompsahtaa esiin. Enimmäkseen pinppisivustoilla. En mä tota sanonu. Pyyhittäköön pöytäkirjasta.
 

Mediaprofeetta

Well-known member
Liittynyt
6.3.2007
Viestit
3579
Sijainti
____________
Ei auta mikään noista ohjelmista ei.

Bot.exe -tiedosto pysyy vaan koneella, C:/bot.exe. Eli se ei ole edes missään Windows-kansiossa. Saatana kun nuo antivirus-ohjelmat ja adawaretkaan ei edes löydä mitään niin sitä ei voi poistaa. Vaikka tuon exe-tiedostonkin poistaisi manuaalisesti niin se ei häviä mihinkään.

Wittu /format C:... eköhän se sillä hoidu. :thumbfh: :thumbfh: :jaska: :jaska: :jaska:

Tässä nyt vielä HijackThis-ohjelman logfile jos joku siitä osaa jotain kertoa:

Logfile of HijackThis v1.99.1
Scan saved at 17:57:30, on 02.06.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Winamp Remote\bin\OrbTray.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\service.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULiRaid\ULiRaid.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Windows svchost] service.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [__GSCAdditionalInstallation__] "D:\Pelit\Alexander\Alexander_demo\SetupDemo.exe" -AdditionalInstall
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) - http://www.tvlution.com/KooPlayer.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159085346718
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167857143003
O16 - DPF: {82FFA573-38AA-482A-99AD-91F697B91631} (Installer.InstallControl) - http://static.35mb.com/applet/applet_o.cab
O16 - DPF: {B85537E9-2D9C-400A-BC92-B04F4D9FF17D} (Silverwire Image Uploader Control) - http://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://fi.photobox.com/clients/uploader_v2.2.0.6.cab
O16 - DPF: {DB7BF79A-FC51-4B5A-92BC-A65731174380} (InstantAction Game Launcher) - http://www.instantaction.com/download/iaplayer.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: Sentinel Keys Server (SentinelKeysServer) - SafeNet, Inc. - C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 
Viimeksi muokattu:

Jarto

Senior Member, VIP
Liittynyt
10.9.1999
Viestit
858
Sijainti
Vaasa
> Platform: Windows XP SP1 (WinNT 5.01.2600)

Jos (tai kun) uudelleenasennat, päivitä samalla tuoreempaan service packiin.
 

OoPee

Nuori ikäisekseen
Liittynyt
2.6.1999
Viestit
81528
Sijainti
Far enough
Mediaprofeetta sanoi:
Ei auta mikään noista ohjelmista ei.

Bot.exe -tiedosto pysyy vaan koneella, C:/bot.exe. Eli se ei ole edes missään Windows-kansiossa. Saatana kun nuo antivirus-ohjelmat ja adawaretkaan ei edes löydä mitään niin sitä ei voi poistaa. Vaikka tuon exe-tiedostonkin poistaisi manuaalisesti niin se ei häviä mihinkään.

Wittu /format C:... eköhän se sillä hoidu. :thumbfh: :thumbfh: :jaska: :jaska: :jaska:

Tässä nyt vielä HijackThis-ohjelman logfile jos joku siitä osaa jotain kertoa:
Siis mitä helv... sulla on XP SP1 ja lisäksi vielä IE 6? :nope: :nope: :nope:

Ekkö sä koskaan päivitä tota masiinaas? :( Meinaan ei ihme, että tulee roskaa koneelle. Kai sun antivirussoftas on sentään jotenkuten ajantasalla?

Ton HijackThis-logtiedoston voit käydä heittämässä tuonne, saat sieltä varsin yksityiskohtaisen erittelyn.

Voisit tietysti kokeilla ajaa jonkun online-skannerin lävitse vaikkapa tuolla. Omalla antivirussoftallasi siis kai jo skannasit?

Niinjoo, sitä ennen meet rekisteriin (start > run > regedit) ja siellä HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ja sen alta rivin, jossa lukee WhenUSave ja "C:\Program Files\Save\Save.exe". Deletoit tuon rivin (mutta vain sen). Toi on meinaan adware. Tuo rivi siis käynnistää jokaikinen kerta tuon save.exen kun loggaat sisään.
 

Mediaprofeetta

Well-known member
Liittynyt
6.3.2007
Viestit
3579
Sijainti
____________
No joo, kait tässä on vähän peiliin katsominen... mutta:

Nyt selvisi, että tässä on todennäköisesti kyseessä se kuuluisa Messengerissä leviävä virus/spyware mikä lie. Tuossa äsken nimittäin kuulustelin velipoikaa... oli siis eilen käytellyt tällä koneella mesee ja hälle oli sitten tullut se kuvalinkki, josta oli tietysti klikannut ja ladannut sen koneelle. Ei ei ei ei näin. Odotin enemmän :jaska:

Eiköhän tää ole sillä selvä. Pitää ettiä yksityiskohtaset poisto-ohjeet jostain forumeilta. :nope:
 

OoPee

Nuori ikäisekseen
Liittynyt
2.6.1999
Viestit
81528
Sijainti
Far enough
Mediaprofeetta sanoi:
No joo, kait tässä on vähän peiliin katsominen... mutta:

Nyt selvisi, että tässä on todennäköisesti kyseessä se kuuluisa Messengerissä leviävä virus/spyware mikä lie. Tuossa äsken nimittäin kuulustelin velipoikaa... oli siis eilen käytellyt tällä koneella mesee ja hälle oli sitten tullut se kuvalinkki, josta oli tietysti klikannut ja ladannut sen koneelle. Ei ei ei ei näin. Odotin enemmän :jaska:

Eiköhän tää ole sillä selvä. Pitää ettiä yksityiskohtaset poisto-ohjeet jostain forumeilta. :nope:
Asennas vielä SpyBot ja skannaa sillä kone. Jo on perkele, jos ei tuolla lähde :doubtful:
 

Mediaprofeetta

Well-known member
Liittynyt
6.3.2007
Viestit
3579
Sijainti
____________
Asensin SpyBotin jolla löytyi taas kaksi haittaohjelmaa. Poistin molemmat ja ainakin nyt sain poistettua myös sen bot.exe-tiedoston, eikä se tullut takaisin. Jostain saastuneista tiedostoista virustorjunta vielä välillä varottelee mutta ainakin se bot.exe on nyt poistettu.
 

PuoliPöhkö

Well-known member
Liittynyt
3.1.2008
Viestit
31216
Sijainti
suom. "sijainti" toim.huom.
Mitä se "Quarantine" nappi tekee Ad-Awaressa? Estääkö se ko. vakoiluohjelmien uudelleen asentumisen koneelle - vai mitä se tekee?
Mä kun en ymmärrä näiden vehkeiden päälle, niin olen painanut (rastitettuani ensin löydetyt "critical-objects") vaan lopuksi Finnish-nappulaa.

Kerran painoin sitä Quarantee-nappia, mutta se rupesi kyselemään jotain tiedostonimiä, niin mun mielenkiinto loppui siihen.

Eli mitä Quarantee tekee ja miksi siihen pitää antaa joku tiedostonimi? (ATK for Dummies - kielellä kiitos) :ahem:
 
Ylös