|
|
|
Keskustelualueet
Keskustelualueet
|
|
|
virus joka ei poistu
|
|
|
nessu123
Member
|
3. kesäkuuta 2007 @ 09:14 |
Linkki tähän viestiin
|
koneessani on virus joka ei poistu virustentorjuntaohjelmalla
virustentorjuntaohjelma on f-secure client security 5.5x
tässä vielä HjT-logi
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:47:25, on 3.6.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\A4Tech\Mouse\Amoumain.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Netropa\InetKb\Inetkb.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Käyttäjä\Työpöytä\HiJackThis_v2.0.0.0.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = home.network
O17 - HKLM\Software\..\Telephony: DomainName = home.network
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = home.network
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Tapahtumaloki (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown owner - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: CD-levyjen kirjoittamisen IMAPI COM -palvelu (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NetMeeting etätyöpöydän jakaminen (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Etätyöpöydän ohjeen istunnonhallinta (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Procedure Call (RPC) MO (RPCSE) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Älykortti (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Resurssilokit ja -hälytykset (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Aseman tilannevedos (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WMI resurssisovitin (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Windows Media Playerin verkkojakamispalvelu (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
--
End of file - 8097 bytes
virus josta f-secure valittaa on Backdoor.win32.delf.ave joka on tiedostossa C:/windows/intel.dll
|
|
Auttaja
Suspended permanently
|
3. kesäkuuta 2007 @ 09:23 |
Linkki tähän viestiin
|
1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. (C:\ComboFix.txt) Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
========
Lataa Dr.Web CureIt työpöydälle:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
[*]Tuplaklikkaa drweb-cureit.exe ja anna sen tehdä express scan
[*]Se skannaa käynnissä olevat ohjelmat ja jos jotain löytyy, klikkaa yes kun se kysyy haluatko poistaa sen. Tämä on vain lyhyt scan.
[*]Kun scan on valmis, merkkaa asemat, jotka haluat scannata.
[*]Valitse kaikki asemat. Punainen piste osoittaa, mitkä asemat on valittu.
[*]Klikaa vihreää nuolta oikealla ja scan alkaa.
[*]Klikkaa 'Yes to all', jos kysytään haluatko poistaa/siirtää tiedoston.
[*]Kun scan on valmis, katso voitko klikata next-kuvaketta löytyneiden tiedostojen vieressä: 
[*]Jos asia on niin, klikkaa sitä ja sitten klikkaa next-kuvaketta oikealla alhaalla ja valitse Move incurable kuten alla olevalla kuvassa:
Tämä siirtää sen %userprofile%\DoctorWeb\quarantine-hakemistoon.
[*]Tämän jälkeen klikkaa Dr.Web CureIt-valikossa file ja valitse save report list
[*]Tallenna raportti työpöydälle. Raportin nimi on DrWeb.csv
[*]Sulje Dr.Web Cureit.
[*]Käynnistä kone uudelleen !! Tämä siksi, että käytössä olevat tiedostot poistetaan/siirretään käynnistyksen yhteydessä.
[*]Käynnistyksen jälkeen liitä Dr.Web-lokin, jonka tallensit aiemmin, sisältö seuraavaan vastaukseesi.
========
C:/windows/intel.dll
Laita piilotiedostot näkyviin ja poiston jälkeen piiloon takaisin
Poista siis se tiedosto
====
Laita myös uusi HJTlogi
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 3. kesäkuuta 2007 @ 09:25
|
|
nessu123
Member
|
3. kesäkuuta 2007 @ 15:19 |
Linkki tähän viestiin
|
|
huomasin tässä että tiedostoa ei löydy vaikka piilotiedostot on näkyvissä myös f-secure sanoo uudelleen nimenneensä tiedeston mutta mitään ei löydy joka kerta kun koneen käynnistäää uudelleen
eli joka koneen käynnistyksessä tulee ilmoitus että tiedosto on uudelleen nimetty
|
|
nessu123
Member
|
3. kesäkuuta 2007 @ 15:21 |
Linkki tähän viestiin
|
"K?ytt?j?" - 2007-06-03 19:14:16 Service Pack 2
ComboFix 07-05.27.BV - Running from: "C:\Program Files\Mozilla Firefox\"
((((((((((((((((((((((((((((((( Files Created from 2007-05-03 to 2007-06-03 ))))))))))))))))))))))))))))))))))
2007-06-03 08:02 <KANSIO> d-------- C:\registry backup
2007-05-30 18:43 <KANSIO> d-------- C:\WINDOWS\.file_store_32
2007-05-27 20:54 <KANSIO> d-------- C:\Mgame
2007-05-27 17:44 <KANSIO> d-------- C:\Program Files\Jazz Jackrabbit 2
2007-05-23 15:46 <KANSIO> d-------- C:\Program Files\Counter-Strike 1.6
2007-05-22 16:47 <KANSIO> d-------- C:\WINDOWS\FLV Player
2007-05-22 16:47 <KANSIO> d-------- C:\Program Files\FLV Player
2007-05-13 13:54 <KANSIO> d-------- C:\Q3Ademo
2007-05-13 13:10 <KANSIO> d-------- C:\Program Files\Worms Blast
2007-05-13 13:10 <KANSIO> d-------- C:\Program Files\Worms 3D
2007-05-12 10:50 <KANSIO> d-------- C:\Program Files\Worms World Party
2007-05-05 18:59 <KANSIO> d-------- C:\Program Files\MSXML 6.0
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-06-03 06:44:57 -------- d-----w C:\Program Files\Steam
2007-06-03 06:43:53 -------- d-s---w C:\Program Files\Xfire
2007-06-02 17:57:08 -------- d-----w C:\Program Files\PeerGuardian2
2007-05-27 17:54:35 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-05-27 11:00:39 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-05-27 11:00:35 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-05-24 14:05:36 -------- d-----w C:\Program Files\Wolfenstein - Enemy Territory
2007-05-18 04:31:13 -------- d-----w C:\Program Files\MSN Messenger
2007-05-18 04:31:13 -------- d-----w C:\Program Files\Messenger Plus! Live
2007-05-05 15:57:51 83,996 ----a-w C:\WINDOWS\system32\perfc00B.dat
2007-05-05 15:57:51 412,130 ----a-w C:\WINDOWS\system32\perfh00B.dat
2007-05-05 15:57:08 -------- d-----w C:\Program Files\Electronic Arts
2007-05-01 09:24:14 -------- d-----w C:\Program Files\America's Army
2007-05-01 06:35:41 -------- d-----w C:\Program Files\Ganymede
2007-04-30 08:57:57 -------- d-----w C:\Program Files\MediaMonkey
2007-04-28 08:57:57 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-04-28 08:56:43 -------- d-----w C:\Program Files\Microsoft Games
2007-04-28 07:16:49 -------- d-----w C:\Program Files\directx
2007-04-28 07:15:57 -------- d-----w C:\Program Files\Rockstar Games
2007-04-28 07:13:24 -------- d-----w C:\Program Files\gta2
2007-04-26 16:31:54 -------- d-----w C:\Program Files\Hamachi
2007-04-22 16:09:15 -------- d-----w C:\Program Files\WarRock
2007-04-21 15:07:37 4,320 ----a-w C:\WINDOWS\mozver.dat
2007-04-21 08:24:59 4 ----a-w C:\WINDOWS\system32\proc20744962.bin
2007-04-21 06:25:47 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 19:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 19:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 19:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 19:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 19:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 19:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 19:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 19:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-15 13:58:05 -------- d-----w C:\Program Files\MSXML 4.0
2007-04-15 07:37:09 -------- d-----w C:\Program Files\Microsoft Virtual PC
2007-04-14 09:28:41 16 ----a-w C:\WINDOWS\popcinfo.dat
2007-04-14 07:47:54 -------- d-----w C:\Program Files\America's Army Server Manager
2007-04-14 06:46:18 26,056 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-04-06 10:00:19 -------- d-----w C:\Program Files\BitTorrent
2007-04-06 09:58:19 -------- d-----w C:\Program Files\uTorrent
2007-03-23 03:07:56 1,683,280 ------w C:\WINDOWS\system32\XpsSvcs.dll
2007-03-23 03:07:54 583,504 ------w C:\WINDOWS\system32\XPSSHHDR.dll
2007-03-22 17:25:02 124,928 ------w C:\WINDOWS\system32\prntvpt.dll
2007-03-17 13:44:51 292,864 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 15:38:00 578,048 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:37:59 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:37:59 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:34:26 1,843,840 ----a-w C:\WINDOWS\system32\win32k.sys
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-08-31 21:33]
{CC59E0F9-7E43-44FA-9FAA-8377850BF205}=C:\Program Files\Free Download Manager\iefdmcks.dll [2006-08-20 20:55]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.exe" [2004-09-09 12:03]
"F-Secure TNB"="C:\Program Files\F-Secure\TNB\TNBUtil.exe" [2004-05-27 11:57]
"WheelMouse"="C:\Program Files\A4Tech\Mouse\Amoumain.exe" [2007-02-11 00:33]
"ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2004-08-12 22:10]
"MULTIMEDIA KEYBOARD"="C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe" [2003-06-04 02:32]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-09-14 17:12]
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
Contents of the 'Scheduled Tasks' folder
2007-06-03 04:04:50 C:\WINDOWS\tasks\Scheduled scanning task.job
********************************************************************
catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-03 19:16:30
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
********************************************************************
Completion time: 2007-06-03 19:16:55
--- E O F ---
|
|
Auttaja
Suspended permanently
|
3. kesäkuuta 2007 @ 15:24 |
Linkki tähän viestiin
|
laitatko ton drwebin raportin?
======0
Lataa RootkitRevealer.zip
[*] Luo uusi kansio nimeltä RKR C asemallesi, C:\
[*] Pura koko RootkitRevealer.zip tiedoston sisältö C:\RKR kansioon.
[*] Avaa C:\RKR kansion ja tuplaklikkaa RootkitRevealer.exe tiedostoa
[*] Klikkaa Scan painiketta ja odota skannauksen päättymistä
[*] HUOM! Älä käytä konettasi skannauksen aikana.
[*] Kun skannaus on päättynyt, klikkaa File (ikkunan yläreunasta)
[*] Sitten klikkaa Save painiketta
[*] Tallenna sitten RootkitRevealer loki työpöydällesi
Lähetä RootkitRevealer:n loki viestiketjuusi.
|
|
nessu123
Member
|
4. kesäkuuta 2007 @ 11:22 |
Linkki tähän viestiin
|
|
A0013663.exe;D:\System Volume Information\_restore{CDB8233E-DBCF-49E8-BF8E-D7B8AB16D769}\RP55;Trojan.MulDrop.5841;Deleted.;
main.js;C:\Program Files\Messenger Plus! Live\Scripts\Now Playing;Probably SCRIPT.Virus;Incurable.Moved.;
|
|
nessu123
Member
|
4. kesäkuuta 2007 @ 13:25 |
Linkki tähän viestiin
|
|
HKLM\.DEFAULT\Control Panel\International 3.6.2007 19:16 0 bytes Security mismatch.
HKLM\.DEFAULT\Control Panel\International\Geo 3.6.2007 19:16 0 bytes Security mismatch.
HKLM\S-1-5-21-725345543-963894560-839522115-1004\Control Panel\International 3.6.2007 19:16 0 bytes Security mismatch.
HKLM\S-1-5-21-725345543-963894560-839522115-1004\Control Panel\International\Geo 3.6.2007 19:16 0 bytes Security mismatch.
HKLM\S-1-5-18\Control Panel\International 3.6.2007 19:16 0 bytes Security mismatch.
HKLM\S-1-5-18\Control Panel\International\Geo 3.6.2007 19:16 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 4.6.2007 15:23 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\FSFW\filter 4.6.2007 15:18 1.02 KB Windows API length not consistent with raw hive data.
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch 4.6.2007 15:14 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer 4.6.2007 15:14 18 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DNSRegisteredAdapters\{B8FF047C-3825-45A9-9291-76AF88E20C19} 4.6.2007 15:15 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{B8FF047C-3825-45A9-9291-76AF88E20C19}\DhcpRetryTime 4.6.2007 15:14 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{B8FF047C-3825-45A9-9291-76AF88E20C19}\DhcpRetryStatus 4.6.2007 15:14 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{B8FF047C-3825-45A9-9291-76AF88E20C19}\DhcpNameServer 4.6.2007 15:14 18 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{B8FF047C-3825-45A9-9291-76AF88E20C19}\DhcpDefaultGateway 4.6.2007 15:14 20 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{B8FF047C-3825-45A9-9291-76AF88E20C19}\DhcpSubnetMaskOpt 4.6.2007 15:14 30 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\{B8FF047C-3825-45A9-9291-76AF88E20C19}\Parameters\Tcpip\DhcpDefaultGateway 4.6.2007 15:14 20 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\{B8FF047C-3825-45A9-9291-76AF88E20C19}\Parameters\Tcpip\DhcpSubnetMaskOpt 4.6.2007 15:14 30 bytes Hidden from Windows API.
C:\Program Files\F-Secure\common\Spool\Nrb123.tmp 4.6.2007 15:36 138 bytes Hidden from Windows API.
C:\Program Files\F-Secure\common\Spool\Nrb244.tmp 4.6.2007 15:46 138 bytes Hidden from Windows API.
C:\Program Files\F-Secure\common\Spool\Nrb322.tmp 4.6.2007 15:56 138 bytes Hidden from Windows API.
C:\Program Files\F-Secure\common\Spool\Nrb3ED.tmp 4.6.2007 16:06 138 bytes Hidden from Windows API.
C:\Program Files\F-Secure\common\Spool\Nrb690.tmp 4.6.2007 16:16 138 bytes Hidden from Windows API.
C:\Program Files\F-Secure\common\Spool\Nrb895.tmp 4.6.2007 16:26 138 bytes Visible in directory index, but not Windows API or MFT.
|
|
Auttaja
Suspended permanently
|
5. kesäkuuta 2007 @ 08:15 |
Linkki tähän viestiin
|
Lataa Killbox Option^Explicitiltä.
Huomaa: Jos sinulla on jo Killbox, tämä on uusi versio joka sinun tulee asentaa. Poista aikaisempi.
[*]Tallenna työpöydällesi.
[*] Tupla-klikkaa Killbox.exe ajaaksesi ohjelman.
[*] Valitse: [*]Delete on Reboot[*] sitten klikkaa All Files valintaa.
[*]Kopioi ja liitä alapuolella olevat tiedostopolut leikepöydälle mustaamalla KAIKKI ne ja painamalla CTRL + C (tai, mustaamisen jälkeen, oikea klikki hiirellä ja valitse kopioi):
C:\WINDOWS\Intel.DLL
[*] Palaa Killboxiin, mene File valikkoon, ja valitse Paste from Clipboard.
[*]Klikkaa puna-valkoista Delete File valintaa.
Eli laita replace on reboot ja use dummy
Käynnistä koneesi itse jos se ei sitä automaattisesti tee
Jos saat tälläisen viestin: "Component 'MsComCtl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid." Kun yrität ajaa KillBoxia, klikkaa tätä ladataksesi ja ajaaksesi Missingfilessetup.exe;n. Sitten koita KillBoxia uudestaan.
Uusi Hijackthislogi ja poistuko ilmotus.
|
|
Mainos
|
|
|
|
nessu123
Member
|
14. kesäkuuta 2007 @ 11:43 |
Linkki tähän viestiin
|
|
onkelma on korjattu!!
kiites kaikille vastanneille avusta
|
|
