|
Mesessä TAAS joku virus.
|
|
Newbie
|
27. toukokuuta 2008 @ 22:05 |
Linkki tähän viestiin
|
|
Mjoo, täällähän on aika paljon jo näitä mesevirus-triidejä, mutta en nyt ainakaan pikaisesti nähnyt mitään vastaavaa. Eli tämäpä oli sellainen virus, että jopa minä (lasken itseni jo ihan kokeneeksi koneen käyttäjäksi) menin sen saamaan. Eli kaverilta, jonka kanssa en ole aikoihin jutellut tuli viesti jossa oli suurinpiirtein lause "Ootko sä tässä :D" jota seurasi linkki, joka päättyi omaan nimeeni/osoitteeseeni. Linkki oli jopa ihan ok:n olonen.
Noh, menin painamaan linkkiä jolloin tuli pyyntö tallentaa joku DOS-tiedosto. Tallensin tämän ja katoin avastilla, niin ei mitään löytynyt. Mitä siihen DOSsiin tulee, niin ainahan kone senssii jotku tiedostot ihan vitulleen. Enivei, kun sitten avasin tämän tiedoston, alkoi meseni aukoa ikkunoita ja uskoakseni lähettää tätä samaa ootko-sä-tässä-viestiä yhteystiedoilleni.
Joten, olisiko kellään tähän ratkaisua?
|
|
Enoxol1
Newbie
|
27. toukokuuta 2008 @ 22:18 |
Linkki tähän viestiin
|
|
Joo siis mulle tuli kanssa tollanen viesti kaverilta et "ootko sä oikeesti tossa :D:P" ja sit linkki missä oli jotain "msnsälää.@omasähkis" tai joku suunnilleen tollanen (ja siis tuo linkki oli ihan uskottava oikeasti). Toi on siis ilmeisesti se viesti mitä se viirus lähettää ja miten se siis leviää.
Mutta onko viirus poistettu, kun poistaa vaan sen tiedoston minkä tosta linkinstä menee tyhmyyksissään tallentamaan tietokoneelleen?
Eli that's it, kerro kavereille ja ei avaa enään tollasta niin kaikki ok?
|
Newbie
|
27. toukokuuta 2008 @ 22:41 |
Linkki tähän viestiin
|
Lainaus:
Mutta onko viirus poistettu, kun poistaa vaan sen tiedoston minkä tosta linkinstä menee tyhmyyksissään tallentamaan tietokoneelleen?
Eli that's it, kerro kavereille ja ei avaa enään tollasta niin kaikki ok?
Mjoo, tosiaan itse poistin tuon lataamani tiedoston mutta kun nyt avasin mesen, niin ruutu smearaantui keskusteluikkunoista eli ilmeisesti tätä kusetusviestiä lähtee vielä yhteystiedoilleni.
Laitoin kyllä mailia kaikille, että eivät klikkaa linkkiä jos sen saavat, mutta olisi tosiaan kivaa tietää että miten tän saa lopullisesti pois.
|
|
Wakip
Newbie
|
27. toukokuuta 2008 @ 23:10 |
Linkki tähän viestiin
|
|
juu, ite onnistuin kans sössimään tuon viruksen koneelleni. ei kannata katsoa tv:tä ja availla linkkejä lukematta :D, mut miten ton saa poistettua kokonaan? ajoin http://www.f1-forum.fi/vb/showthread.php?t=24841&highlight=messenger tuolla mitä tuossa ohjeessa oli, mut silti näytti tekevän vielä samaa.
|
Newbie
|
28. toukokuuta 2008 @ 07:56 |
Linkki tähän viestiin
|
|
Tosiaan, edelleenkin apuja kaivataan. Tänne oli näköjään ilmestynyt pari muutakin aihetta, jossa on kyse oletettavasti samasta pöpöstä. Minä kyllä pystyin poistamaan työpöydälleni lataaman tiedoston, kun tuolla uudessa ketjussa oli joku maininnut että sitä ei saanut veks.
Niin ja olisi myös kiva tietää kaappaako tämä pöpö mesen (ja samalla windows live ID vai mikä lie) tunnukset ja passut?
|
|
Nobody88
Newbie
|
28. toukokuuta 2008 @ 10:10 |
Linkki tähän viestiin
|
|
Mulle tuli kanssa toi sama ongelma. Itse en ole poistanut vielä koko tiedostoa, mutta suljin kyseisen prosessin ("winudpmgr.exe") ja otin sen pois Windowsin käynnistyksen yhteydessä käynnistettävistä prosesseista. Tietääkseni mese ei ole tämän jälkeen enää lähetellyt kyseistä viestiä.
|
|
Peniston
Newbie
|
28. toukokuuta 2008 @ 10:30 |
Linkki tähän viestiin
|
Itsekin lankesin kyseiselle meseviirukselle. Löysin eScanilla tommosen viruksen:
File C:\WINDOWS\winudspm.exe infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
Lisäksi C:-aseman juureen tarttui vielä sexy.exe -niminen tiedosto, joka tulee siihen yhä uudelleen... Perus deletointi ei auta. Joten mitä pitäisi tehdä?
Mese meni totaalisen juntturaan heti sen tiedoston avaamisen jälkeen, joten päätin poistaa koko ohjelman.
CCleanerin, RegSeekerin, SpyBotin, AdAware2007:n ja F-Securen kanssa olen skannaillut konetta ja nyt viimeisimpänä tuon eScanin (Kapersky) kanssa. Tuo yksi paskatiedosto (sexy.exe) ei näytä poistuvan millään, mitä tehdä? Kiitos jo etukäteen sille nerolle, joka osaa auttaa!
|
Senior Member
4 tuotearviota
|
28. toukokuuta 2008 @ 10:43 |
Linkki tähän viestiin
|
|
|
Newbie
|
28. toukokuuta 2008 @ 11:47 |
Linkki tähän viestiin
|
Noh, äsken sai Avast koneen kokonaan syynättyä, eikä mitään löytynyt mistään. Näin kuitenkin prosesseissa tämän Winudspm.com-paskan ja C:-aseman juuresta löytyi tosiaan tämä sexy.exe. En jaksanyt yrittää poistaa kumpaakaan, kun täällä sanottiin, että ne uusivat.
Enivei, päätinpä piruuttaan kokeilla niinkin yksinkertaista ratkaisua kuin järjestelmän palauttamista ja nyt sen tehtyäni, ei prosesseissa näy tätä edellä mainittua skeidaa ja Sexyexekin on hävinnyt.
Joten mitä luulette, onkohan homma nyt hoidettu?
|
|
oppositio
Junior Member
|
28. toukokuuta 2008 @ 11:57 |
Linkki tähän viestiin
|
Joo, sama homma. postasin hjt login viereiseen threadiin.
Kertokaapas kanssaveljet ja sisaret sitten kun pääsette siitä prk...n viruksesta ja sexy.com, yms eroon lopullisesti ja ohjeita peliin. Täällä varmaan monet odottavat innolla..
|
|
oppositio
Junior Member
|
28. toukokuuta 2008 @ 12:04 |
Linkki tähän viestiin
|
Lainaus:
mutta suljin kyseisen prosessin ("winudpmgr.exe") ja otin sen pois Windowsin käynnistyksen yhteydessä käynnistettävistä prosesseista.
Onko toiminut? miten sen saa poistettua käynnistyksen yhteydestä avattavista ohjelmista?
|
Junior Member
1 tuotearvio
|
28. toukokuuta 2008 @ 12:20 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti oppositio:
Lainaus:
mutta suljin kyseisen prosessin ("winudpmgr.exe") ja otin sen pois Windowsin käynnistyksen yhteydessä käynnistettävistä prosesseista.
Onko toiminut? miten sen saa poistettua käynnistyksen yhteydestä avattavista ohjelmista?
Kirjoita suorita ikkunaan: msconfig. Sieltä selaat ylhäältä Käynnistys, josta löytyy automaattisesti käynnistyvät ohjelmat ja rasti pois ruudusta.
|
|
cirkle
Newbie
|
28. toukokuuta 2008 @ 12:32 |
Linkki tähän viestiin
|
1. Lataa tästä poistotyökalu ja tallenna se työpöydällesi http://sosvirus.changelog.fr/MSNFix.zip
2. Pura se MSNFix kansioon
3. Avaa kansio ja käynnistä MSNFix.bat
4. Valitse haluamasi kieli ikkunassa näkyvästä listasta kirjoittamalla joku niistä kirjaimista ja paina ENTER. E = englanti
5. Kirjoita seuraavaksi R kirjain ja paina ENTER käynnistääksesi virushaun.
6. Sen jälkeen paina uusiksi ENTER poistaaksesi työkalun löytämät tiedostot.
TÄLLÄ LÄHTEE!!!
mutta uudeksi ongelmaksi koitui tuo Windows UDP Control sydeemi joka vissiin estää palomuuria toimimasta?? esim. ZoneAlarm aiheuttaa Windows Explorerin jumittumisen. ja lähti käyntiin ainostaan poistamalla koko ZoneAlarm. ja nyt on ollu vähän sellaista fiilistä että XPn oma firewall päästelee myös juttuja läpi. ainakin avast! on ollut yllättävän aktiivinen tänä aamuna.
tähän ongelmaan tarvitaan ratkaisua ja pikaisesti!
|
|
Nobody88
Newbie
|
28. toukokuuta 2008 @ 15:32 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti oppositio:
Lainaus:
mutta suljin kyseisen prosessin ("winudpmgr.exe") ja otin sen pois Windowsin käynnistyksen yhteydessä käynnistettävistä prosesseista.
Onko toiminut? miten sen saa poistettua käynnistyksen yhteydestä avattavista ohjelmista?
Ei ole ainakaan sen jälkeen tuota prosessia enää käynnistänyt, mutta olisihan tietysti mukavaa saada koko winudpmgr pois koneelta. Ongelmana vaan on, että en löydä sitä mistään.
|
|
eSo19
Junior Member
|
28. toukokuuta 2008 @ 15:41 |
Linkki tähän viestiin
|
arvelen että tämä winupdmgr.exe ei ole itse onkhelma, vaan yksi pöpön luomuksista. omassa tapauksessani kyseinen ohjelma ei edes ilmestynyt käynnistyksen yhteydessä starttaaviin ohjelmiin eikä tehtävienhallintaan, mutta löytyi kuitenkin rekisteristä. lähinnä keskityin sexy.com-tiedoston kanssa tappelemiseen, vaikkakin ilmeni että taistelin tuulimyllä vastaan sillä jokin loi sen aina uudelleen.
seuraavasti minulta poistui kaikki pöpöt ja kaikki ohjelmat toimivat yhä moitteetta. eikä f-securekaan löydä enää mitään huomautettavaa.
http://keskustelu.afterdawn.com/thread_view.cfm/667951#4064950
|
|
Nobody88
Newbie
|
28. toukokuuta 2008 @ 16:05 |
Linkki tähän viestiin
|
|
Mulla ei edes ole tuota sexy.com-tiedostoa. Ei ollut C-aseman juuressa eikä löytyny haullakaan.
|
|
Peniston
Newbie
|
28. toukokuuta 2008 @ 16:36 |
Linkki tähän viestiin
|
Skannasin Kaperskyn eScanilla (joka kesti reilut 6 h) ja tämmöstä paskaa löytyi:
File C:\WINDOWS\winudspm.exe infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP377\A0051193.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP378\A0051366.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP378\A0051372.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051482.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051483.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051484.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051485.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051486.exe infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051488.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051489.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\sexy.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
Voiko näitä poistaa, vai riittääkö, että toi ohjelma nimeää ne uudelleen?
Kaiken lisäksi sexy.com on nyt muuttanut muotoaan ilmeisesti harmittomaksi, mutta sen kylkiäisinä tullutta dciz-tiedostoa (joka on samassa C:-aseman juuressa, kuin tuo sexy.com) se ei huomannut / muuttanut...
Seuraavaksi skannaan koneen yaht-käyttäjän suosituksen mukaan Malwarebytes' Anti-Malware -ohjelmalla.
Voiko joku auttaa tuon yllämainitun kanssa? Kiitos jo etukäteen!
|
|
Hoijari
Member
16 tuotearviota
|
28. toukokuuta 2008 @ 17:31 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Peniston:
Skannasin Kaperskyn eScanilla (joka kesti reilut 6 h) ja tämmöstä paskaa löytyi:
File C:\WINDOWS\winudspm.exe infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP377\A0051193.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP378\A0051366.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP378\A0051372.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051482.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051483.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051484.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051485.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051486.exe infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051488.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051489.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\sexy.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
Voiko näitä poistaa, vai riittääkö, että toi ohjelma nimeää ne uudelleen?
Kaiken lisäksi sexy.com on nyt muuttanut muotoaan ilmeisesti harmittomaksi, mutta sen kylkiäisinä tullutta dciz-tiedostoa (joka on samassa C:-aseman juuressa, kuin tuo sexy.com) se ei huomannut / muuttanut...
Seuraavaksi skannaan koneen yaht-käyttäjän suosituksen mukaan Malwarebytes' Anti-Malware -ohjelmalla.
Voiko joku auttaa tuon yllämainitun kanssa? Kiitos jo etukäteen!
Nuo ovat Windowssin palautustiedostoja. Otat vain Windowsista sen järjestelmän palautuksen pois päältä niin häviävät samantien. Windows XP koneessa?
|
|
Peniston
Newbie
|
28. toukokuuta 2008 @ 17:34 |
Linkki tähän viestiin
|
|
Juu, XP koneessa. Vaikuttaako se asiaan? Entäs tuo dciz-tiedosto?
|
|
eSo19
Junior Member
|
28. toukokuuta 2008 @ 18:00 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Nobody88:
Mulla ei edes ole tuota sexy.com-tiedostoa. Ei ollut C-aseman juuressa eikä löytyny haullakaan.
Lainaus, alkuperäisen viestin kirjoitti Peniston:
Juu, XP koneessa. Vaikuttaako se asiaan? Entäs tuo dciz-tiedosto?
veikkaanpa että tämä pöpö on varsin muuntautumiskykyinen ja kaikille ei tämä sexy.com-tiedosto välttämättä ilmestykkään, mutta jotain vastaavaa roskaa kuitenniin. koittakaapa noilla postaamillani SDfix-ohjeilla, jos ette vielä näin ole tehneet. monilla se on tähän asti toiminut.
|
|
eSo19
Junior Member
|
28. toukokuuta 2008 @ 18:03 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Tege:
Nuo ovat Windowssin palautustiedostoja. Otat vain Windowsista sen järjestelmän palautuksen pois päältä niin häviävät samantien. Windows XP koneessa?
Tuli muuten vasta jälkeenpäin mieleen että minullakin tosiaan SDfix-operatsuuni poisti nämä saastuneet järjestelmän palautustiedostot. Eli sama pöpö lienee kyseessä.
|
|
Peniston
Newbie
|
28. toukokuuta 2008 @ 18:43 |
Linkki tähän viestiin
|
|
Tässä on tuolla Malwarebytes' Anti-Malwarella tehty skannaus:
Malwarebytes' Anti-Malware 1.12
Tietokantaversio: 793
Tarkistustyyppi: Täysi tarkistus (C:\|D:\|E:\|F:\|H:\|)
Tarkistetut kohteet: 130035
Kulunut aika: 1 hour(s), 45 minute(s), 19 second(s)
Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 1
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 1
Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)
Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriavaimia:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)
Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)
Saastuneita tiedostoja:
C:\Documents and Settings\Juha Vainio\Local Settings\Temp\wnd5D1.bat (Malware.Trace) -> No action taken.
|
|
GooZe
Junior Member
|
30. toukokuuta 2008 @ 16:36 |
Linkki tähän viestiin
|
Peniston: Postaa tuore HJT-logisi tänne.
|
|
Peniston
Newbie
|
30. toukokuuta 2008 @ 21:14 |
Linkki tähän viestiin
|
Tästä Hjt-lokia:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:42, on 30.5.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\BUtilityBar\BisonBar.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Comodo\Css\cssurf.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Trend Micro\HijackThis\hoojiitee.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.turku.diak.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fi.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://uk.rd.yahoo.com/customize/ycomp/d...://uk.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BisonBar] C:\WINDOWS\BUtilityBar\BisonBar.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [css] C:\Program Files\Comodo\Css\cssurf.exe /s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsof...b?1195416161480
O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - http://support.f-secure.com/ols3beta/fscax.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll C:\PROGRA~1\Comodo\Css\cssdll32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe
--
End of file - 8309 bytes
|
|
Mainos
|
|
|
|
diisa
Newbie
|
6. kesäkuuta 2008 @ 16:06 |
Linkki tähän viestiin
|
|
Heippa, latasin ja ajoin tuon ohjelman mitä nimim. vaht suositteli ja yes sexy exe ja winudspm.exe häipyivät, ohjelma siis toimi todella hyvin, ei ole ainakaan vielä tullut takaisin viruksia. Siis suosittelen.
|
