|
|
|
Keskustelualueet
Keskustelualueet
|
|
|
Norton löytää kokoajan nnnopmm.dll:stä Trojan Vundon
|
|
Senior Member
1 tuotearvio
|
25. toukokuuta 2007 @ 17:57 |
Linkki tähän viestiin
|
Norton tekee n. sekunnin välein tällaisia löydöksiä:
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Trojan.Vundo
File: C:\WINDOWS\system32\nnnopmm.dll
Location: C:\WINDOWS\system32
Computer: BASUN-KONE
User: SYSTEM
Action taken: Clean failed : Quarantine failed : Access denied
Date found: Fri May 25 21:45:15 2007
Alla on HjT loki, toivottavasti joku osaa auttaa (trojan.vundon kanssa)
Logfile of HijackThis v1.99.1
Scan saved at 21:49:36, on 25.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1160678426334
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
|
|
Auttaja
Suspended permanently
|
25. toukokuuta 2007 @ 19:50 |
Linkki tähän viestiin
|
Uudelleennimeä HijackThis.exe -> scanner.exe:ksi näin:
1. Klikkaa hiiren oikealla painikkeella HijackThis ikonia.
2. Valitse Uudelleennineä/ Rename.
3. Kirjoita scanner.exe
Vaihtamalla HJT:n nimeä saamme varmuuden, onko koneellasi Vundo-infektiota.
==========
Lataa VundoFix.exe työpöydällesi.
*Tupla-klikkaa VundoFix.exe ajaaksesi sen.
*Klikkaa Scan for Vundo valintaa.
*Kun skannaus on valmis, klikkaa Remove Vundo valintaa.
*Sinulta kysytään haluatko poistaa filut - klikkaa YES.
*Kun olet klikannut yes, työpöytäsi tyhjenee kun se alkaa poistamaan Vundoa.
*Kun se on valmis, fiksi ilmoittaa käynnistäväsi koneesi uudelleen, klikkaa OK.
Huomaa: Se on mahdollista että VundoFix löysi tiedoston jota se ei pystynyt poistamaan.
Tässä tilanteessa, VundoFix ajaa itsensä rebootissa, seuraa vain yläpuolelle olevia ohjeita alkaen kohdasta "Klikkaa Scan for Vundo valintaa." kun VundoFix ilmaantuu uudelleenkäynnistyksen yhteydessä.
==========
Laita uusi HijackThis logi sekä tämän tiedoston sisältö C:\vundofix.txt
|
Senior Member
1 tuotearvio
|
26. toukokuuta 2007 @ 17:21 |
Linkki tähän viestiin
|
Tuntuu siltä että tuo VundoFix ohjelma teki tehtävänsä, mitään ilmoituksia ei ole tähän mennessä tullut Nortonilta (vielä), mutta tässä vielä kummatkin lokit:
HjT Loki (nimi muutettu scanner.exe:ksi):
Logfile of HijackThis v1.99.1
Scan saved at 21:02:57, on 26.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\NavNT\VPC32.EXE
C:\HijackThis\scanner.exe
C:\Program Files\Mozilla Firefox\firefox.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\xvpxcuwv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {D16C9EA6-6136-4756-BB0A-3E7B973929Ca} - C:\WINDOWS\system32\emhnvwcy.dll (file missing)
O2 - BHO: (no name) - {E66D179C-CC00-492B-883D-DCA4EAE367AC} - C:\WINDOWS\system32\ddaxv.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1160678426334
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
VundoFix loki:
VundoFix V6.4.1
Checking Java version...
Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.
Scan started at 18:46:52 26.5.2007
Listing files found while scanning....
C:\WINDOWS\system32\cmehcgrv.dll
C:\WINDOWS\system32\ddaxv.dll
C:\WINDOWS\system32\nnnopmm.dll
C:\WINDOWS\system32\vxadd.bak1
C:\WINDOWS\system32\vxadd.bak2
C:\WINDOWS\system32\vxadd.ini
Beginning removal...
Attempting to delete C:\WINDOWS\system32\ddaxv.dll
C:\WINDOWS\system32\ddaxv.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\nnnopmm.dll
C:\WINDOWS\system32\nnnopmm.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\vxadd.bak1
C:\WINDOWS\system32\vxadd.bak1 Has been deleted!
Attempting to delete C:\WINDOWS\system32\vxadd.bak2
C:\WINDOWS\system32\vxadd.bak2 Has been deleted!
Attempting to delete C:\WINDOWS\system32\vxadd.ini
C:\WINDOWS\system32\vxadd.ini Has been deleted!
Performing Repairs to the registry.
Done!
Mutta VundoFix havaitsi jonkun virheen jota en huomannut kunnolla lukea mutta jotain erroria se siinä herjasi. Enkä saanut sitä talteen poiston aikana.
C:\WINDOWS\system32\cmehcgrv.dll puuttuu tuosta delete listasta, mutta sellaista tiedostoa ei enää löydy.
Pitäiskö tehdä vielä jotain jälkisiivouksia?
Kiitti avusta!
|
|
Auttaja
Suspended permanently
|
26. toukokuuta 2007 @ 17:26 |
Linkki tähän viestiin
|
tehää tää seuraavaks
[*]Tupla-klikkaa VundoFix.exe ajaaksesi sen.
[*]Kun Vundofix uudelleenaukeaa, klikkaa Scan for Vundo valintaa.
[*]Kun skannaus on valmis, oikea-klikkaa kyseisen listaboksin sisällä (valkoinen laatikko jossa on löydetyt tiedostot listattu) ja valitse Add more files
[*]Kopioi ja liitä seuraavat 2 riviä kahteen ylimmäiseen boksiin
[*]C:\WINDOWS\system32\xvpxcuwv.dll
[*]C:\WINDOWS\system32\vwucxpvx.
[*]Klikkaa Add Files ja sitten klikkaa Close Window.
[*]Klikkaa Remove Vundo valintaa.
[*]Saat viestin jossa kysytään haluatko poistaa valitut tiedostot, klikkaa YES.
[*]Kun klikkaat yes, työpöytäsi tyhjenee kun työkalu alkaa poistamaan Vundoa.
[*]Kun valmis, saat viestin jossa pyydetään sammuttamaan tietokone, klikkaa OK.
[*]Käynnistä koneesi uudelleen.
[*]Postita C:\vundofix.txt lokin sisältö tuoreen HijackThis lokin kera.
|
Senior Member
1 tuotearvio
|
26. toukokuuta 2007 @ 17:51 |
Linkki tähän viestiin
|
|
Norton ilmoitti taas asiasta tälläisellä infolla:
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Trojan.Vundo
File: C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP148\A0021795.dll
Location: Quarantine
Computer: BASUN-KONE
User: SYSTEM
Action taken: Clean failed : Quarantine succeeded : Access denied
Date found: Sat May 26 21:37:53 2007
Lisään ne lokit heti kun VundoFix on scannanut loppuun
|
|
Auttaja
Suspended permanently
|
26. toukokuuta 2007 @ 17:53 |
Linkki tähän viestiin
|
|
Jeep, toi on system restoressa, putsataan se vasta lopuks..
|
Senior Member
1 tuotearvio
|
26. toukokuuta 2007 @ 21:19 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Qimmo:
Norton ilmoitti taas asiasta tälläisellä infolla:
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Trojan.Vundo
File: C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP148\A0021795.dll
Location: Quarantine
Computer: BASUN-KONE
User: SYSTEM
Action taken: Clean failed : Quarantine succeeded : Access denied
Date found: Sat May 26 21:37:53 2007
Lisään ne lokit heti kun VundoFix on scannanut loppuun
---
VundoFix ilmoitti, että "No infected files were found."
Lisäsin maitsemasi filet, ja tein poiston (puuttuiko jälkimmäisestä nimestä laajennus?)
VundoFix V6.4.1
Checking Java version...
Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.
Scan started at 21:51:48 26.5.2007
Listing files found while scanning....
No infected files were found.
Beginning removal...
Attempting to delete C:\WINDOWS\system32\xvpxcuwv.dll
C:\WINDOWS\system32\xvpxcuwv.dll Has been deleted!
Performing Repairs to the registry.
Done!
Sen jälkeen HjT näyttää tältä:
Logfile of HijackThis v1.99.1
Scan saved at 1:09:30, on 27.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HijackThis\scanner.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\xvpxcuwv.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {D16C9EA6-6136-4756-BB0A-3E7B973929Ca} - C:\WINDOWS\system32\emhnvwcy.dll (file missing)
O2 - BHO: (no name) - {E66D179C-CC00-492B-883D-DCA4EAE367AC} - C:\WINDOWS\system32\ddaxv.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1160678426334
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Vieläkö pitäisi tehdä jotain?
|
|
Auttaja
Suspended permanently
|
27. toukokuuta 2007 @ 05:32 |
Linkki tähän viestiin
|
Tallena nämä ohjeet teksitiedostoon sillä et voi lukea niitä muuten vikasietotilassa.
==========
Avaa HijackThis merkkaa seuraavat rivi(t) ja paina fix checked, sulje muut ohjelmat siksi aikaa.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\xvpxcuwv.dll (file missing)
Analyzerdetails
O2 - BHO: (no name) - {D16C9EA6-6136-4756-BB0A-3E7B973929Ca} - C:\WINDOWS\system32\emhnvwcy.dll (file missing)
O2 - BHO: (no name) - {E66D179C-CC00-492B-883D-DCA4EAE367AC} - C:\WINDOWS\system32\ddaxv.dll (file missing)
Tässä ohje miten merkataan:
==========
1. Lataa AVG Anti-Spyware 7.5 ja tallenna ohjelma työpöydällesi. Jos sinulla on jo kyseinen ohjelma siirry suoraan kohtaan 2!
[*]Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa.
[*]Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää.
2. [*]Käynnistä AVG Anti-Spyware.
[*]Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta.
[*]Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa.
[*]Paina hetken kuluttua uudestaan "Start Update" , jos päivitykset eivät heti onnistu
[*]Jos automaattipäivitys ei jostain syystä toimi, niin tunnisteet voi ladata manuaalisesti http://www.ewido.net/en/download/updates/ -linkin takaa.
[*]Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti.
[*]Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine".
[*]Sitten "Reports" valikon alta:a
[*]Laita täppi kohtaan "Automatically generate report after every scan"
[*]Ota täppi pois kohdasta"Only if threats were found"
[*]Sitten klikkaa "Shield" kuvaketta ikkunan ylälaidassa
[*]"Resident shield is", muuta tila active:sta inactive:ksi
[*]Sulje ohjelma, ÄLÄ skannaa vielä.
Käynnistä tietokoneesi vikasietotilaan
HUOM! Älä käytä muita ohjelmia AVG skannauksen aikana, tämä saattaa häiritä skannausta.
[*]Kun vikasietotilassa, käynnistä AVG Anti-Spyware.
[*]Klikkaa "Scanner" kuvaketta ikkunan ylälaidassa ja valitse "Scan" välilehti. Sitten klikkaa "Complete System Scan".
[*]AVG aloittaa nyt tietokoneen skannaamisen, ole kärsivällinen sillä skannaus vie aikaa.
Kun skannaus on valmis:
TÄRKEÄÄ : Älä klikkaa "Save Scan Report" ennen kuin klikkaat "Apply all Actions"
[*]Varmistu, että Set all elements to: näyttää Quarantine (1), jos ei, klikkaa linkkiä ja valitse Quarantine popup-valikosta.
[*]Sinulta kysytään mitä tehdä jos infektioita löytyi, valitse silloin "Apply all actions"
[*]Sitten klikkaa "Reports" kuvaketta ohjelma yläosasta.
[*]Klikkaa "Save report as" painiketta ikkunan vasemmassa alalaidassa ja tallenna raportti työpöydälle.
[*]Sulje ohjelma, käynnistä kone normaalisti ja lähetä AVG:n raportti viestiketjuusi.
==========
Tämä jos tunnet tietokoneesi olevan hitaan puoleinen, etkä ole eheyttänyt pitkään aikaan:
Avaa Oma tietokone
-> Tee seuraava toimenpide kaikille Paikallisille levyille
==========
Lataa CCleaner ja asenna se:
Avaa "Options", sieltä "Language" ja valitse "Suomi (Finnish)"
Avaa "Virheet" kohta, paina "Etsi rekisterin virheitä", paina "Korjaa valitut rekisterin virheet..". Paina "Kyllä", kun ohjelma kysyy "Haluatko varmuuskopioida muutokset rekisteriin", tallenna tiedosto esim. työpöydälle.
Avaa "Puhdistaja", paina "Tutki" ja tämän jälkeen "Aja Ccleaner". Puhdista väliaikaistiedostot ja -kansiot ohjelmalla säännöllisesti.
==========
Jos sinulla ei ole tätä java versiota (6.1):
Vanha java saastuttaa helposti koneesi!
Javan päivitys ja välimuistin tyhjennys:
1. Klikkaa Käynnistä -> Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.
2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
Niissä pitäisi olla seuraava kuva vieressä: 
3. Valitse kaikki entiset Java versiosi ja valitse Poista.
4. Asenna uusin Java päivitys seuraavasta linkistä..
5. Käynnistä kone uudelleen asennuksen jälkeen:
http://java.sun.com/javase/downloads/index.jsp
Rullaa alas kohteeseen Java Runtime Environment (JRE) 6u1
Paina Download
Ruksaa Accept, ota offline installation, tallenna vaikka työpöydälle ja asenna se.
6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).
7. General Settings -osion alla, vedä liukusäädintä (Disk Space) pienemmälle, ja klikkaa Delete Files -nappia.
(Jotkut javapohjaiset ohjelmat saattavat tarvita enemmän levytilaa.
Jos huomaat säädön pienentämisen jälkeen koneessa hitautta, siirrä liukusäädintä isommalle).
8. Varmista että kaikki kaksi valintaa ovat rastitettuja:
*Applications and Applets
*Trace and Log Files
Ja paina OK -nappia
9. Klikkaa OK "Temporary Files Settings" -ikkunassasi.
10. Klikkaa OK jättääksesi Java asetusikkunasi.
==========
Uusi HijackThis logi ja onko ongelmia?
|
Senior Member
1 tuotearvio
|
27. toukokuuta 2007 @ 14:16 |
Linkki tähän viestiin
|
En ole ehtinyt vielä eheyttämään levyä enkä asentamaan uutta Javaa (kaikki muu on tehty), mutta tässä on AVG Anti-Spywaren raportti:
---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------
+ Created at: 17:12:35 27.5.2007
+ Scan result:
C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP120\A0013585.exe -> Adware.BHO : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP146\A0021683.dll -> Adware.BHO : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP148\A0023846.dll -> Adware.Virtumonde : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP149\A0023892.dll -> Adware.Virtumonde : Cleaned with backup (quarantined).
C:\RECYCLER\S-1-5-21-1214440339-839522115-1060284298-1004\Dc1418.exe -> Downloader.Agent.bkp : Cleaned with backup (quarantined).
C:\Documents and Settings\Jarmo\Työpöytä\Kimmon Kansio\AutoPackage5-17-07.rar/Autofighter_Package_WO\Autofighter Cheat Package\Macros\mouserec.exe -> Downloader.Delf.aup : Cleaned with backup (quarantined).
C:\Documents and Settings\Jarmo\Työpöytä\Kimmon Kansio\Autofighter_Package_WO.rar/Autofighter_Package_WO\Autofighter Cheat Package\Macros\mouserec.exe -> Downloader.Delf.aup : Cleaned with backup (quarantined).
C:\Documents and Settings\Jarmo\Työpöytä\Kimmon Kansio\Autofighter_Package_WO\Autofighter Cheat Package\Macros\mouserec.exe -> Downloader.Delf.aup : Cleaned with backup (quarantined).
C:\RECYCLER\S-1-5-21-1214440339-839522115-1060284298-1004\Dc1419.exe -> Downloader.LoadAdv : Cleaned with backup (quarantined).
C:\Documents and Settings\Jarmo\Työpöytä\Kimmon Kansio\Autotalker\macrotool.exe -> Logger.KeyLogger.bp : Cleaned with backup (quarantined).
C:\Documents and Settings\Jarmo\Työpöytä\Kimmon Kansio\Macrotool\macrotool.exe -> Logger.KeyLogger.bp : Cleaned with backup (quarantined).
C:\Documents and Settings\Jarmo\Työpöytä\Kimmon Kansio\macrotool.zip/macrotool.exe -> Logger.KeyLogger.bp : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP120\A0013606.exe -> Logger.Perfloger.f : Cleaned with backup (quarantined).
C:\WINDOWS\system32\SCAR updaterr.exe -> Logger.Perfloger.f : Cleaned with backup (quarantined).
C:\Documents and Settings\Jarmo\Työpöytä\Kimmon Kansio\AutoPackage5-17-07.rar/Autofighter_Package_WO\Autofighter Cheat Package\AutoMiners\TKAutominer.exe/rs-hackhk.dll -> Not-A-Virus.Monitor.Win32.Perflogger.163 : Cleaned with backup (quarantined).
C:\Documents and Settings\Jarmo\Työpöytä\Kimmon Kansio\Autofighter_Package_WO.rar/Autofighter_Package_WO\Autofighter Cheat Package\AutoMiners\TKAutominer.exe/rs-hackhk.dll -> Not-A-Virus.Monitor.Win32.Perflogger.163 : Cleaned with backup (quarantined).
C:\Documents and Settings\Jarmo\Työpöytä\Kimmon Kansio\Autofighter_Package_WO\Autofighter Cheat Package\AutoMiners\TKAutominer.exe/rs-hackhk.dll -> Not-A-Virus.Monitor.Win32.Perflogger.163 : Cleaned with backup (quarantined).
C:\WINDOWS\system32\SCAR updater.exe -> Not-A-Virus.Monitor.Win32.Perflogger.ad : Cleaned with backup (quarantined).
:mozilla.192:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.281:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.67:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.93:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.69:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Adbrite : Cleaned.
:mozilla.70:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Adbrite : Cleaned.
:mozilla.71:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Adengage : Cleaned.
:mozilla.81:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.82:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.330:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Clickhype : Cleaned.
:mozilla.89:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Com : Cleaned.
:mozilla.159:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Gemius : Cleaned.
:mozilla.160:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Gemius : Cleaned.
:mozilla.168:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Imrworldwide : Cleaned.
:mozilla.169:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Imrworldwide : Cleaned.
:mozilla.423:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Information : Cleaned.
:mozilla.401:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Masterstats : Cleaned.
:mozilla.61:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned.
:mozilla.23:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Netflame : Cleaned.
:mozilla.24:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Netflame : Cleaned.
:mozilla.476:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Paypal : Cleaned.
:mozilla.75:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Pointroll : Cleaned.
:mozilla.76:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Pointroll : Cleaned.
:mozilla.77:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Pointroll : Cleaned.
:mozilla.78:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Pointroll : Cleaned.
:mozilla.62:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Reliablestats : Cleaned.
:mozilla.63:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Reliablestats : Cleaned.
:mozilla.64:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Reliablestats : Cleaned.
:mozilla.65:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Reliablestats : Cleaned.
:mozilla.66:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Reliablestats : Cleaned.
:mozilla.263:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Revenue : Cleaned.
:mozilla.264:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.
:mozilla.265:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.
:mozilla.266:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.
:mozilla.267:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.
:mozilla.274:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Specificclick : Cleaned.
:mozilla.275:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Specificclick : Cleaned.
:mozilla.276:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Specificclick : Cleaned.
:mozilla.277:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Specificclick : Cleaned.
:mozilla.278:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Specificclick : Cleaned.
:mozilla.74:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Specificclick : Cleaned.
:mozilla.17:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Statcounter : Cleaned.
:mozilla.26:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Statistik-gallup : Cleaned.
:mozilla.289:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Toplist : Cleaned.
:mozilla.387:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Tribalfusion : Cleaned.
:mozilla.39:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Tribalfusion : Cleaned.
:mozilla.406:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Webtrends : Cleaned.
:mozilla.42:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.43:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.44:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.45:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.46:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.47:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.
:mozilla.48:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.
:mozilla.49:C:\Documents and Settings\Jarmo\Application Data\Mozilla\Firefox\Profiles\xkw6nciv.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.
C:\Documents and Settings\Jarmo\Työpöytä\Kimmon Kansio\Muistitikulle\Microsoft - Office XP PRO - FIN\Windows.XP.Keygenerator.exe -> Trojan.Small.edz : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP129\A0014388.exe -> Trojan.Small.edz : Cleaned with backup (quarantined).
F:\Microsoft - Office XP PRO - FIN\Windows.XP.Keygenerator.exe -> Trojan.Small.edz : Cleaned with backup (quarantined).
::Report end
Lisään HjT lokin heti kun olen asentanut uudemman Javan
|
|
Auttaja
Suspended permanently
|
27. toukokuuta 2007 @ 14:17 |
Linkki tähän viestiin
|
Ok, ootko ite noita keyloggereita asennellu?
laita juu sitten se uus hjtlogi
=====
Lataa Dr.Web CureIt työpöydälle:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
[*]Tuplaklikkaa drweb-cureit.exe ja anna sen tehdä express scan
[*]Se skannaa käynnissä olevat ohjelmat ja jos jotain löytyy, klikkaa yes kun se kysyy haluatko poistaa sen. Tämä on vain lyhyt scan.
[*]Kun scan on valmis, merkkaa asemat, jotka haluat scannata.
[*]Valitse kaikki asemat. Punainen piste osoittaa, mitkä asemat on valittu.
[*]Klikaa vihreää nuolta oikealla ja scan alkaa.
[*]Klikkaa 'Yes to all', jos kysytään haluatko poistaa/siirtää tiedoston.
[*]Kun scan on valmis, katso voitko klikata next-kuvaketta löytyneiden tiedostojen vieressä: 
[*]Jos asia on niin, klikkaa sitä ja sitten klikkaa next-kuvaketta oikealla alhaalla ja valitse Move incurable kuten alla olevalla kuvassa:
Tämä siirtää sen %userprofile%\DoctorWeb\quarantine-hakemistoon.
[*]Tämän jälkeen klikkaa Dr.Web CureIt-valikossa file ja valitse save report list
[*]Tallenna raportti työpöydälle. Raportin nimi on DrWeb.csv
[*]Sulje Dr.Web Cureit.
[*]Käynnistä kone uudelleen !! Tämä siksi, että käytössä olevat tiedostot poistetaan/siirretään käynnistyksen yhteydessä.
[*]Käynnistyksen jälkeen liitä Dr.Web-lokin, jonka tallensit aiemmin, sisältö seuraavaan vastaukseesi.
|
Senior Member
1 tuotearvio
|
27. toukokuuta 2007 @ 14:20 |
Linkki tähän viestiin
|
En todellakaan ole noita keyloggereita itse asentanut tai ainakaan ollut tietoinen siitä. Lataan tuon ohjelman ja teen kaiken mikä ohjeissa käsketää. Kiitos neuvoista
EDIT: Norton ilmoitti taas löytäneensä Vundon
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Trojan.Vundo
File: C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP149\A0023867.dll
Location: Quarantine
Computer: BASUN-KONE
User: SYSTEM
Action taken: Clean failed : Quarantine succeeded : Access denied
Date found: Sun May 27 18:40:18 2007
EDIT2: Javaa en pysty lataamaan koska kun yritän ladata sitä tulee tälläinen ilmoitus:
Notice: We're Offline for System Upgrades
Our site is currently offline for maintenance. We ask that you please try again later. Be assured that we continue enhancing our system in order to provide you with the best possible service.
We appreciate your patronage and patience.
Mutta laitan HjT lokin heti kun Dr.Web CureIt! on saanut skannauksen päätökseen. Lisään myos Dr.Web CureIt! lokin.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 27. toukokuuta 2007 @ 15:44
|
|
Auttaja
Suspended permanently
|
27. toukokuuta 2007 @ 17:58 |
Linkki tähän viestiin
|
|
Jees, nyt kun kone on melko puhdas
voit tyhjentää tän
1. Klikkaa käynnistä > Oma tietokone oikean puoleisella hiiren napilla
2. Valitse ominaisuudet
3. Valitse järjestelmän palauttaminen välilehti
4. Ruksi eteen ¤ poista järjestelmän palauttaminen kaikissa asemissa
5. Paina Käytä
6. Paina ok
7. Sammuta ja käynnistä
8. Ota ruksi pois ¤ poista järjestelmän palauttaminen kaikissa asemissa
9. Käytä ja OK
|
Senior Member
1 tuotearvio
|
28. toukokuuta 2007 @ 11:15 |
Linkki tähän viestiin
|
Nonni, nyt on kaikki tehty mitä olet neuvonutkin paitsi eheytetty ja senkin teen illalla.
Tässä Dr.Web CureIt! loki:
process.exe C:\Documents and Settings\Jarmo\Työpöytä\VundoFix\VundoFix Tool.Prockill Incurable.Moved.
A0023891.dll C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP149 Trojan.Virtumod Deleted.
A0023931.dll C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP149 Trojan.Virtumod Deleted.
A0023971.exe C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP149 Trojan.DownLoader.22411 Deleted.
A0023972.exe C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP149 Trojan.DownLoader.2329 Deleted.
A0023974.exe C:\System Volume Information\_restore{D15168DE-BE7F-48BB-B92D-FB837AD8A377}\RP149 Trojan.Peflog.30 Deleted.
ddaxv.dll.bad C:\VundoFix Backups Trojan.Virtumod Deleted.
xvpxcuwv.dll.bad C:\VundoFix Backups Trojan.Virtumod Deleted.
Tässä HjT loki:
Logfile of HijackThis v1.99.1
Scan saved at 15:13:50, on 28.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\Fonts\services.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office10\EXCEL.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HijackThis\scanner.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [services.exe] C:\WINDOWS\Fonts\services.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1160678426334
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Tässä pitäisi olla nyt kaikki lokit.
|
|
Auttaja
Suspended permanently
|
28. toukokuuta 2007 @ 12:12 |
Linkki tähän viestiin
|
Jaahas tässä välissä käyny uuden haittaohjelman hankkimassa..
ensi silmäykseltä botilta näyttää
Lataa SDFix by AndyManchesta http://downloads.andymanchesta.com/RemovalTools/SDFix.zip ja tallenna se työpöydällesi.
Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi:
* Käynnistä tietokone
* Kun kuulet koneen piippaavan, paina F8, kuitenkin ennen Windowsin logon esiintuloa
* Seuraavaksi pitäisi ilmestyä valikko
* Valitse valikosta vikasietotila.
* Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix.exe) työpöydälle. Tuplakilikkaa työpöydälle ilmestynyttä sdfix.exe tiedostoa. Tiedosto purkaantuu ja asentaa itsensä siihen levyasemaan, minne on käyttöjärjestelmä on asennettu ja juureen ilmestyy kansio SDFix, ESIM C:\SDFix
* Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
* Paina Y käynnistääksesi skriptin.
* Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
* Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
* Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
* Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
* Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
* Lopuksi avaa SDFix kansio ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi
uuden HijackThis lokin kera.
|
Senior Member
1 tuotearvio
|
28. toukokuuta 2007 @ 12:29 |
Linkki tähän viestiin
|
|
Jaahas. Latasin tuon SDfixin mutta se tuli Exenä ei Zippinä haittaako?
EDIT: Ei se kai haittaa, joten ajan sen nyt.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. toukokuuta 2007 @ 12:31
|
|
Auttaja
Suspended permanently
|
28. toukokuuta 2007 @ 12:53 |
Linkki tähän viestiin
|
|
Ei haittaa, kiitos vinkistä.
|
Senior Member
1 tuotearvio
|
28. toukokuuta 2007 @ 13:08 |
Linkki tähän viestiin
|
Tossa on SDFix loki:
SDFix: Version 1.85
Run by Jarmo - ma 28.05.2007 - 16:43:57,01
Microsoft Windows XP [versio 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service
Rebooting...
Normal Mode:
Checking Files:
No Trojan Files Found
Removing Temp Files...
ADS Check:
Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.
Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
Remaining Files:
---------------
Checking For Files with Hidden Attributes:
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\45c520d42810df1529ad8cbf847ab049\BIT2.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5a0d771158cfd69be5ddd26d8f58c73b\BIT1.tmp
Finished
Ja tässä HjT loki:
Logfile of HijackThis v1.99.1
Scan saved at 17:09:12, on 28.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\Fonts\services.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HijackThis\scanner.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [services.exe] C:\WINDOWS\Fonts\services.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1160678426334
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
EDIT: Pitäisiköhän minun ajaa tuo catchme.exe koska SDFix sanoi jotain sellaista? Ja jos tarkoitat että tuo services.exe on se haittaohjelma niin itsekin ihmettelin mikä se on, löytyy myös EasyCleanerin käynnistys valikosta ajattelin että poistan sen sieltä mutta en sitten poistanutkaan koska luulin sitä joksikin tärkeäksi.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. toukokuuta 2007 @ 13:13
|
|
Auttaja
Suspended permanently
|
28. toukokuuta 2007 @ 13:15 |
Linkki tähän viestiin
|
merkkaa tää rivi
O4 - HKLM\..\Run: [services.exe] C:\WINDOWS\Fonts\services.exe
ja paina fix checked
====
Lataa Killbox Option^Explicitiltä.
Huomaa: Jos sinulla on jo Killbox, tämä on uusi versio joka sinun tulee asentaa. Poista aikaisempi.
[*]Tallenna työpöydällesi.
[*] Tupla-klikkaa Killbox.exe ajaaksesi ohjelman.
[*] Valitse: [*]Delete on Reboot[*] sitten klikkaa All Files valintaa.
[*]Kopioi ja liitä alapuolella olevat tiedostopolut leikepöydälle mustaamalla KAIKKI ne ja painamalla CTRL + C (tai, mustaamisen jälkeen, oikea klikki hiirellä ja valitse kopioi):
C:\WINDOWS\Fonts\services.exe
[*] Palaa Killboxiin, mene File valikkoon, ja valitse Paste from Clipboard.
[*]Klikkaa puna-valkoista Delete File valintaa. Klikkaa Yes "Delete on Reboot" pyyntöön. Klikkaa OK mihin vain PendingFileRenameOperations pyyntöön (ja anna fixaajan tietää jos jokin tälläinen tulee!).
Käynnistä koneesi itse jos se ei sitä automaattisesti tee
Jos saat tälläisen viestin: "Component 'MsComCtl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid." Kun yrität ajaa KillBoxia, klikkaa tätä ladataksesi ja ajaaksesi Missingfilessetup.exe;n. Sitten koita KillBoxia uudestaan.
======
1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. (C:\ComboFix.txt) Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
|
Senior Member
1 tuotearvio
|
28. toukokuuta 2007 @ 16:03 |
Linkki tähän viestiin
|
Nonii. Kaikki on tehty.
Tässä ComboFix loki:
"Jarmo" - 2007-05-28 19:51:03 Service Pack 2
ComboFix 07-05.27.V - Running from: "C:\Documents and Settings\Jarmo\Ty?p?yt?\"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
"C:\DOCUME~1\Jarmo\TYPYT~1\internet.lnk"
((((((((((((((((((((((((((((((( Files Created from 2007-04-28 to 2007-05-28 ))))))))))))))))))))))))))))))))))
2007-05-28 19:43 <KANSIO> d-------- C:\!KillBox
2007-05-27 19:25 <KANSIO> d-------- C:\Documents and Settings\Jarmo\DoctorWeb
2007-05-27 19:25 <KANSIO> d-------- C:\DOCUME~1\Jarmo\DoctorWeb
2007-05-27 17:54 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2007-05-27 17:54 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-05-27 17:36 <KANSIO> d-------- C:\Program Files\CCleaner
2007-05-27 09:56 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-05-26 18:46 <KANSIO> d-------- C:\VundoFix Backups
2007-05-25 21:02 786,432 --ah----- C:\DOCUME~1\JRJEST~1\NTUSER.DAT
2007-05-25 21:02 <KANSIO> dr------- C:\DOCUME~1\JRJEST~1\K?ynnist?-valikko
2007-05-25 21:02 <KANSIO> d--h----- C:\DOCUME~1\JRJEST~1\Verkkoymp?rist?
2007-05-25 21:02 <KANSIO> d--h----- C:\DOCUME~1\JRJEST~1\Tulostinymp?rist?
2007-05-25 21:02 <KANSIO> d--h----- C:\DOCUME~1\JRJEST~1\Mallit
2007-05-25 21:02 <KANSIO> d-------- C:\DOCUME~1\JRJEST~1\Ty?p?yt?
2007-05-25 21:02 <KANSIO> d-------- C:\DOCUME~1\JRJEST~1\Suosikit
2007-05-25 17:13 <KANSIO> d-------- C:\Program Files\AVI2DVDVCD
2007-05-11 19:19 <KANSIO> d-------- C:\Program Files\MSN Messenger
2007-05-09 15:47 <KANSIO> d-------- C:\Program Files\Pivot Stickfigure Animator
2007-05-08 21:05 <KANSIO> d-------- C:\DOCUME~1\Jarmo\APPLIC~1\Jasc
2007-05-08 21:03 <KANSIO> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\InstallShield
2007-05-08 21:01 <KANSIO> d-------- C:\Program Files\Common Files\Jasc Software Inc
2007-05-08 21:01 <KANSIO> d-------- C:\DOCUME~1\Jarmo\APPLIC~1\Jasc Software Inc
2007-05-08 21:00 <KANSIO> d-------- C:\Program Files\Jasc Software Inc
2007-05-08 17:34 57,344 --a------ C:\WINDOWS\system32\WNASPINT.DLL
2007-05-08 17:34 32,768 --a------ C:\WINDOWS\system32\FrogASPI.DLL
2007-05-07 18:23 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-05-07 18:22 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-05-07 18:22 <KANSIO> d-------- C:\Program Files\Xvid
2007-05-06 11:26 <KANSIO> d-------- C:\Program Files\ASCII Art Generator
2007-04-30 19:12 <KANSIO> d-------- C:\Program Files\DVDlabPro2
2007-04-30 07:49 <KANSIO> d-------- C:\Program Files\LucasArts
2007-04-30 07:36 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-04-30 07:36 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-04-30 07:36 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-04-30 07:35 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-04-28 20:50 <KANSIO> d-------- C:\Temp
2007-04-28 20:12 <KANSIO> d-------- C:\Program Files\MSXML 4.0
2007-04-28 12:26 <KANSIO> d-------- C:\Program Files\Common Files\Ahead
2007-04-28 12:26 <KANSIO> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Nero
2007-04-28 11:36 <KANSIO> d-------- C:\DOCUME~1\Jarmo\APPLIC~1\Ahead
2007-04-28 11:32 <KANSIO> d-------- C:\Program Files\Nero
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-05-28 16:45:12 384 ----a-w C:\WINDOWS\system32\DVCStateBkp-{00000000-00000000-0000000B-00001102-00000004-20021102}.dat
2007-05-28 16:45:12 384 ----a-w C:\WINDOWS\system32\DVCState-{00000000-00000000-0000000B-00001102-00000004-20021102}.dat
2007-05-27 14:53:51 -------- d-----w C:\Program Files\ImTOO
2007-05-25 17:27:55 -------- d-----w C:\DOCUME~1\Jarmo\APPLIC~1\uTorrent
2007-05-08 18:01:54 -------- d-----w C:\Program Files\Common Files\InstallShield
2007-04-30 05:02:08 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-04-29 12:15:43 -------- d-----w C:\Program Files\QSwitchAlpha
2007-04-29 11:50:29 72,046 ----a-w C:\WINDOWS\system32\perfc00B.dat
2007-04-29 11:50:29 369,728 ----a-w C:\WINDOWS\system32\perfh00B.dat
2007-04-26 04:48:10 -------- d-----w C:\Program Files\Microsoft ActiveSync
2007-04-26 04:45:52 -------- d-----w C:\Program Files\Microsoft.NET
2007-04-26 04:39:21 -------- d-----w C:\Program Files\PowerISO
2007-04-26 04:24:16 -------- d-----w C:\Program Files\D-Tools
2007-04-24 18:07:08 -------- d-----w C:\DOCUME~1\Jarmo\APPLIC~1\DivX
2007-04-24 18:03:36 -------- d-----w C:\Program Files\DivX
2007-04-21 07:26:17 -------- d-----w C:\Program Files\uTorrent
2007-04-20 18:53:38 -------- d-----w C:\Program Files\ToniArts
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-15 12:41:14 -------- d-----w C:\Program Files\microsoft frontpage
2007-04-13 15:04:49 -------- d-----w C:\Program Files\NavNT
2007-04-13 15:04:15 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
2007-04-13 14:47:21 -------- d-----w C:\Program Files\Symantec
2007-04-13 14:46:44 -------- d-----w C:\Program Files\Common Files\Symantec Shared
2007-04-13 11:07:04 -------- d-----w C:\Program Files\CDBurnerXP Pro 3
2007-04-13 05:05:46 -------- d-----w C:\Program Files\ffdshow
2007-04-12 17:05:51 -------- d-----w C:\Program Files\Comodo
2007-04-12 15:41:01 -------- d-----w C:\Program Files\QuickTime
2007-04-12 15:39:16 -------- d-----w C:\Program Files\Gabest
2007-04-12 15:38:44 -------- d-----w C:\DOCUME~1\Jarmo\APPLIC~1\URUSoft
2007-04-12 15:38:42 -------- d-----w C:\Program Files\URUSoft
2007-04-10 20:28:02 -------- d-----w C:\DOCUME~1\Jarmo\APPLIC~1\ClientManager2
2007-03-17 13:44:51 292,864 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-14 09:40:04 972,336 ----a-w C:\WINDOWS\UNRecode.exe
2007-03-14 09:35:10 95,864 ----a-w C:\WINDOWS\system32\NeroCo.dll
2007-03-14 09:34:56 972,336 ----a-w C:\WINDOWS\UNNeroBackItUp.exe
2007-03-12 10:51:08 972,336 ----a-w C:\WINDOWS\UNNeroMediaHome.exe
2007-03-08 22:02:00 75,512 ----a-w C:\WINDOWS\zllsputility.exe
2007-03-08 22:01:42 1,087,216 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-03-08 15:38:00 578,048 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:37:59 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:37:59 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:34:26 1,843,840 ----a-w C:\WINDOWS\system32\win32k.sys
2007-02-28 17:53:50 972,336 ----a-w C:\WINDOWS\UNNeroVision.exe
2007-02-28 12:41:02 972,336 ----a-w C:\WINDOWS\UNNeroShowTime.exe
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 21:38]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 11:43]
"CTDVDDET"="C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 02:00]
"CTHelper"="CTHELPER.EXE" [2003-10-06 09:57 C:\WINDOWS\system32\CTHELPER.EXE]
"SBDrvDet"="C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 19:06]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00]
"vptray"="C:\Program Files\NavNT\vptray.exe" [2001-12-05 11:53]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2004-08-22 17:05]
"PWRISOVM.EXE"="C:\Program Files\PowerISO\PWRISOVM.EXE" [2006-11-06 11:27]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-09 18:53]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2006-10-07 15:20]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 13:49]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-09-15 02:12]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2006-09-28 17:13]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Käynnistä-valikko^Ohjelmat^Käynnistys^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Käynnistä-valikko\Ohjelmat\Käynnistys\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da984b30-6cde-11db-8bf5-975b509c59e8}]
*Newly Created Service* -PROCEXP90
~ ~ ~ ~ ~ ~ ~ ~ HijackThis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
backup-20070528-194208-563
O4 - HKLM\..\Run: [services.exe] C:\WINDOWS\Fonts\services.exe
backup-20070527-095422-273
O2 - BHO: (no name) - {E66D179C-CC00-492B-883D-DCA4EAE367AC} - C:\WINDOWS\system32\ddaxv.dll (file missing)
backup-20070527-095422-799
O2 - BHO: (no name) - {D16C9EA6-6136-4756-BB0A-3E7B973929Ca} - C:\WINDOWS\system32\emhnvwcy.dll (file missing)
backup-20070527-095422-551
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\xvpxcuwv.dll (file missing)
backup-20070527-095422-260
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fi/
Contents of the 'Scheduled Tasks' folder
2007-05-28 16:55:00 C:\WINDOWS\tasks\User_Feed_Synchronization-{0F875E2A-8662-4715-AC4A-6ED55B7CF766}.job
********************************************************************
catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-28 19:57:46
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
cmd.exe [7256]
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
********************************************************************
Completion time: 2007-05-28 19:59:35
C:\ComboFix-quarantined-files.txt ... 2007-05-28 19:59
--- E O F ---
Ilmoita jos tarttet vielä HjT lokia.
|
|
Auttaja
Suspended permanently
|
28. toukokuuta 2007 @ 16:16 |
Linkki tähän viestiin
|
Koneellasi oli niin paljon infektioita että suosittelisin viellä tätä,
laita tämän logi ja uusi hijackthislogi niin saadaan varmuus että olet puhdas :)
Tarkista koneesi F-Securen online skannerilla
Huom, skanneri toimii vain Internet Explorer selaimella
* Lue sivun ohjeet huolella läpi
* Klikkaa Start scanning
* Mikäli saat Internet Explorer -suojausvaroituksen, klikkaa Asenna
* Klikkaa Accept
* Klikkaa Custom Scan
* Säädä asetukset seuraavasti
o "Virus Scan Option" kohdasta valitse Scan whole system
o "Other Scan Option" kohdasta valitse Scan All Files
o Valitse Scan whole system for rootkits
o Valitse Scan whole system for spyware
o Laita ruksi kohtaan Scan inside archives
o Varmista että Use advanced heuristics on valittuna
* Klikkaa Start
* Skannaus käynnistyy kun tarvittavat tiedostot/päivitykset on ladattu
* Odota kärsivällisesti
* Kun sakannaus on suoritettu, klikkaa Automatic cleaning
* Klikkaa Show Report
* Raportti aukeaa selaimessa, kopioi teksti kokonaan
* Liitä kopioitu teksti esim. muistioon tai Wordiin ja tallenna työpöydälle
* Voit sulkea skannerin
* Lähetä raportti viestiketjuusi
|
Senior Member
1 tuotearvio
|
28. toukokuuta 2007 @ 16:19 |
Linkki tähän viestiin
|
Ok. Teen sen ja lisään HjT lokin heti kun F-Secure on skannanut. Onko Nortonissa jokin vika kun se löytää viruksia sun muita ohjelmia niin harvoin?
|
|
Auttaja
Suspended permanently
|
28. toukokuuta 2007 @ 18:43 |
Linkki tähän viestiin
|
|
Niihän se on että ei mikään virustorjunta 100% suojaa anna, se on se kaikki muu, korkeintaan mitä ne antaa on turhan varmuuden tunteen :)
|
Senior Member
1 tuotearvio
|
29. toukokuuta 2007 @ 03:07 |
Linkki tähän viestiin
|
Jaahas. Mutta tässä F-Securen raportti:
Scanning Report
Monday, May 28, 2007 20:40:11 - 06:58:22
Computer name: BASUN-KONE
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ F:\
--------------------------------------------------------------------------------
Result: 6 malware found
Backdoor.Win32.Hupigon.dtj (virus)
C:\Documents and Settings\Jarmo\Ty�p�yt�\Kimmon Kansio\WinRAR v3.61 (Registered)\wrar361.exe (Renamed & Submitted)
C:\Documents and Settings\Jarmo\Ty�p�yt�\Kimmon Kansio\WinRAR v3.61 (Registered)\WinRAR v3.61 (Registered)\wrar361.exe (Renamed & Submitted)
C:\Documents and Settings\Jarmo\Ty�p�yt�\Kimmon Kansio\Muistitikulle\Sekalaisia\wrar361.exe (Renamed & Submitted)
Tracking Cookie (spyware)
System (Disinfected)
Trojan-Spy.Win32.VBStat.h (virus)
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0A340000.VBN (Renamed & Submitted)
Trojan.Win32.BHO.g (virus)
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\05700001.VBN (Renamed & Submitted)
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 110623
System: 4221
Not scanned: 234
Actions:
Disinfected: 1
Renamed: 5
Deleted: 0
None: 0
Submitted: 5
Files not scanned:
� W�
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure AVP: 7.0.171, 2007-05-28
F-Secure Blacklight: 1.0.53
F-Secure Draco: 1.0.35, 0260-23-12
F-Secure Libra: 2.4.2, 2007-05-26
F-Secure Orion: 1.2.37, 2007-05-28
F-Secure Pegasus: 1.19.0, 2007-04-22
Scanning options:
Scan all files
Scan inside archives
Use Advanced heuristics
--------------------------------------------------------------------------------
Copyright © 1998-2006 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties
that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise,
by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI
E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages
or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links.
While doing this, your access will be logged to our private access statistics with your domain name.
This information will not be given to any third party. You agree not to take action against us in relation
to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant
that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without
liability.
Ja tässä HjT loki:
Logfile of HijackThis v1.99.1
Scan saved at 7:04:45, on 29.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Jarmo\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOCUME~1\Jarmo\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\taskmgr.exe
C:\HijackThis\scanner.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1160678426334
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Löytyipäs sitä sälää vielä.
|
|
Auttaja
Suspended permanently
|
29. toukokuuta 2007 @ 04:25 |
Linkki tähän viestiin
|
Pysy puhtaana
-> Tyhjennä järjestelmänpalautus Ohjeet
Tyhjennä järjestelmänpalautuskansio ja luo uusi palautuspiste. Tämä puhdistaa palautuskansion mahdollisista haittaohjelmajäännöksistä.
-> Käytä CCleaneria -> CCleaner
Lataa ja asenna CCleaner. Puhdista väliaikaistiedostot ja -kansiot ohjelmalla säännöllisesti.
-> Asenna SpywareBlaster -> SpywareBlaster
SpywareBlaster estää haittaohjelmia asentumasta koneellesi. Ei kuluta muistia!
Opas saatavilla suomeksi! Nimimerkki Ad-Awaren opas
-> Asenna MVPS Hosts tiedosto -> MVPS Hosts
Estää koneesi yhteyden haitallisiin sivustoihin.
Opas saatavilla suomeksi! Nimimerkki Axelin opas
-> Vaihda selaimesi Firefoxiin -> Firefox
Firefox on nopeampi, turvallisempi ja parempi selain kuin Internet Explorer.
-> Pidä järjestelmäsi ajantasalla. -> Windows Update
Vieraile Windows Updatessa säännöllisesti.
-> Pidä palomuuri ja virustorjunta ajantasalla
Päivitä ja skannaa koneesi säännöllisesti virustorjuntaohjelmallasi.
ja hyvä myös escan http://koti.mbnet.fi/pattaya1/escanmwav.htm
->Pidä ohjelmistosi ajantasalla. -> Secunia Software Inspector
Secunia Software Inspector tutkii sinun järjestälmäsi ja ohjelmistosi puuttuvien turvallisuuspäivityksien osalta. Tavallinen tutkinta kestää normaalisti 5-40 sekuntia, kun läpikotainen (thorough system inspection) voi kestää useita minuutteja.
->Seuraa säännöllisesti viestintäviraston tietoja uusista haavoittuvuuksista -> CERT-FI
Jos tulevaisuudessa tulee haittaohjelmien kanssa ongelmia, älä epäröi laittaa HijackThis-logia tarkistettavaksi!
|
|
Mainos
|
|
|
Senior Member
1 tuotearvio
|
29. toukokuuta 2007 @ 14:40 |
Linkki tähän viestiin
|
|
Haittaako jos tuo services.exe roikkuu tuolla Windwosin Tehtävienhallinnassa?
|
|
