|
Miten poistaa kovin agressiivinen virus tai troijalainen?
|
|
AfterDawn Addict
|
15. maaliskuuta 2009 @ 21:32 |
Linkki tähän viestiin
|
|
Ei tarvita.
Combofix lataa itse palautuskonsolin verkosta kunhan tiedät onko Home vai Pro-versio XP:stä. Palautuskonsolin käyttöön ei tarvita CD:tä.
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 21:47 |
Linkki tähän viestiin
|
Taas hätäilin! XP cd levy löytyikin! Palautuskonsoli nyt asennettu!
|
AfterDawn Addict
|
15. maaliskuuta 2009 @ 21:50 |
Linkki tähän viestiin
|
|
Hyvä :)
Sitten vaan jatka combofixin ajolla.
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 21:59 |
Linkki tähän viestiin
|
|
Jos jotain menee pieleen, niin kait ulkoinen kovalevy on kuitenkin turvassa?
|
AfterDawn Addict
|
15. maaliskuuta 2009 @ 22:02 |
Linkki tähän viestiin
|
|
Jep, ei sille mitään tapahdu eikä koneellekaan pitäisi :)
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 22:20 |
Linkki tähän viestiin
|
En saa AVG Anti-Virus Free virussuojaa pois. Yritän poistaa sen (kun en tiedä miten sen saisi pois päältäkään), mutta ihan lopussa se antaa Errorin ja ei suostu poistumaan. Mitä teen?
|
|
warwas
Suspended permanently
|
15. maaliskuuta 2009 @ 22:43 |
Linkki tähän viestiin
|
|
Hiiren oikealla AVG:n kuvakkeessa jos DISABLE...
Mutta se ei ole maailman tärkein asia kunhan palautuskonsolin asennat.
|
|
Allu95
Newbie
1 tuotearvio
|
15. maaliskuuta 2009 @ 22:45 |
Linkki tähän viestiin
|
|
Lataa spy bot. Se on hyvä ohjelma.
|
|
warwas
Suspended permanently
|
15. maaliskuuta 2009 @ 22:55 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Allu95:
Lataa spy bot. Se on hyvä ohjelma.
Ei se nyt auta eikä edes ole erikoisen hyvä...
|
Senior Member
3 tuotearviota
|
15. maaliskuuta 2009 @ 22:56 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Allu95:
Lataa spy bot. Se on hyvä ohjelma.
XD
Juuei, ei todellakaan ole ;) ikiaikainen wanhus jolla ei enää tee juurikaan yhtään mitään :)
Ja jollain SpyBoteilla tai AdAwareilla ei tällaisessa tapauksessa ole mitään virkaa.
GA B85M D3H | E3-1230V3 | True Spirit 120 M BW Rev.A | Asus R9 270X DCII TOP | SF-600P14XE-PRO | 8GB RAM | PNY 120GB SSD | WDC WD10EZEX | Fractal Define Mini | Win7 64bit Pro |
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 23:11 |
Linkki tähän viestiin
|
ComboFix ajettu läpi ja tässä loki. Mikä on seuraava askel?
***********************
ComboFix 09-03-14.02 - winner 2009-03-15 22:25:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1035.18.1023.719 [GMT 2:00]
Sijainti: c:\documents and settings\winner\Työpöytä\ComboFix.exe
* Uusi palautuspiste luotu
.
(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\50hl8p3u.exe.a_a
c:\windows\system32\init32.exe
.
((((((((((((((((((((((((((((((((((((((( Ajurit/Palvelut )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ISODRIVE
-------\Service_ISODrive
((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-02-15 to 2009-03-15 )))))))))))))))))
.
2009-03-15 18:21 . 2009-03-15 18:21 <KANSIO> d-------- C:\fsaua.data
2009-03-15 17:59 . 2009-03-15 17:59 <KANSIO> d-------- c:\program files\Trend Micro
2009-03-15 11:23 . 2009-03-15 11:23 579,072 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-03-15 11:21 . 2009-03-15 11:21 <KANSIO> d-------- c:\windows\ERUNT
2009-03-15 08:44 . 2009-03-15 08:44 118 --a------ c:\windows\system32\MRT.INI
2009-03-09 18:58 . 2009-03-09 18:58 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-09 18:58 . 2009-03-09 18:58 1,409 --a------ c:\windows\QTFont.for
.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-15 20:22 --------- d-----w c:\documents and settings\All Users\Application Data\Avg8
2009-03-12 09:24 --------- d-----w c:\documents and settings\winner\Application Data\LimeWire
2008-08-30 14:41 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
2008-08-30 14:41 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Sivuhistoria\History.IE5\index.dat
2008-08-30 14:41 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Sivuhistoria\History.IE5\MSHist012008083020080831\index.dat
2008-08-30 14:41 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
------- Sigcheck -------
2004-09-15 14:00 24576 6484e1ecd8be4011d74fe68a761798fd c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 18:12 26112 3a5773b946c1b4f0db1b48a5d8e1d562 c:\windows\ServicePackFiles\i386\userinit.exe
2009-03-13 20:33 33280 3183d1d03b649775ccf7590d96ca0af4 c:\windows\system32\userinit.exe
.
(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2008-03-20 1267040]
[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-02 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-10-29 4620288]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-10-29 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-10-29 286720]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-01 136600]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-12-22 1862144]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-02-21 366400]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352]
"nwiz"="nwiz.exe" [2004-10-29 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil9f.exe" [2008-03-25 218496]
c:\documents and settings\All Users\K?ynnist?-valikko\Ohjelmat\K?ynnistys\
Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-11-29 113664]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-484763869-492894223-725345543-1132\Scripts\Logon\0\0]
"Script"=\\espoonkm.espoonkeittiomaailma.com\SysVol\espoonkm.espoonkeittiomaailma.com\scripts\logon2.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-484763869-492894223-725345543-1132\Scripts\Logon\0\1]
"Script"=c:\winnt\SYSVOL\sysvol\espoonkm.espoonkeittiomaailma.com\scripts\logon.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-484763869-492894223-725345543-1149\Scripts\Logon\0\0]
"Script"=\\espoonkm.espoonkeittiomaailma.com\SysVol\espoonkm.espoonkeittiomaailma.com\scripts\logon2.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-484763869-492894223-725345543-1149\Scripts\Logon\0\1]
"Script"=c:\winnt\SYSVOL\sysvol\espoonkm.espoonkeittiomaailma.com\scripts\logon.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-484763869-492894223-725345543-1151\Scripts\Logon\0\0]
"Script"=\\espoonkm.espoonkeittiomaailma.com\SysVol\espoonkm.espoonkeittiomaailma.com\scripts\logon2.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-484763869-492894223-725345543-1151\Scripts\Logon\0\1]
"Script"=c:\winnt\SYSVOL\sysvol\espoonkm.espoonkeittiomaailma.com\scripts\logon.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-484763869-492894223-725345543-1622\Scripts\Logon\0\0]
"Script"=\\espoonkm.espoonkeittiomaailma.com\SysVol\espoonkm.espoonkeittiomaailma.com\scripts\logon2.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-484763869-492894223-725345543-1622\Scripts\Logon\0\1]
"Script"=c:\winnt\SYSVOL\sysvol\espoonkm.espoonkeittiomaailma.com\scripts\logon.cmd
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\WS_FTP\\WS_FTP95.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12137:TCP"= 12137:TCP:BitComet 12137 TCP
"12137:UDP"= 12137:UDP:BitComet 12137 UDP
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-05-12 1287296]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\docume~1\winner\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys --> c:\docume~1\winner\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys [?]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc57c530-b013-11dc-a179-0011098ea989}]
\Shell\AutoRun\command - k:\wd_windows_tools\setup.exe
.
'Ajoitetut tehtävät'-kansion sisältö
2009-03-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42]
2009-03-14 c:\windows\Tasks\At1.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At10.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At11.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At12.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At13.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At14.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At15.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-13 c:\windows\Tasks\At16.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At17.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At18.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-13 c:\windows\Tasks\At19.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-14 c:\windows\Tasks\At2.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At20.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At21.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At22.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\At23.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-14 c:\windows\Tasks\At24.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-13 c:\windows\Tasks\At3.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-13 c:\windows\Tasks\At4.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-13 c:\windows\Tasks\At5.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-13 c:\windows\Tasks\At6.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-13 c:\windows\Tasks\At7.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-13 c:\windows\Tasks\At8.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-13 c:\windows\Tasks\At9.job
- c:\windows\system32\50hl8p3u.exe []
2009-03-15 c:\windows\Tasks\User_Feed_Synchronization-{890AD39B-77E2-4D21-996B-D36D5D50EE0D}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]
.
- - - - POISTETUT JÄMÄRIVIT - - - -
HKLM-Run-ISUSPM - c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe
HKLM-Run-CmPCIaudio - cmicnfg3.cpl
HKLM-Run-Cmaudio - cmicnfg.cpl
.
------- Täydentävä tarkistus -------
.
uStart Page = hxxp://www.iltasanomat.fi/
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Vie Microsoft E&xceliin - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: visiotili.com\citrix
DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://fika-web.ifolor.net/OrderingGeneral/LowRes/app_support/ActiveX/IfolorUploader_fika.cab
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-15 22:56:48
Windows 5.1.2600 Service Pack 3 NTFS
tarkistaa piilotettuja prosesseja ...
tarkistaa piilotettuja käynnistysarvoja ...
tarkistaa piilotettuja tiedostoja ...
tarkistus on valmis
piilotetut tiedostot: 0
**************************************************************************
.
--------------------- LUKITUT REKISTERIAVAIMET ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\???|’’’’"??|ž»Ów�*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"
.
------------------------ Muut prosessit ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Valmistumisajankohta: 2009-03-15 22:58:48 - kone käynnistettiin uudelleen
ComboFix-quarantined-files.txt 2009-03-15 20:58:44
Ennen ajoa: 154 712 010 752 tavua vapaana
Ajon jälkeen: 155,727,040,512 tavua vapaana
205 --- E O F --- 2009-03-15 06:44:46
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 23:15 |
Linkki tähän viestiin
|
... ja Hijack this loki, jonka sain ajettua ihan normaalitilassa. Jei!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:12:17, on 15.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\AVG\AVG8\aAvgApi.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iltasanomat.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.espoonkeittiomaailma.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008...toUploader5.cab
O16 - DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} (IfolorUploader Control) - http://fika-web.ifolor.net/OrderingGener...loader_fika.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5...b?1110101021193
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD5/JSCDL/jre/6...ows-i586-jc.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
--
End of file - 8830 bytes
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 23:51 |
Linkki tähän viestiin
|
|
... Edelleen samat pop up:t juhlii ruudulla :-/
|
|
warwas
Suspended permanently
|
16. maaliskuuta 2009 @ 01:34 |
Linkki tähän viestiin
|
|
Kemisti huomenna vastaa, hänelläkin on elämä :D
|
AfterDawn Addict
|
16. maaliskuuta 2009 @ 06:57 |
Linkki tähän viestiin
|
Seuraavaksi tarkista nämä tiedostot:
c:\windows\$NtServicePackUninstall$\userinit.exe
c:\windows\ServicePackFiles\i386\userinit.exe
c:\windows\system32\userinit.exe
joko http;//virusscan.jotti.org tai http://www.virustotal.com ja lähetä tulokset tänne.
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Sasu76
Junior Member
|
16. maaliskuuta 2009 @ 10:47 |
Linkki tähän viestiin
|
No niin...
c:\windows\$NtServicePackUninstall$\userinit.exe
**************
Scan taken on 16 Mar 2009 08:32:29 (GMT)
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Ikarus Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Quick Heal Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing
***************
c:\windows\ServicePackFiles\i386\userinit.exe
*******************
Scan taken on 16 Mar 2009 08:40:29 (GMT)
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Ikarus Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Quick Heal Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing
**************************
c:\windows\system32\userinit.exe
***************
Scan taken on 16 Mar 2009 08:43:30 (GMT)
A-Squared Found Trojan-Dropper.Agent!IK
AntiVir Found TR/Dldr.Agent.bkyp
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Trojan-Downloader.Win32.Agent.bkyp
Ikarus Found Trojan-Dropper.Agent
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.bkyp
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Quick Heal Found nothing
Sophos Antivirus Found Mal/EncPk-HJ
VirusBuster Found nothing
VBA32 Found Trojan-PSW.Pinch.34 (paranoid heuristics) (probable variant)
******************
|
AfterDawn Addict
|
16. maaliskuuta 2009 @ 11:43 |
Linkki tähän viestiin
|
|
Tarkistapa vielä tämä c:\windows\system32\dllcache\user32.dll siellä, niin varmistutaan että se on puhdas ennen kuin aletaan korvata saastunutta userinit.exeä.
Ei HjT-lokeja tms. yksityisviestillä!
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 16. maaliskuuta 2009 @ 11:43
|
|
Sasu76
Junior Member
|
16. maaliskuuta 2009 @ 11:54 |
Linkki tähän viestiin
|
En löytänyt tuota user32.dll tiedostoa dllcache kansiosta, mutta samanniminen löytyi suoraan system32:n alta. Onko sama tiedosto?
c:\windows\system32\user32.dll
********************
Scan taken on 16 Mar 2009 09:49:56 (GMT)
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Ikarus Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Quick Heal Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing
|
|
Sasu76
Junior Member
|
16. maaliskuuta 2009 @ 13:57 |
Linkki tähän viestiin
|
|
Malwarebytes' Anti-Malware alkoi toimimaan, joten ajan tietsikan sillä läpi... laitan tänne sitten siitä tulevan lokin...
|
|
BlackPawn
Member
2 tuotearviota
|
16. maaliskuuta 2009 @ 14:15 |
Linkki tähän viestiin
|
|
Anteeksi offtopic, mutta ymmärsinkö oikein aikaisemmista viesteistä, että on olemassa HjT- kouluja??? Huh huh. Onko Suomessa tällaisia?
The wise man speaks because he has something to say, the fool because he has to say something.
|
|
Sasu76
Junior Member
|
16. maaliskuuta 2009 @ 14:56 |
Linkki tähän viestiin
|
|
Tässä vielä Malwarebytes' Anti-Malware loki, jos siitä on vielä jotain apua...
************
Malwarebytes' Anti-Malware 1.34
Tietokantaversio: 1854
Windows 5.1.2600 Service Pack 3
16.3.2009 14:53:59
mbam-log-2009-03-16 (14-53-50).txt
Tarkistustyyppi: Täysi tarkistus (C:\|K:\|)
Tarkistetut kohteet: 193844
Kulunut aika: 1 hour(s), 14 minute(s), 16 second(s)
Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 3
Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)
Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)
Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)
Saastuneita tiedostoja:
C:\Casino\Casino.com\_SetupCasino.exe (Adware.Casino) -> No action taken.
C:\System Volume Information\_restore{40C1D1C0-4C28-4721-A4C6-96F06392E398}\RP979\A0051575.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{40C1D1C0-4C28-4721-A4C6-96F06392E398}\RP948\A0048908.exe (Adware.Casino) -> No action taken.
|
AfterDawn Addict
|
16. maaliskuuta 2009 @ 17:08 |
Linkki tähän viestiin
|
@BlackPawn: Kyllä on sekä suomessa että ulkomailla; niitä on ollut jo vuosia. Suomen hjt-koulu on ketjussa jo mainitulla sivulla
@Sasu76:
Avaa Muistio ja kopioi/liitä quoteboxin sisältö sinne:
[QUOTE]
AtJob::
File::
c:\windows\system32\50hl8p3u.exe
FCopy::
c:\windows\ServicePackFiles\i386\userinit.exe | C:\WINDOWS\system32\userinit.exe
[/QUOTE]
Tallenna nimellä CFScript (itse asiassa combofix tunnistaa tuon vaikka tiedostopääte ei olisi
edes .txt).
Sitten raahaa CFScript ComboFix.exeen kuten alla.
Käynnistä kone uudelleen, jos niin pyydetään ja lähetä combofix.txt-tiedoston sisältö tänne uuden HJT-lokin kera.
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Sasu76
Junior Member
|
16. maaliskuuta 2009 @ 18:25 |
Linkki tähän viestiin
|
Ennen tuota olisi varmaan pitänyt sulkea palomuuri ja virustorjuntaohjelma, sillä sain varoituksen, että combofix on havainnut, että seuraavat reaaliaikasuojat ovat päällä: Avg...
Mutta nyt en saa taas tuota Avg:ta pois, koska saan taas yhden errorin juuri ennenkuin ohjelma olisi lähes poistettu ja en uskalla riskeerata, että ohjelma onkin päällä vaikka olen mukamas sulkenut sen...
|
|
Sasu76
Junior Member
|
16. maaliskuuta 2009 @ 18:28 |
Linkki tähän viestiin
|
|
Saan siis tällaisen errorin:
Local machine: installation failed
Installation:
Error: Action failed for registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: creating registry key....
Error 0x80070005
|
|
Mainos
|
|
|
AfterDawn Addict
|
16. maaliskuuta 2009 @ 18:30 |
Linkki tähän viestiin
|
Yleensä reaaliaikasuojat eivät aiheuta mahdottomia, vaikka olisivatkin päällä.
Halutessasi voit suorittaa asian vikasietotilassa.
Mikäli AVG on edelleenkin päällä vikasietotilassa, niin voit ohittaa tuon ilmoituksen.
Tuo on yleinen ilmoitus ja liittyy siihen, että ei ole oikeuksia tiettyyn avaimeen. Grisoftin foorumilta löytyy siitä asiasta ketjuja.
Ei HjT-lokeja tms. yksityisviestillä!
|
