|
Trojan-Downloader.win32.agent.auip ja Trojan-Clicker.Win32.Agen.ful
|
|
|
relevant
Junior Member
|
18. joulukuuta 2008 @ 13:15 |
Linkki tähän viestiin
|
|
En asentanut palautuskonsolia varmaankaan. Tai sitten asensin jo toissapäivänä, en muista. Haittaakos se sitten?
C:\Documents and settings\Tomppa\Local Settings\temp löytyy myös tuollainen kuin hbjm2pkc.exe, jonka F-Secure ilmottaa virukseksi, voi diilata sen, mutta tulee taas kohta takaisin... Se on siis Trojan-Downloader.Win32.Agent.auip.
|
|
relevant
Junior Member
|
18. joulukuuta 2008 @ 13:32 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Hujo:
ei muuta kuin klikaat sitä älä asenna palautuskonsolia
Joo tois toissapäivänä olin sitä asentamassa, klikkasin kyllä, sitte en tienny mitä se teki, ainaki löi koneen kivasti jumiin ja boottasin sitte, seuraavalla kerralla ei varoittanu siitä että onko se asennettu vai ei.
|
|
Hujo
Suspended permanently
|
18. joulukuuta 2008 @ 14:48 |
Linkki tähän viestiin
|
Voiko tietsikka koskaan toimia?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 18. joulukuuta 2008 @ 14:50
|
|
relevant
Junior Member
|
18. joulukuuta 2008 @ 16:25 |
Linkki tähän viestiin
|
|
Ajoin. Niin mitäs ton Combofixin kanssa?
|
|
Hujo
Suspended permanently
|
18. joulukuuta 2008 @ 16:30 |
Linkki tähän viestiin
|
|
mitäs se oikeen touhuu ..
eli kun se on työpöydällä tuplalikkaa sitä
siten tulee taulu niin kyllä mutta toisessa puhutaan
palautuskonsoolin asetamisesta niin klikkaa ei
Voiko tietsikka koskaan toimia?
|
|
relevant
Junior Member
|
18. joulukuuta 2008 @ 16:34 |
Linkki tähän viestiin
|
Joo eli oon varmaan tuon palautuskonsolin asentanu sillon kun ekaa kertaa tuota pistin käyntiin.
Lainaus, alkuperäisen viestin kirjoitti relevant:
Joo tois toissapäivänä olin sitä asentamassa, klikkasin kyllä, sitte en tienny mitä se teki, ainaki löi koneen kivasti jumiin ja boottasin sitte, seuraavalla kerralla ei varoittanu siitä että onko se asennettu vai ei.
Eli haittaako se nyt jos se palautuskonsoli on asennettu? Kaippa tuon jotenki pois saapi jos se haittaa?
|
|
Hujo
Suspended permanently
|
18. joulukuuta 2008 @ 16:42 |
Linkki tähän viestiin
|
|
niin kun samutat ja käynnistät tuleeko mustassa osassa ylimääränen juttu valkosella txt
Voiko tietsikka koskaan toimia?
|
|
relevant
Junior Member
|
18. joulukuuta 2008 @ 16:56 |
Linkki tähän viestiin
|
|
Juu ei taida olla palautuskonsolia asennettuna. Mitäs sitten?
|
|
Hujo
Suspended permanently
|
18. joulukuuta 2008 @ 16:59 |
Linkki tähän viestiin
|
hyvä sitten että ei tuu
Lataa NoLop työpöydällesi yhdestä seuraavista linkeistä...
Linkki1
Linkki2
Linkki3
1.Sulje kaikki ohjelmat, koska tämä vaihe vaatii uudelleenkäynnistyksen
2.Tuplaklikkaa NoLop.exe ajaaksesi sen
3.Klikkaa nappulaa "Search and Destroy"
<<Tietokoneesi skannataan saastuneiden tiedostojen osalta>>
4, Kun skannaus on valmis, sinua pyydetään käynnistämään kone uudestaan, jos infektio löytyy. Klikkaa OK
5. Klikkaa "REBOOT"-painiketta.
6. NoLopin pitäisi antaa viesti. Jos ei, tuplaklikkaa ohjelmaa ja se valmistuu. Lähetä C:\NoLop.log-tiedoston sisältö uuden HijackThis-lokin kera.
-- Jos saat seuraavan virheen, "mscomctl.ocx or one of its dependencies are not correctly registered," lataa mscomctl.ocx ja tallenna se system32-hakemistoosi (yleensä c:\Windows\system32). Tämän jälkeen aja ohjelma uudestaan.
Voiko tietsikka koskaan toimia?
|
|
relevant
Junior Member
|
18. joulukuuta 2008 @ 17:17 |
Linkki tähän viestiin
|
|
Ei löytänyt infektioita. Pitäisiköhän odottaa, että toi F-Secure ilmottaa siitä viruksesta, ja sitten olla F-Securella tekemättä mitään ja skannata tuolla NoLopilla uudestaan?
|
|
relevant
Junior Member
|
18. joulukuuta 2008 @ 20:32 |
Linkki tähän viestiin
|
|
Taas tuplaposti, mutta tuleepahan upittua vähän.
F-Secure taas ilmotti kolmesta viruksesta kun oli 1,5h poissa, Anti-Malware skannas ja ei löytänyt mitään. Mitäs tässä vielä vois tehdä?
|
|
relevant
Junior Member
|
19. joulukuuta 2008 @ 18:13 |
Linkki tähän viestiin
|
|
Sama ongelma vieläkin, eikö kukaan osaa enään helpata?
|
|
relevant
Junior Member
|
19. joulukuuta 2008 @ 20:31 |
Linkki tähän viestiin
|
Combifixi ei vieläkään toimi, sanoo vieläkin, että FINDSTER: Ei voi avata tiedostoa temp01
Tällänen logi tuli kuitenkin.
------------------------
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - decoding strings to put into memory
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID enter
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID exit
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() exit
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 1
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): enum procs to inj returned 48
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - decoding strings to put into memory
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID enter
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID exit
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() exit
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 1
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): enum procs to inj returned 52
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - decoding strings to put into memory
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID enter
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID exit
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() exit
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 1
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): enum procs to inj returned 49
2996 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
2996 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
2996 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
5676 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
5676 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
5676 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
4000 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
4000 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
4000 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
5776 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
5776 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
5776 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
6564 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
6564 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
6564 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
8052 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
8052 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
8052 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
|
|
Hujo
Suspended permanently
|
20. joulukuuta 2008 @ 01:17 |
Linkki tähän viestiin
|
C:\WINDOWS\system32\rJRXbPNW.0ll
C:\Documents and settings\Tomppa\Local Settings\temp löytyy myös tuollainen kuin hbjm2pkc.exe
Poista vikasiedossa
===============
Kirjoita suorita luukkuun
ComboFix /u
Klikkaa ok
=================
Malwarebytes' Anti-Malware tyhjennä karanteeni
Poista roskat
================
Lataa OTMoveIt
OTMoveIt ja tallenna se työpöydällesi.
Tuplaklikkaa OTMoveIt.exe.
Klikkaa CleanUp!.
Valitse Yes kun kysytään "Begin cleanup Process?".
Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse.
HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt yrittää päästä nettin, niin anna sen päästä sinne.
==============
Lataa http://www.ccleaner.com/download/builds.aspx Ccleaner
CCleaner v 2.14.750 Standard Build, ÄLÄ aseenna Yahoo toolbaria!
Asennuksessa poista merkki/rasti kohdasta "asenna Yahoo! toolbar/työkalupalkki".
Asennuksen jälkeen aukaise CCleaner
Valitse vasemmalta pystyrivistä Options
Valitse viereisestä pystyrivistä Settings
Language kohtaan valitse Suomi
Puhdistaja
Valitse vasemmalta pystyrivistä Puhdistaja
Paina alhaalta Tutki
Nyt CCleaner tutkii, mitä voidaan poistaa (tempit, cookiessit jne.).
Kun tutkiminen on valmis, paina Aja CCleaner
Nyt CCleaner poistaa löydetyt tempit, cookiessit jne.
Rekisterin virheiden korjaus
Valitse vasemmalta pystyrivistä Rekisteri
Paina alhaalta Etsi rekisterin virheitä
Kun etsintä on valmis ja olet varma, että haluat korjata ne rivit jotka ovat merkattuja, niin paina Korjaa valitut rekisterin virheet
Sinulta kysytään "haluatko varmuuskopioida muutokset rekisteriin", paina Kyllä
Tallenna varmuuskopio vaikka "Omat tiedostot" -kansioon.
Klikkaa uudesta aukeavasta ikkunasta Korjaa kaikki valitut virheet
Saat vielä varmistus kysymyksen, paina Ok
Kun virheet on korjattu, paina Sulje
Nyt voit sulkea CCleanerin painamalla oikealta ylhäältä punaista rastia
Voiko tietsikka koskaan toimia?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 20. joulukuuta 2008 @ 01:21
|
|
relevant
Junior Member
|
20. joulukuuta 2008 @ 19:46 |
Linkki tähän viestiin
|
|
Tuommoisia tiedostoja ei enään löytynyt, F-Secure kerkesi ne jo eristää / poistaa. Seuraavan kerran kun ilmestyvät, otan nimen talteen ja poistan vikasietotilassa, jos tulevat.
===
Combofix on poistettu
===
===
OTMoveITin ajoin ja se poisti itsensä
===
===
CCleanerin ajoin.
===
|
|
Hujo
Suspended permanently
|
20. joulukuuta 2008 @ 19:58 |
Linkki tähän viestiin
|
|
eiköhän sillä vuoden pärjää taas ;)
Voiko tietsikka koskaan toimia?
|
|
relevant
Junior Member
|
20. joulukuuta 2008 @ 21:16 |
Linkki tähän viestiin
|
|
Ei pärjää, herjaa vieläkin... Jopas tämä nyt on sitkeä. C:/Documents and Settings/Tomppa/Local Settings/temp löytyy svxtpb4h.exe, Trojan-Downloader.Win32.Agent.auip ja F-Secure näyttää vielä kaatuvan, kun sitä poistaa. Mitähän tässä vielä voisi tehdä, ei kyllä formatoidakaan viitsis.
|
|
Hujo
Suspended permanently
|
20. joulukuuta 2008 @ 21:30 |
Linkki tähän viestiin
|
1.Lataa Combofix.exe työpöydällesi yhdestä linkistä:
Combofix1
Combofix2
2. Tuplaklikkaa Combofix.exe tiedostoa ja seuraa ohjeistuksia.
Älä asenna Palautuskonsolia Recovery Console Klikkaa EI
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
Onko se näin :
C:\Documents and Settings\Tomppa\Local Settings\temp\svxtpb4h.exe
Voiko tietsikka koskaan toimia?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 20. joulukuuta 2008 @ 21:45
|
|
relevant
Junior Member
|
20. joulukuuta 2008 @ 21:55 |
Linkki tähän viestiin
|
|
Jep, tuolla kansiossa ovat, tosin aina kun sen F-Securella heitän viduun niin tulee takasin sitten eri nimellä. Että katson ku tuo ens kerran sen huomaa niin otan tuon nimen talteen. Saattaa tosin olla tuo/nuo virus system32 kansiossa.
Saas nähä, toimaako toi Combofixi, vai herjaako sitä samaa erroria, "FINDSTER: Ei voi avata tiedostoa temp01" Mistäs se johtuu?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 20. joulukuuta 2008 @ 21:56
|
|
Hujo
Suspended permanently
|
20. joulukuuta 2008 @ 22:38 |
Linkki tähän viestiin
|
* Lataa random's system information tool (RSIT) by random/random random ja tallenna se työpöydälle
* Tuplaklikkaa RSIT.exeä ajaaksesi RSITin.
* Klikkaa Continue.
* Kun RSIT on valmis, kaksi lokia avautuu muistioon. Lähetä sekä log.txt:n (<-avautuu suurennettuna) että info.txt:n (<-avautuu pienennettynä) sisältö seuraavassa viestissäsi.
Voiko tietsikka koskaan toimia?
|
|
relevant
Junior Member
|
21. joulukuuta 2008 @ 13:28 |
Linkki tähän viestiin
|
RSIT herjaa jotain AutoIt Error Line -1: Error: Subscript used with non-Array variable.
Tuottaa kuitenki log.txt:n.
Logfile of random's system information tool 1.05 (written by random/random)
Run by Tomppa at 2008-12-21 13:25:38
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 5 GB (24%) free of 20 GB
Total RAM: 2046 MB (62% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:25, on 2008-12-21
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
E:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
E:\Program Files\F-Secure\Common\FSMA32.EXE
E:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
E:\Program Files\F-Secure\Common\FSMB32.EXE
e:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Program Files\F-Secure\Common\FCH32.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
e:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
E:\Program Files\F-Secure\Anti-Virus\fsqh.exe
E:\Program Files\F-Secure\Common\FAMEH32.EXE
E:\Program Files\F-Secure\FSAUA\program\fsaua.exe
E:\Program Files\F-Secure\Anti-Virus\fssm32.exe
E:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
E:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
E:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\STINGE~1\wh_exec.exe
C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Program Files\mIRC\mirc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
E:\Program Files\Winamp\winamp.exe
E:\Program Files\Last.fm\LastFM.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\F-Secure\FSGUI\fsavgui.exe
C:\Documents and Settings\Tomppa\Työpöytä\RSIT.exe
C:\Program Files\trend micro\Tomppa.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "E:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "E:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [WheelMouse] C:\STINGE~1\wh_exec.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "E:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...nt.cab56907.cab
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - E:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - E:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - E:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - E:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - E:\Program Files\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - e:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: UAZ Racing 4x4 Drivers Auto Removal (pr2anrqc) (pr2anrqc) - Cenega Publishing - C:\WINDOWS\system32\pr2anrqc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - e:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
--
End of file - 8584 bytes
======Scheduled tasks folder======
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\wrSpySweeperTrialSweep.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader -linkkiavustaja - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll [2008-08-14 1562448]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre6\bin\ssv.dll [2008-12-17 320920]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2008-12-17 34816]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2008-12-17 73728]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-01-30 16116224]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"F-Secure Manager"=E:\Program Files\F-Secure\Common\FSM32.EXE [2008-02-08 172081]
"F-Secure TNB"=E:\Program Files\F-Secure\FSGUI\TNBUtil.exe [2008-02-08 724992]
"itype"=C:\Program Files\Microsoft IntelliType Pro\itype.exe [2006-07-08 576320]
"WheelMouse"=C:\STINGE~1\wh_exec.exe [2007-11-10 98304]
"Launch LGDCore"=C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe [2006-07-23 1126400]
"Launch LCDMon"=C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe []
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-12-02 13680640]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-12-02 86016]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WRNotifier]
C:\WINDOWS\system32\WRLogonNTF.dll [2007-07-19 219448]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WebrootSpySweeperService]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WebrootSpySweeperService]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer][img][/img]
"NoDriveTypeAutoRun"=323
"NoDrives"=0
"NoDriveAutoRun"=67108863
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"E:\Program Files\mIRC\mirc.exe"="E:\Program Files\mIRC\mirc.exe:*:Enabled:mIRC"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"E:\Program Files\Xfire\xfire.exe"="E:\Program Files\Xfire\xfire.exe:*:Enabled:Xfire"
"E:\Program Files\Hamachi\hamachi.exe"="E:\Program Files\Hamachi\hamachi.exe:*:Enabled:Hamachi Client"
"E:\Program Files\Mozilla Firefox\firefox.exe"="E:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"G:\Games\Codemasters\GRID\GRID.exe"="G:\Games\Codemasters\GRID\GRID.exe:*:Enabled:GRID"
"E:\Program Files\uTorrent\uTorrent.exe"="E:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"G:\Games\CS 1.6 Standalone\hl.exe"="G:\Games\CS 1.6 Standalone\hl.exe:*:Enabled:Half-Life Launcher"
"G:\Games\Counter-Strike Source\hl2.exe"="G:\Games\Counter-Strike Source\hl2.exe:*:Enabled:hl2"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"G:\Games\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="G:\Games\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "
"I:\Exodus From The Earth\bin\efte.exe"="I:\Exodus From The Earth\bin\efte.exe:*:Enabled:Exodus From Earth"
"I:\Ubisoft\FC2\Far Cry 2\bin\FarCry2.exe"="I:\Ubisoft\FC2\Far Cry 2\bin\FarCry2.exe:*:Enabled:Far Cry 2"
"I:\Ubisoft\FC2\Far Cry 2\bin\FC2Launcher.exe"="I:\Ubisoft\FC2\Far Cry 2\bin\FC2Launcher.exe:*:Enabled:Far Cry 2 Updater"
"I:\Ubisoft\FC2\Far Cry 2\bin\FC2Editor.exe"="I:\Ubisoft\FC2\Far Cry 2\bin\FC2Editor.exe:*:Enabled:Editor"
"I:\Rockstar Games\Grand Theft Auto IV\Rockstar Games Social Club\RGSCLauncher.exe"="I:\Rockstar Games\Grand Theft Auto IV\Rockstar Games Social Club\RGSCLauncher.exe:*:Enabled:Rockstar Games Social Club"
"I:\Rockstar Games\4\Grand Theft Auto IV\LaunchGTAIV.exe"="I:\Rockstar Games\4\Grand Theft Auto IV\LaunchGTAIV.exe:*:Enabled:Grand Theft Auto IV"
"E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe"="E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe:*:Enabled:SpySweeper"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81988135-476a-11dd-8a75-00508db69605}]
shell\AutoRun\command - J:\LaunchU3.exe -a
|
|
Hujo
Suspended permanently
|
21. joulukuuta 2008 @ 20:48 |
Linkki tähän viestiin
|
|
Löytyykö myös tämä loki info.txt
Voiko tietsikka koskaan toimia?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 21. joulukuuta 2008 @ 21:19
|
|
relevant
Junior Member
|
21. joulukuuta 2008 @ 22:08 |
Linkki tähän viestiin
|
|
Ei löydy... Kun siis se herjaa jotain tuossa Listin Recently created files/folders kohdassa tuota AutoIT Error Line -1: Error: Subscripted used with non-Array variable...
Voinko tuolla Combofixillä jotenkin poistaa nuo tiedostot, kun tulevat tuonne temp kansioon?
|
|
Hujo
Suspended permanently
|
21. joulukuuta 2008 @ 22:11 |
Linkki tähän viestiin
|
|
Älä käytä nyt oleenkaan Combofixsiä
Tutkailen nyt mitä on noita lokeja tullut.
Voiko tietsikka koskaan toimia?
|
|
Mainos
|
|
|
|
relevant
Junior Member
|
21. joulukuuta 2008 @ 22:15 |
Linkki tähän viestiin
|
|
Okei.
Tarviiko laittaa uusia lokeja?
|
