AfterDawn.com Mainosta sivuillamme
User Käyttäjä Salasana  
  Puuttuuko tunnus? Liity jäseneksi nyt!.
Salasana hukassa? Klikkaa tästä. 		 
  Etusivu   Uutiset   Oppaat   Ohjelmat   Sanasto   Laitevertailu   Profiilit   Keskustelu  
 Yksityisviestit     Luo uusi yksityisviesti     Kaikki uudet viestit     Ilman vastauksia olevat viestiketjut     Hae viestejä
maanantai 9.6.2025 / 21:21
Hae keskustelualueilta:        In English   Suomeksi   På svenska
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat - hijackthis -logit > hjt-logi - tietokoneen rekisterissä virus??
Näytä aiheet
 
Keskustelualueet
Keskustelualueet
hjt-logi - Tietokoneen rekisterissä virus??
  Siirry:
 
Kirjoittaja Viesti
_juho_
Newbie
_ 		5. heinäkuuta 2009 @ 20:16 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Elikkäs ongelma alkoi tuossa pari viikkoa sitten:En päässyt internetiin ja syynä oli se että xp jumitti verkko-osoitteen noutamiseen.Tässä vaiheessa en epäillyt vielä virusta mutta sitten alkoi tapahtua muutakin mm. seuraavaa

- Tietoturvakeskus oli otettu pois päältä kokonaan
- Windows alkoi sulkemaan ohjelmiaan (resurssienhallinta,windows update) itsestään
- En päässyt minnekkään virustorjuntaa käsittelevälle sivustolle (virustorjunta.net,normanin sivut yms. kaikki virustorjuntaan liittyvät sivut) Lisäksi en päässyt windows/microsoft updateen
- En pystynyt päivittämään virustorjuntaa.

Kun kaikki alkoi käydä sietämättömäksi alustin kiintolevyni ja asensin uudestaan windowsin.Heti asennuksen jälkeen sama tahti jatkui: tietoturvakeskus katosi hetken päästä päältä, en päässyt mihinkään windows updateen/virustorjuntasivuille.
Epäilen että win32 tyyppinen virus olisi tunkeutunut järjestelmärekisteriin,koska se olisi kadonnut aika varmasti siinä vaiheessa kun alustin kiintolevyn.
Pääsin ainoastaan vikasietotilassa internettiin ja hyvin tuskaisesti.
Olisiko hjt-logistani apua?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:01:31, on 5.7.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\reader_s.exe
C:\WINDOWS.0\system32\10.tmp
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\Program Files\Norman\Npm\Bin\niu.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\wpabaln.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Norman ZANDA] "C:\Program Files\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKLM\..\Run: [services] C:\WINDOWS.0\services.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS.0\System32\reader_s.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1246621226484
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupd...b?1246621391671
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: ,C:\WINDOWS.0\TEMP\103187354mxx.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS.0\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Program Files\Norman\Npm\Bin\Elogsvc.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\Program Files\Norman\Npm\Bin\Njeeves.exe
O23 - Service: Norman ZANDA - Norman ASA - C:\Program Files\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Program Files\Norman\Ngs\Bin\Nprosec.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Program Files\Norman\Nse\Bin\NSESVC.EXE
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Program Files\Norman\Nvc\Bin\nvcoas.exe
O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Program Files\Norman\npm\bin\nvoy.exe
O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA - C:\Program Files\Norman\Npm\Bin\scheduler.exe
O23 - Service: sopidkc Service (sopidkc) - NewYork Lt - C:\WINDOWS.0\system32\sopidkc.exe
[ + lainaa]
79atanos
Senior Member

3 tuotearviota
_ 		5. heinäkuuta 2009 @ 23:44 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
C:\WINDOWS.0\System32\reader_s.exe

Löytyy myös automaattisesti käynnistyvien ohjelmien riveistä:

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS.0\System32\reader_s.exe

Tuo on Virut. Joudut vielä kerran vetämään kaikki kiintolevyt sileiksi ja asentaman Winukan täydellisesti uudelleen, muuta keinoa ei ole.

Ja älä missään tapauksessa kytke tietokonetta nettiin ennen kuin olet varmistanut Winukan palomuurin olevan päällä! Tämän jälkeen hae joku palomuuri ja virustorjunta, ja päivitä järjestelmäsi tappiinsa asti. Asenna vasta sen jälkeen loput ohjelmat.

Ja mikäli olet jossain vaiheessa tuolla saastuneella koneella ottanut varmuuskopioita levykkeille/tikuille, niin älä vaan palauta niitä takaisin koneelle!

Tuossa logissasi on näköjään parikin virustorjuntaa päällekkäin, Norman ja AVG. Normannista päätellen se on tullut koneen mukana? Jos se siis sisältyy Winukan asennukseen, niin onko siinä palomuuri?, Jos ei ole, niin käytä väliaikaisesti sitä Winukan muuria.
[ + lainaa]
GA B85M D3H | E3-1230V3 | True Spirit 120 M BW Rev.A | Asus R9 270X DCII TOP | SF-600P14XE-PRO | 8GB RAM | PNY 120GB SSD | WDC WD10EZEX | Fractal Define Mini | Win7 64bit Pro |

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 6. heinäkuuta 2009 @ 00:34
kalminen
AfterDawn Addict
_ 		6. heinäkuuta 2009 @ 13:29 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lisäystä Atanoksen ohjeeseen Joka oli aivan oikein tulkittu.

Kaikilta levyasemilta voit poimia tiedostoja talteen =>

Exe-tiedostojen lisäksi .scr. and .html .htm .asp .php .exe
-tiedostoja ei saa varmuuskopioida.

Kun asennat Winukan uusiksi.
Älä tee päälle asennusta niinkuin tuossa edellisessä vaan
Poista osiot kaikki ja luo ne uudelleen mihin sitten asennat uuden.

.
[ + lainaa]
(:)
Mainos
_ 		__
 
_
_juho_
Newbie
_ 		6. heinäkuuta 2009 @ 19:52 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Kiitos kummallekkin! nyt rupesi pelittämään =)
Virukseksi paljastui siis w32/virut niminen virus.
Oireet sopivat siihen.
Normanin diagnoosi virutista:
http://www.norman.com/security_center/vi...rchive/69284/fi
[ + lainaa]

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 7. heinäkuuta 2009 @ 14:51
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat - hijackthis -logit > hjt-logi - tietokoneen rekisterissä virus??
 

Apua ongelmiin: AfterDawnin keskustelualueet | AfterDawnin Vastaukset
Uutiset: IT-alan uutiset | Uutisia puhelimista
Musiikkia: MP3Lizard.com
Tuotearviot: Laitevertailu | Vertaa puhelimia | Vertaa kännykkäliittymiä
Pelit: Pelitiedostot, pelidemot ja trailerit
Ohjelmat: download.fi | AfterDawnin ohjelma-alueet
International: AfterDawn in English | Software downloads | Free, legal MP3s | AfterDawn på svenska
RSS -syötteet: AfterDawnin uutiset | Uusimmat ohjelmapäivitykset | Keskustelualueiden viestit
Tietoja: Tietoa AfterDawn Oy:stä | Mainosta sivuillamme | Sivuston käyttöehdot ja tietoja yksityisyydensuojasta
Ota yhteyttä: Lähetä palautetta | Ota yhteyttä mainosmyyntiimme
 
  © 1999-2025 AfterDawn Oy