|
Spyware infection -laatikko näytöllä
|
|
|
anttih_
Junior Member
|
2. tammikuuta 2007 @ 10:40 |
Linkki tähän viestiin
|
|
Tuollainen ongelma on siis isoveljeni koneella. Taustakuvan paikalla on musta laatikko, jossa lukee "SPYWARE INFECTION". Tätä laatikkoa ympäröi puolestaan sininen tausta. Mikä siis neuvoksi, että saisin koneen ns. normaalitilaan ja tuon taustan pois koneelta? Ad-awaren ja SpyBotin käyttö ei tuoneet helpotusta asiaan.
Katselin tuossa googlen avulla vanhoja viestiketjuja aiheeseen liittyen, vissiin jotain samansuuntaista täytyy tehdä?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 2. tammikuuta 2007 @ 10:41
|
|
fixeri
Member
|
2. tammikuuta 2007 @ 11:01 |
Linkki tähän viestiin
|
Katotaanpa tuolla.
Lataa smitfraudfix:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Pura sisältö (kansio nimeltä SmitfraudFix) työpöydällesi:
Avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio 1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Lähetä tämän tekstitiedoston sisältö viestiketjuusi.
Huomaa: process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
|
|
anttih_
Junior Member
|
2. tammikuuta 2007 @ 11:06 |
Linkki tähän viestiin
|
|
Kiitos vinkistä, kokeilen tuota huomisaamusta ja palaan asiaan kun olen ohjelman ajanut.
|
|
anttih_
Junior Member
|
3. tammikuuta 2007 @ 10:03 |
Linkki tähän viestiin
|
Yritinpä tuossa muutamaan otteeseen tuota ko. ohjelmaa avata, mutta kummallakaan kerralla se ei isoveljen koneella onnistunut. Tältä sivulta yrittäessä kone meni jumiin. Tallensin aiemmin ohjelman cd-levylle ja yritin avata sen sitä kautta, se onnistuikin. Mutta sitten tuon ko. sovelluksen avaamisen jälkeen tuli useamman rivin teksti "Käyttö estetty", eli silläkään tavoin ohjelman avaaminen ei onnistunut. Liekkö tuo jälkimmäinen johtuu sitten tuosta virusohjelmasta (käytössä Avast), vai onko ongelma jossain muualla?
Liekköhän tuohon koneen vaivaan on olemassa kotikonsteja, vai pitääkö viedä ammattilaisen puhdistettavaksi?
Mainittakoon vielä, että windowsin käynnistyessä kone on todella hidas ja lataa itseään useita minuutteja (jos sillä jotain merkitystä nyt on).
|
|
fixeri
Member
|
3. tammikuuta 2007 @ 10:34 |
Linkki tähän viestiin
|
Vai kiukuttelee se kone..:(
Onko sulla sellanen käyttäjätili käytössä että on täydet oikeudet, eli pystyt asentelemaan ohjelmia?
Koeta niin että kun se Smitfraudfix on sulla siellä koneella, ota nettipiuha irti seinästä ja sammuta Avast siksi aikaa kun yrität ajaa sen Smitfraudfixin.
|
|
anttih_
Junior Member
|
3. tammikuuta 2007 @ 10:38 |
Linkki tähän viestiin
|
|
Pystyn asentamaan ohjelmia normaalisti, kyllä. Ei ole siinä mitään ongelmaa. Minäpä huomenna teen tuon ohjeesi mukaisesti, jospa se alkaisi siitä toimimaan.
|
|
anttih_
Junior Member
|
4. tammikuuta 2007 @ 04:20 |
Linkki tähän viestiin
|
|
Todennäköisesti eilen tuon ohjelman "ajaminen" ei onnistunut siksi, kun yritin käynnistää sitä CD-levyltä. Aamulla sitten kopioin sen koneelle ja ohjelma toimi moitteetta. Se antoi seuraavanlaisia tietoja:
SmitFraudFix v2.132
Scan done at 8:23:35,64, to 04.01.2007
Run from C:\Documents and Settings\HP_Omistaja\Ty?p?yt?\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\desktop.html FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Omistaja
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Omistaja\Application Data
C:\Documents and Settings\HP_Omistaja\Application Data\Install.dat FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_OMI~1\Suosikit
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Nykyinen kotisivu"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csmas.exe"
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
|
|
fixeri
Member
|
4. tammikuuta 2007 @ 10:02 |
Linkki tähän viestiin
|
|
Siellä oli juuri se mitä arvelinkin, tuosta sitten lisää.
Printtaa ohjeet ulos.
Käynnistä koneesi vikasietotilaan.
Kun vikasietotilassa, avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio 2 - Clean kirjoittamalla 2 ja painamalla "Enter" poistaaksesi tarttuneet tiedostot.
Sinulta kysytään: "Registry cleaning - Do you want to clean the registry ?"; vastaa "Yes" kirjoittamalla Y ja paina "Enter" poistaaksesi työpöydän taustakuvan ja puhdistaaksesi tarttuneet rekisteriavaimet.
Työkalu tarkistaa jos wininet.dll on tarttunut. Sinua saatetaan pyytää korvaamaan tarttunut .dll (jos löytyy); vastaa "Yes" kirjoittamalla Y ja painamalla "Enter".
Työkalun saattaa tarvita käynnistää kone uudelleen; jos ei tee niin, käynnistä normaaliin Windowsiin.
Tekstitiedosto ilmestyy, puhdistusprosessin jäljiltä; kopioi ja liitä tämän raportin tulokset vastaukseesi.
Raportti löytyy paikalliselta levyltäsi, useimmiten C:\rapport.txt.
|
AfterDawn Addict
|
4. tammikuuta 2007 @ 10:06 |
Linkki tähän viestiin
|
Ei HjT-lokeja tms. yksityisviestillä!
|
|
anttih_
Junior Member
|
4. tammikuuta 2007 @ 12:46 |
Linkki tähän viestiin
|
Nyt on sitten ohjelmat ajettu, jonka seurauksena taustakuvaa pystyy jälleen normaalisti vaihtamaan. Kiitos siis tästä jo etukäteen. Tuon HjT -lokin laitoin tänne.
Tässä sitten vastaavasti SmitFraudFix- ohjelman loki:
SmitFraudFix v2.132
Scan done at 16:27:35,31, to 04.01.2007
Run from C:\Documents and Settings\HP_Omistaja\Ty?p?yt?\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\WINDOWS\desktop.html Deleted
C:\Documents and Settings\HP_Omistaja\Application Data\Install.dat Deleted
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csxsh.exe"
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
Ja tässä Fixwareout -ohjelman raportti:
Fixwareout
Last edited 12/06/2006
Post this report in the forums please
...
Prerun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csdxu.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmzed.exe"="C:\\WINDOWS\\System32\\dmzed.exe"
...
...
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E78BB844C9BA-2E1A-D574-6670-5A3B29B3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1763EA542FB9-F0B9-44B4-EDEE-1ACFC327{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\dezmd
...
Random Runs removed from HKLM
"dmzed.exe"=-
...
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSDXU.EXE 51 763 2006-10-24
C:\WINDOWS\SYSTEM32\DMDTO.EXE 61 022 2004-02-12
C:\WINDOWS\SYSTEM32\DMHZL.EXE 61 022 2004-02-12
C:\WINDOWS\SYSTEM32\DMMZB.EXE 61 022 2004-02-12
C:\WINDOWS\SYSTEM32\DMVNA.EXE 61 022 2004-02-12
C:\WINDOWS\SYSTEM32\DMWYF.EXE 61 022 2004-02-12
C:\WINDOWS\SYSTEM32\DMWYN.EXE 61 022 2004-02-12
C:\WINDOWS\SYSTEM32\DMZEA.EXE 61 022 2004-02-12
C:\WINDOWS\SYSTEM32\DMZED.EXE 61 022 2004-02-12
Other suspects.
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
...
Postrun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""
...
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 4. tammikuuta 2007 @ 12:47
|
AfterDawn Addict
|
4. tammikuuta 2007 @ 12:50 |
Linkki tähän viestiin
|
Nuo fixiin:
O17 - HKLM\System\CCS\Services\Tcpip\..\{177F21D7-D3D1-4E3A-8C01-5516D55095E9}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{96BB332E-EAF2-429D-884B-D3FF7FA8B100}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9681353-797F-4A78-A3F8-E6364AD0B690}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CS1\Services\Tcpip\..\{177F21D7-D3D1-4E3A-8C01-5516D55095E9}: NameServer = 85.255.115.116,85.255.112.169
Poista nämä vikasiedossa:
C:\WINDOWS\SYSTEM32\CSDXU.EXE
C:\WINDOWS\SYSTEM32\DMDTO.EXE
C:\WINDOWS\SYSTEM32\DMHZL.EXE
C:\WINDOWS\SYSTEM32\DMMZB.EXE
C:\WINDOWS\SYSTEM32\DMVNA.EXE
C:\WINDOWS\SYSTEM32\DMWYF.EXE
C:\WINDOWS\SYSTEM32\DMWYN.EXE
C:\WINDOWS\SYSTEM32\DMZEA.EXE
C:\WINDOWS\SYSTEM32\DMZED.EXE
Käynnistä uudelleen.
Aja fixwareout uudestaan
Lähetä sen loki ja uusi HjT-loki (ja mielellään tähän ketjuun :)
Ei HjT-lokeja tms. yksityisviestillä!
|
|
anttih_
Junior Member
|
4. tammikuuta 2007 @ 13:19 |
Linkki tähän viestiin
|
Kaiken muun ymmärsin, mutta mitä tarkoitit noilla lihavoiduilla teksteillä? Ne pitää ilmeisesti korjata tai poistaa HjT -ohjelmaa käyttäen?
Ja uuden HjT -lokin laitan sitten tänne, toki. :)
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 4. tammikuuta 2007 @ 13:28
|
|
fixeri
Member
|
4. tammikuuta 2007 @ 13:37 |
Linkki tähän viestiin
|
Lainaus:
O17 - HKLM\System\CCS\Services\Tcpip\..\{177F21D7-D3D1-4E3A-8C01-5516D55095E9}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{96BB332E-EAF2-429D-884B-D3FF7FA8B100}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9681353-797F-4A78-A3F8-E6364AD0B690}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CS1\Services\Tcpip\..\{177F21D7-D3D1-4E3A-8C01-5516D55095E9}: NameServer = 85.255.115.116,85.255.112.169
Vissiin nuita tarkoitit. Eli avaa HjT, merkkaa nuo rivit ja paina Fix checked jos ne vielä löytyy logista.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 4. tammikuuta 2007 @ 13:39
|
|
anttih_
Junior Member
|
4. tammikuuta 2007 @ 13:54 |
Linkki tähän viestiin
|
Lainaus:
Vissiin nuita tarkoitit. Eli avaa HjT, merkkaa nuo rivit ja paina Fix checked jos ne vielä löytyy logista.
Juuri niitä, kiitos. Minäpä käyn jälleen huomisaamuna ohjelmat ajamassa ja laitan lokit sitten tänne sen jälkeen.
|
|
anttih_
Junior Member
|
5. tammikuuta 2007 @ 03:16 |
Linkki tähän viestiin
|
Ajoin ohjelmat ja seuraavassa niiden logit.
HjT-loki (tästä on kaksi lokia, toisessa eivät enää näy ne korjatut tiedostot). Osaatte varmasti erottaa oikean:
Logfile of HijackThis v1.99.1
Scan saved at 7:35:31, on 5.1.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\pchbutton.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\HJT\HijackThis.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jypliiga.fi/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soneraplaza.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: HP-näkymä - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\pchbutton.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{177F21D7-D3D1-4E3A-8C01-5516D55095E9}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{96BB332E-EAF2-429D-884B-D3FF7FA8B100}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9681353-797F-4A78-A3F8-E6364AD0B690}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CS1\Services\Tcpip\..\{177F21D7-D3D1-4E3A-8C01-5516D55095E9}: NameServer = 85.255.115.116,85.255.112.169
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: Avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
---
Logfile of HijackThis v1.99.1
Scan saved at 7:54:54, on 5.1.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HJT\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soneraplaza.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: HP-näkymä - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\pchbutton.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: Avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
Ja tässä sitten Fixwareout -ohjelman loki:
Fixwareout
Last edited 12/06/2006
Post this report in the forums please
...
Prerun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""
...
...
Reg Entries that were deleted
...
Random Runs removed from HKLM
...
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
C:\WINDOWS\SYSTEM32\DUMPHIVE.EXE
»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
Other suspects.
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
...
Postrun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""
...
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 5. tammikuuta 2007 @ 03:18
|
AfterDawn Addict
|
5. tammikuuta 2007 @ 06:57 |
Linkki tähän viestiin
|
|
Nyt näyttää hyvältä :) Vielä ongelmia?
Ei HjT-lokeja tms. yksityisviestillä!
|
|
anttih_
Junior Member
|
5. tammikuuta 2007 @ 07:10 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti -kemisti-:
Nyt näyttää hyvältä :) Vielä ongelmia?
Ei tuossa ainakaan aamulla ilmennyt enää juurikaan mitään ongelmia, ilmeisesti olen sitten osannut teidän asiantuntevien ohjeiden avulla puhdistaa koneen pöpöistä. Suuret kiitokset vain avusta, onneksi tajusin tulla asiaa täältä kysymään.
Asiaan vielä liittyen, minulla oli aikanaan sama ongelma tällä koneella. Sittemmin se ilmeisesti häipyi, kun tuota "Spyware Infection" -taustaa ei ole näkynyt ja taustakuvaakin pystyy vaihtelemaan normaalisti. Ei ilmeisesti tarvitse käydä tätä prosessia sitten lävitse, vai mitä luulette?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 5. tammikuuta 2007 @ 07:12
|
AfterDawn Addict
|
5. tammikuuta 2007 @ 07:18 |
Linkki tähän viestiin
|
|
Mukava kuulla :)
Tuon voi vielä fixata pois:
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
Ja putsaa järjestelmänpalautus:
1. Valitse Oma tietokone (klikkaa oikealla).
2. Valitse Ominaisuudet.
3. Valitse Järjestelmän palauttaminen- välilehti.
4. Valitse "Poista järjestelmän palauttaminen käytöstä".
5. Paina Käytä.
6. Paina OK.
7. Käynnistä kone uudelleen
8. Tee kohdat 1.-3.
9. Ota rasti pois kohdasta "Poista järjestelmän palauttaminen käytöstä"
10. Tee kohdat 5. ja 6.
Välttämättä ei tarvitse käydä, mutta kyseessä saattaa olla sama infektio kuin tämä (tai siis samat infektiot, mutta tulevat usein käsi kädessä).
Ei HjT-lokeja tms. yksityisviestillä!
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 5. tammikuuta 2007 @ 07:18
|
|
anttih_
Junior Member
|
5. tammikuuta 2007 @ 09:37 |
Linkki tähän viestiin
|
|
Kiitoksia, nyt on tuo yksi kohde fiksattu myös. Olikos tuo järjestelmänpalautus -toimenpide suunnattu tuohon tämän koneen ongelmaan, vai ymmärsinkö oikein?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 5. tammikuuta 2007 @ 09:37
|
AfterDawn Addict
|
5. tammikuuta 2007 @ 13:44 |
Linkki tähän viestiin
|
|
Siihen koneeseen, minkä lokeja tarkisteltiin :)
Ei HjT-lokeja tms. yksityisviestillä!
|
|
anttih_
Junior Member
|
5. tammikuuta 2007 @ 14:12 |
Linkki tähän viestiin
|
|
Juuri niin, sen teinkin tuossa päivällä. Nyt kone toimii moitteetta, joten kiitos vielä kerran teille avusta!
|
|
fixeri
Member
|
5. tammikuuta 2007 @ 16:06 |
Linkki tähän viestiin
|
|
hyvä että pelittää taas..=)
|
|
fixeri
Member
|
5. tammikuuta 2007 @ 16:06 |
Linkki tähän viestiin
|
|
hyvä että pelittää taas..=)
|
|
Mainos
|
|
|
|
fixeri
Member
|
5. tammikuuta 2007 @ 16:06 |
Linkki tähän viestiin
|
|
hyvä että pelittää taas..=)
|
