|
|
|
Keskustelualueet
Keskustelualueet
|
|
|
Ötöjä Spyware Doctorin mukaan. HjT-loki mukana
|
|
|
glops
Member
1 tuotearvio
|
28. helmikuuta 2008 @ 13:31 |
Linkki tähän viestiin
|
Moi.
Spyware Doctor löysi Rootkit Agentin (Rootkit.Agent.CL) ja Trojan Popuperin, muttei halua tehdä niille mitään ennenkuin maksan. Uusi ohjelma minulle, uudet löydöt myöskin. Normanin virustorjunta, AVG anti-spyware, a-squared free, ad-avare 2007 ja spyware blaster eivät ilmeisesti toimineet tarpeeksi hyvin.
Avusta, neuvoista ja tiedoista olisin kiitollinen ja iloinen.
HijackThis-loki:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:32, on 28.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Ohjelmat\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Ohjelmat\DAEMON Tools\daemon.exe
C:\Ohjelmat\Norman\Nvc\BIN\NIP.EXE
C:\WINDOWS\system32\svchost.exe
C:\Ohjelmat\GetRight\getright.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Ohjelmat\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\alg.exe
C:\Ohjelmat\SUoja\Spyware Doctor\pctsAuxs.exe
C:\Ohjelmat\SUoja\Spyware Doctor\pctsSvc.exe
C:\Ohjelmat\SUoja\Spyware Doctor\pctsGui.exe
C:\Ohjelmat\SUoja\Spyware Doctor\pctsTray.exe
C:\Ohjelmat\Mozilla Firefox\firefox.exe
C:\Ohjelmat\Suoja\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Ohjelmat\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmat\Winamp\winampa.exe
O4 - HKLM\..\Run: [ISTray] "C:\Ohjelmat\SUoja\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Ohjelmat\Suoja\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Ohjelmat\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Ohjelmat\GetRight\getright.exe
O4 - Global Startup: TMMonitor.lnk = C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
O8 - Extra context menu item: Download with GetRight - C:\Ohjelmat\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Ohjelmat\GetRight\GRbrowse.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: Norman NJeeves - Unknown owner - C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Ohjelmat\SUoja\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Ohjelmat\SUoja\Spyware Doctor\pctsSvc.exe
--
End of file - 6273 bytes
|
|
Hujo
Suspended permanently
|
28. helmikuuta 2008 @ 13:35 |
Linkki tähän viestiin
|
Javan päivitys ja välimuistin tyhjennys:
1. Klikkaa Käynnistä -> Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.
2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
Niissä pitäisi olla seuraava kuva vieressä: 
3. Valitse kaikki entiset Java versiosi ja valitse Poista.
4. Asenna uusin Java päivitys seuraavasta linkistä..
5. Käynnistä kone uudelleen asennuksen jälkeen:
http://java.sun.com/javase/downloads/index.jsp
Rullaa alas kohteeseen Java Runtime Environment (JRE) 6u4
Paina Download
Ruksaa Accept, ota offline installation, tallenna vaikka työpöydälle ja asenna se.
6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).
7. General Settings -osion alla, vedä liukusäädintä (Disk Space) pienemmälle, ja klikkaa Delete Files -nappia.
(Jotkut javapohjaiset ohjelmat saattavat tarvita enemmän levytilaa.
Jos huomaat säädön pienentämisen jälkeen koneessa hitautta, siirrä liukusäädintä isommalle).
8. Varmista että kaikki kaksi valintaa ovat rastitettuja:
*Applications and Applets
*Trace and Log Files
Ja paina OK -nappia
9. Klikkaa OK "Temporary Files Settings" -ikkunassasi.
10. Klikkaa OK jättääksesi Java asetusikkunasi.
===========
Escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg
scannaa
jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.
Laita virus log tänne.
===========
Tarkista koneesi F-Securen online skannerilla
Huom, skanneri toimii vain [color=blue]Internet Explorer selaimella[/color]
* Lue sivun ohjeet huolella läpi
* Klikkaa Start scanning
* Mikäli saat [color=blue]Internet Explorer[/color] -suojausvaroituksen, klikkaa Asenna
* Klikkaa Accept
* Klikkaa Custom Scan
* Säädä asetukset seuraavasti
o "Virus Scan Option" kohdasta valitse Scan whole system
o "Other Scan Option" kohdasta valitse Scan All Files
o Valitse Scan whole system for rootkits
o Valitse Scan whole system for spyware
o Laita ruksi kohtaan Scan inside archives
o Varmista että Use advanced heuristics on valittuna
* Klikkaa Start
* Skannaus käynnistyy kun tarvittavat tiedostot/päivitykset on ladattu
* Odota kärsivällisesti
* Kun sakannaus on suoritettu, klikkaa Automatic cleaning
* Klikkaa Show Report
* Raportti aukeaa selaimessa, kopioi teksti kokonaan
* Liitä kopioitu teksti esim. muistioon tai Wordiin ja tallenna työpöydälle
* Voit sulkea skannerin
* Lähetä raportti viestiketjuusi
Älä tee muuta sillä voi aiheuttaa koneen jumiutumisen
Voiko tietsikka koskaan toimia?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. helmikuuta 2008 @ 13:37
|
|
glops
Member
1 tuotearvio
|
28. helmikuuta 2008 @ 14:16 |
Linkki tähän viestiin
|
|
"8. Varmista että kaikki kaksi valintaa ovat rastitettuja:
*Applications and Applets
*Trace and Log Files "
Javan ohjauspaneelin kohdassa Java näkyy Java Applet runtime settings sekä Java Application Runtime settings. Application Runtime settings näyttää olevan enabled, ja Applet runtme settingsissä ei lue onko se päällä vai ei. Mistään en kuitenkaan löydä rasitusmahdollisuutta em. kohdille, varsinkaan temporary files settings -ikkunasta.
|
|
Hujo
Suspended permanently
|
28. helmikuuta 2008 @ 14:56 |
Linkki tähän viestiin
|
|
kun otat tuon uuden javan siinä kaksi kohtaa
*Applications and Applets
*Trace and Log Files
Voiko tietsikka koskaan toimia?
|
|
glops
Member
1 tuotearvio
|
28. helmikuuta 2008 @ 15:07 |
Linkki tähän viestiin
|
|
Vanha Java poistettu, uusi installoitu (Java(TM) 6 update 4), ja kone käynnistetty uudelleen. Ei löydy.
|
|
Hujo
Suspended permanently
|
28. helmikuuta 2008 @ 15:15 |
Linkki tähän viestiin
|
|
Ohjauspaneli se kavikuppi > tuplalikkaa sitä > settings nappi > Delete files klikkaa > jokos näkyy
*Applications and Applets
*Trace and Log Files
Voiko tietsikka koskaan toimia?
|
|
glops
Member
1 tuotearvio
|
28. helmikuuta 2008 @ 15:28 |
Linkki tähän viestiin
|
|
Löytyi. Rastitettuja olivat. Hävettää.
|
|
Hujo
Suspended permanently
|
28. helmikuuta 2008 @ 16:42 |
Linkki tähän viestiin
|
|
eihäm niittä joka nurkaa tule koneelta koluttua kun menee vain nettiin.
Voiko tietsikka koskaan toimia?
|
|
glops
Member
1 tuotearvio
|
28. helmikuuta 2008 @ 16:58 |
Linkki tähän viestiin
|
Päivitetty eScan ei löytänyt mitään. "Total number of errors 4", mutta viruksia tms. ei löytynyt.
Spyware Doctor löytää Rootkit Agentin vieläkin.
|
|
Hujo
Suspended permanently
|
28. helmikuuta 2008 @ 17:12 |
Linkki tähän viestiin
|
|
Mistä löytää ja ajoiko ton f-securen
Voiko tietsikka koskaan toimia?
|
|
glops
Member
1 tuotearvio
|
28. helmikuuta 2008 @ 17:19 |
Linkki tähän viestiin
|
|
Thu Feb 28 16:42:23 2008 => ***** Scanning complete. *****
Thu Feb 28 16:42:23 2008 => Total Number of Files Scanned: 103215
Thu Feb 28 16:42:23 2008 => Total Number of Virus(es) Found: 0
Thu Feb 28 16:42:23 2008 => Total Number of Disinfected Files: 0
Thu Feb 28 16:42:23 2008 => Total Number of Files Renamed: 0
Thu Feb 28 16:42:23 2008 => Total Number of Deleted Files: 0
Thu Feb 28 16:42:23 2008 => Total Number of Errors: 4
Thu Feb 28 16:42:23 2008 => Time Elapsed: 02:00:46
Thu Feb 28 16:42:23 2008 => Virus Database Date: 2008/02/28
Thu Feb 28 16:42:23 2008 => Virus Database Count: 585361
Thu Feb 28 16:42:23 2008 => Scan Completed.
F-Secure skannaa vielä.
|
|
Hujo
Suspended permanently
|
28. helmikuuta 2008 @ 17:45 |
Linkki tähän viestiin
|
|
Noita erroreita tulee ohjelmien poistoistakin
eipä vaaralista
Voiko tietsikka koskaan toimia?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. helmikuuta 2008 @ 17:46
|
|
glops
Member
1 tuotearvio
|
28. helmikuuta 2008 @ 19:27 |
Linkki tähän viestiin
|
F-Securelta tämmöisiä terveisiä:
Result: 0 malware found
Statistics
Scanned:
* Files: 234550
* System: 5199
* Not scanned: 72
Actions:
* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 0
* Submitted: 0
Spyware Doctor kuitenkin väittää, että tietokoneessani on 2 uhkaa ja 71 tartuntaa: Rootkit.Agent 70 infektiota ja Trojan.Popuper 1 infektio. Silloin kun Sw Doctor lopetti, tuli näytön oikeaan alalaitaan outo popup-ilmoitus Doctorilta sanatarkkaan näin: "yhtään 71 infektiota ei löydetty".
?
|
|
Hujo
Suspended permanently
|
28. helmikuuta 2008 @ 19:51 |
Linkki tähän viestiin
|
taitaa parasta heittää koko Spyware Doctor koneelta pihalle.
1.Lataa combofix.exe työpöydällesi yhdestä linkistä:
combofix1
combofix2
2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
=============
Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi.
Käynnistä koneesi vikasietotilaan:
sammuta ja käynnistä
käynnistyksen yhteydessä hakkaa F8 nappia
valitse nuolinäppäimellä vikasietotila
paina enter ja enter
valitse käyttäjätilisi
paina kyllä
Jossakin koneissa hakataan F8:sin sijasta F5:tä
" Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
" Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
" Paina Y käynnistääksesi skriptin.
" Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
" Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
" Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
" Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
" Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
" Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis:n lokin kera.
===========
scannaa hjt:llä merkkaa paina Fix checked
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
Voiko tietsikka koskaan toimia?
|
|
glops
Member
1 tuotearvio
|
28. helmikuuta 2008 @ 20:03 |
Linkki tähän viestiin
|
|
Ok. Kiitos paljon tähänastisesta avusta. Nyt täytyy kuitenkin lopettaa ja lukea tenttiin. Palaan vielä asiaan.
Tämmöinenkin outous on koneella tpahtunut silloin tällöin. Kone toimii ihan hyvin. Silloin tällöin messengeriä illalla käytettäessä on kuitenkin tullut ilmoitus, jossa Norman-virustorjunta käynnistää asennuksen. Ikäänkuin mulla ei olisi jo Normania isntalloituna koneelle. En tiedä liittyykö tämä mihinkään, mutta se on ainoa juttu mitä olen ihmetellyt koneen käytöksessä. Tätä siis tapahtuu vain Messengeriä käytettäessä silloin tällöin. Ehkä 4 kertaa vuoden alusta lähtien. En ole installoinut Normania uudelleen. Normanin (ja muutkin anti-virusspywaret) päivitän tasaiseen tahtiin.
|
|
glops
Member
1 tuotearvio
|
29. helmikuuta 2008 @ 13:48 |
Linkki tähän viestiin
|
combofix:
ComboFix 08-02-25.3 - Fujitsu-Siemens 2008-02-29 13:26:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.514 [GMT 2:00]
Running from: C:\Downloadsit\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2008-01-28 to 2008-02-29 )))))))))))))))))))))))))))))))
.
2008-02-28 16:42 . 2008-02-28 16:42 0 --a------ C:\23990098.$$$
2008-02-28 14:37 . 2008-02-28 14:37 <DIR> d-------- C:\Downloads
2008-02-28 14:35 . 2008-02-28 14:35 <DIR> d-------- C:\Uusi kansio
2008-02-28 14:27 . 2008-02-28 14:37 <DIR> d-------- C:\Kaspersky
2008-02-28 13:51 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-28 13:50 . 2008-02-28 13:51 <DIR> d-------- C:\Program Files\Java
2008-02-28 13:50 . 2008-02-28 13:50 <DIR> d-------- C:\Program Files\Common Files\Java
2008-02-27 16:34 . 2008-02-28 22:46 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-02-11 21:31 . 2008-02-11 21:36 <DIR> d-------- C:\Documents and Settings\Fujitsu-Siemens\Application Data\Winamp
2008-02-05 22:17 . 2008-02-05 22:17 7,680 --ahs---- C:\WINDOWS\Thumbs.db
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-27 22:13 10,774 ----a-w C:\Documents and Settings\Fujitsu-Siemens\Application Data\wklnhst.dat
2008-02-27 18:58 --------- d-----w C:\Documents and Settings\Fujitsu-Siemens\Application Data\Azureus
2008-02-11 12:56 19,512 ----a-w C:\WINDOWS\system32\drivers\nvcw32mf.sys
2008-02-05 19:14 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-23 16:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-23 16:11 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-01-23 15:50 --------- d-----w C:\Documents and Settings\Fujitsu-Siemens\Application Data\Lavasoft
2008-01-11 05:53 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-01-04 19:04 --------- d-----w C:\Program Files\Windows Media Connect 2
2007-12-28 22:41 --------- d-----w C:\Documents and Settings\Fujitsu-Siemens\Application Data\InstallShield
2007-12-19 23:01 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-12-14 09:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-08 05:21 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-12-06 11:01 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-12-06 11:00 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-12-06 11:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-12-06 04:59 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-12-04 18:38 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 18:38 550,912 ----a-w C:\WINDOWS\system32\dllcache\oleaut32.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"DAEMON Tools"="C:\Ohjelmat\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 14:56 64512]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-23 20:08 16050688 C:\WINDOWS\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"Norman ZANDA"="C:\Ohjelmat\Norman\Npm\bin\ZLH.exe" [2007-08-09 13:40 183352]
"!AVG Anti-Spyware"="C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-08-17 15:23 8478720]
"nwiz"="nwiz.exe" [2007-08-17 15:23 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-08-17 15:23 81920]
"WinampAgent"="C:\Ohjelmat\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
GetRight - Tray Icon.lnk - C:\Ohjelmat\GetRight\getright.exe [2007-01-26 18:50:18 4531264]
TMMonitor.lnk - C:\Ohjelmat\TotalMedia 3\TMMonitor.exe [2007-10-31 21:30:44 258048]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Ohjelmat\\Azureus\\Azureus.exe"=
"C:\\Ohjelmat\\LimeWire\\LimeWire.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Pelit\\Iwar 2\\EdgeOfChaos.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Pelit\\Iwar 2\\bin\\release\\loader.exe"=
"C:\\Pelit\\pikku\\LieroX\\LieroX v0.56 Pack 1.9\\LieroX.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9910:TCP"= 9910:TCP:*:Disabled:BitComet 9910 TCP
"9910:UDP"= 9910:UDP:*:Disabled:BitComet 9910 UDP
"4242:TCP"= 4242:TCP:*:Disabled:Nodezilla
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-01-08 02:01]
R2 Ndiskio;Ndiskio;C:\Ohjelmat\Norman\Nse\bin\NDISKIO.SYS [2007-01-02 09:55]
R3 AF15BDA;AF9015 BDA Filter;C:\WINDOWS\system32\Drivers\AF15BDA.sys [2006-09-28 05:47]
R3 NvcMFlt;NvcMFlt;C:\WINDOWS\system32\DRIVERS\nvcw32mf.sys [2008-02-11 14:56]
R3 nvcoas;Norman Virus Control on-access component;C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe [2007-12-12 11:45]
R3 NVCScheduler;Norman Virus Control Scheduler;C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE [2007-05-23 12:23]
S3 jbridgep;jbridgep;C:\DOCUME~1\FUJITS~1\LOCALS~1\Temp\jbridgep.sys []
S3 nvcfsr;nvcfsr;C:\Ohjelmat\Norman\Nvc\bin\nvcfsr.sys [2007-01-09 14:25]
S3 nvcoafl51;nvcoafl51;C:\Ohjelmat\Norman\Nvc\bin\nvcoafl51.sys [2007-01-09 14:25]
S3 nvcoaft51;nvcoaft51;C:\Ohjelmat\Norman\Nvc\bin\nvcoaft51.sys [2007-01-09 14:25]
S3 nvcoarc51;nvcoarc51;C:\Ohjelmat\Norman\Nvc\bin\nvcoarc51.sys [2007-01-09 14:25]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 13:28:06
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-02-29 13:28:49
.
2008-02-13 11:11:28 --- E O F ---
|
|
Hujo
Suspended permanently
|
29. helmikuuta 2008 @ 13:57 |
Linkki tähän viestiin
|
|
Otas se sdfix ja uusi hjt:n loki scannaten
Voiko tietsikka koskaan toimia?
|
|
glops
Member
1 tuotearvio
|
29. helmikuuta 2008 @ 14:53 |
Linkki tähän viestiin
|
SDfix- ja HjT-logit tässä. HjT login otin kahteen kertaan, ennen ja jälkeen tämän:
" scannaa hjt:llä merkkaa paina Fix checked
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE "
Ehkä turhaan kahteen kertaan? Tuota 04 -HKLM?..?Run: [Alcmtr] alcmtr.exe -tiedostoa ei kyllä löytynyt, joten laitoin Fix checkedin vaan 02 - BHO:lle.
--------------------------------------------------------------------
Tässä SDfix:
SDFix: Version 1.149
Run by Administrator on pe 29.02.2008 at 14:16
Microsoft Windows XP [versio 5.1.2600]
Running From: C:\Ohjelmat\Suoja\SDFix\SDFix
Checking Services :
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 14:32:23
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:a869cd30
"s2"=dword:390deff3
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:07,39,ec,80,03,e4,d1,08,e1,97,ef,49,67,6f,3e,50,f0,97,bc,64,a9,..
"p0"="C:\Ohjelmat\DAEMON Tools\"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5c,95,70,d6,ad,82,ea,b8,fc,3d,ad,4b,80,81,a5,96,b2,..
"khjeh"=hex:45,5f,56,08,5b,ce,e8,6b,ca,93,a4,3b,55,ac,4e,21,51,b0,78,73,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:80,30,9d,ea,7a,a8,55,3d,08,c2,03,fe,84,fe,6b,db,39,f6,1e,af,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:07,39,ec,80,03,e4,d1,08,e1,97,ef,49,67,6f,3e,50,f0,97,bc,64,a9,..
"p0"="C:\Ohjelmat\DAEMON Tools\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5c,95,70,d6,ad,82,ea,b8,fc,3d,ad,4b,80,81,a5,96,b2,..
"khjeh"=hex:45,5f,56,08,5b,ce,e8,6b,ca,93,a4,3b,55,ac,4e,21,51,b0,78,73,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:80,30,9d,ea,7a,a8,55,3d,08,c2,03,fe,84,fe,6b,db,39,f6,1e,af,7f,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Ohjelmat\\Azureus\\Azureus.exe"="C:\\Ohjelmat\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Ohjelmat\\LimeWire\\LimeWire.exe"="C:\\Ohjelmat\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Ohjelmat\\TotalMedia 3\\TotalMedia.exe"="C:\\Ohjelmat\\TotalMedia 3\\TotalMedia.exe:LocalSubNet:Enabled:ArcSoft TotalMedia 3"
"C:\\Pelit\\Iwar 2\\EdgeOfChaos.exe"="C:\\Pelit\\Iwar 2\\EdgeOfChaos.exe:*:Enabled:Edge of Chaos Autorun"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\Pelit\\Iwar 2\\bin\\release\\loader.exe"="C:\\Pelit\\Iwar 2\\bin\\release\\loader.exe:*:Enabled:Independence War 2 Loader"
"C:\\Pelit\\pikku\\LieroX\\LieroX v0.56 Pack 1.9\\LieroX.exe"="C:\\Pelit\\pikku\\LieroX\\LieroX v0.56 Pack 1.9\\LieroX.exe:*:Enabled:LieroX"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
Remaining Files :
Files with Hidden Attributes :
Fri 9 Feb 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 3 Feb 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sun 21 Oct 2007 165,232 A..H. --- "C:\Documents and Settings\Fujitsu-Siemens\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll"
Fri 29 Feb 2008 5,686 A.SH. --- "C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\SBE1.tmp"
Finished!
---------------------------------------------------------------------
Hijack ennen Fix checkediä:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:25, on 29.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Ohjelmat\Norman\npm\bin\niu.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Ohjelmat\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Ohjelmat\DAEMON Tools\daemon.exe
C:\Ohjelmat\Norman\Nvc\BIN\NIP.EXE
C:\Ohjelmat\Norman\Nvc\bin\cclaw.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Ohjelmat\GetRight\getright.exe
C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Ohjelmat\Suoja\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Ohjelmat\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmat\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Ohjelmat\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Ohjelmat\GetRight\getright.exe
O4 - Global Startup: TMMonitor.lnk = C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
O8 - Extra context menu item: Download with GetRight - C:\Ohjelmat\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Ohjelmat\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: Norman NJeeves - Unknown owner - C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 6127 bytes
------------------------------------------------------------------
ja HjT Fix checkedin jälkeen:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:39, on 29.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Ohjelmat\Norman\npm\bin\niu.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Ohjelmat\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Ohjelmat\DAEMON Tools\daemon.exe
C:\Ohjelmat\Norman\Nvc\BIN\NIP.EXE
C:\Ohjelmat\Norman\Nvc\bin\cclaw.exe
C:\Ohjelmat\GetRight\getright.exe
C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Ohjelmat\Suoja\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Ohjelmat\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmat\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Ohjelmat\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Ohjelmat\GetRight\getright.exe
O4 - Global Startup: TMMonitor.lnk = C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
O8 - Extra context menu item: Download with GetRight - C:\Ohjelmat\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Ohjelmat\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: Norman NJeeves - Unknown owner - C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 6029 bytes
|
|
Hujo
Suspended permanently
|
29. helmikuuta 2008 @ 15:28 |
Linkki tähän viestiin
|
|
Loki kunnossa.
Voiko tietsikka koskaan toimia?
|
|
glops
Member
1 tuotearvio
|
29. helmikuuta 2008 @ 15:34 |
Linkki tähän viestiin
|
|
Kiitos paljon avusta.
Kiitos myös Spyware Doctorille...
|
|
Mainos
|
|
|
|
glops
Member
1 tuotearvio
|
29. helmikuuta 2008 @ 16:17 |
Linkki tähän viestiin
|
|
Ihan mielenkiinnosta asensin Spyware Doctorin uudelleen ja skannasin. Enää Doctor ei löytänyt korkean luokan uhkia. Uudet uhat ovat paljon lievempiä. Ei näitäkään koskaan ennen ole näkynyt.
Backdoor.Bifrose.YR (25 infectioita)
-Haitallinen sovellus, joka käy taustalla ja sallii sivupääsyn järjestelmääsi antaen hyökkääjälle täyden kontrollin järjestelmääsi
(kuitenkin Doctor ilmoittaa uhan olevan alhainen !!!???!!!)
Apllication.NirCmd (25 infectioita)
-Oikea sovellus. Tietyissä olosuhteissa kuitenkin, jotkut saattavat pitää sitä häiritsevänä.
Afterdawnin perusteella SwD:stä on hyvä kuva, mutta omien kokemusten perusteella ohjelma on vähintäänkin kyseenalaisesti toimiva. Näihin ainoastaan SwDoctorin tekemiin löytöihin suhtautuu entistä varauksellisemmin sen vuoksi, että ohjelma vaatii maksua ennen kuin uhille voi tehdä mitään.
|
|
