|
HJT WinAntivirusPro 2006 tunkenut koneelle.
|
|
AfterDawn Addict
3 tuotearviota
|
5. syyskuuta 2006 @ 05:54 |
Linkki tähän viestiin
|
Näin siinä käy kun on varomaton. Kävin eräällä hämärämmällä sivulla hämäräpuuhissa ja koneelle pääsi paskiainen joka tunkee vähän väliä päätänsä ylös. Olen kokeillut tuhota sen Ewidolla ja SpyCatcherillä, mutta turhaan. Josko joku ystävälinen joka tietää miten/millä tosta pääsee eroon kertois.
kiitos jo etukäteen.
Logfile of HijackThis v1.99.1
Scan saved at 9:50:29, on 5.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe
C:\Program Files\Trillian\trillian.exe
C:\HJT\HijackThis.exe
F3 - REG:win.ini: run=
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: RivaTuner.lnk = C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe
O4 - Startup: Scheduler.lnk = C:\Program Files\SpyCatcher 2006\Scheduler daemon.exe
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1156505260241
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEC29B62-691B-43FA-9C80-C9F8B218BD4B}: NameServer = 10.0.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{AEC29B62-691B-43FA-9C80-C9F8B218BD4B}: NameServer = 10.0.0.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{AEC29B62-691B-43FA-9C80-C9F8B218BD4B}: NameServer = 10.0.0.2
O20 - AppInit_DLLs: interceptor.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Give a man a fish and you feed him for a day.
Teach a man to fish and you feed him for a lifetime.
|
AfterDawn Addict
6 tuotearviota
|
5. syyskuuta 2006 @ 20:30 |
Linkki tähän viestiin
|
Sitä saa mitä tilaa, joskus enemmänkin.
|
AfterDawn Addict
3 tuotearviota
|
6. syyskuuta 2006 @ 16:52 |
Linkki tähän viestiin
|
Logfile of HijackThis v1.99.1
Scan saved at 20:51:22, on 6.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Trillian\trillian.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HJT\HijackThis.exe
F3 - REG:win.ini: run=
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: (no name) - {5CB836D9-E4AC-4432-83D4-3A12EE892334} - C:\WINDOWS\system32\geedb.dll
O2 - BHO: (no name) - {668B1E21-4DE0-450A-AB10-121220442EA6} - C:\WINDOWS\system32\vturstt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - Startup: RivaTuner.lnk = C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1156505260241
O20 - AppInit_DLLs: interceptor.dll
O20 - Winlogon Notify: geedb - C:\WINDOWS\system32\geedb.dll
O20 - Winlogon Notify: vturstt - C:\WINDOWS\SYSTEM32\vturstt.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Mitäs hittoa noi geedb.dll ja vturstt.dll on?
Give a man a fish and you feed him for a day.
Teach a man to fish and you feed him for a lifetime.
|
AfterDawn Addict
|
6. syyskuuta 2006 @ 17:01 |
Linkki tähän viestiin
|
Vundoa, jonka poisto ei ole helppoa.
Lataa VundoFix.exe työpöydällesi.
[*]Tupla-klikkaa VundoFix.exe ajaaksesi sen.
[*]Klikkaa Scan for Vundo valintaa.
[*]Kun skannaus on valmis, klikkaa Remove Vundo valintaa.
[*]Sinulta kysytään haluatko poistaa filut - klikkaa YES.
[*]Kun olet klikannut yes, työpöytäsi tyhjenee kun se alkaa poistamaan Vundoa.
[*]Kun se on valmis, fiksi ilmoittaa käynnistäväsi koneesi uudelleen, klikkaa OK.
[*]Postita C:\vundofix.txt lokin sekä tuoreen HijackThis lokin sisältö.
Huomaa: Se on mahdollista että VundoFix löysi tiedoston jota se ei pystynyt poistamaan.
Tässä tilanteessa, VundoFix ajaa itsensä rebootissa, seuraa vain yläpuolelle olevia ohjeita alkaen kohdasta "Klikkaa Scan for Vundo valintaa." kun VundoFix ilmaantuu uudelleenkäynnistyksen yhteydessä.
Ei HjT-lokeja tms. yksityisviestillä!
|
AfterDawn Addict
3 tuotearviota
|
8. syyskuuta 2006 @ 06:38 |
Linkki tähän viestiin
|
|
Ei löytänyt VundoFix mitään...olen varmaan onnistunut jotain poistamaan HJT:llä, Ewidolla tai Spycatherillä. No pitää kattoa josko noista pääsis eroon jollain muulla keinolla.
EDIT:
Lueskelin tosta Vundosta juttua ja päätin kokeilla delleen sen poistoa. Imuin VundoFix ohjelman uusiksi ja lisäksi Sysinternals Process Explorerin. Huomasin myös, että Toolbar888 oli päässyt asentumaan Add/Remove programsin mukaan ja poistin sen. Ajoin VundoFixin ja eikös se poistanut paskiaisen koneelta. Varmistin vielä Prosessisoftalla, että outoja prosesseja ei ollut bootin jälkeen. Kone puhdas.
Kiitos avusta :)
Give a man a fish and you feed him for a day.
Teach a man to fish and you feed him for a lifetime.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 8. syyskuuta 2006 @ 07:13
|
AfterDawn Addict
|
8. syyskuuta 2006 @ 15:15 |
Linkki tähän viestiin
|
Uusi HjT-loki olis silti kiva nähdä :)
Ei HjT-lokeja tms. yksityisviestillä!
|
AfterDawn Addict
3 tuotearviota
|
8. syyskuuta 2006 @ 16:01 |
Linkki tähän viestiin
|
Joo oikeassa olet. Paskiainen ei näyttäytynyt vähään aikaan ja nyt se tuppas takas. Ajoin VundoFixin ja nyt lähti ne hämärät DLL filut bootin yhteydessä.
Vundo logi
Lainaus:
VundoFix V6.1.2
Checking Java version...
Sun Java not detected
Scan started at 9:44:49 7.9.2006
Listing files found while scanning....
No infected files were found.
VundoFix V6.1.4
Checking Java version...
Sun Java not detected
Scan started at 11:00:45 8.9.2006
Listing files found while scanning....
C:\WINDOWS\system32\winmxw32.dll
Beginning removal...
Attempting to delete C:\WINDOWS\system32\winmxw32.dll
C:\WINDOWS\system32\winmxw32.dll Has been deleted!
Performing Repairs to the registry.
Done!
VundoFix V6.1.4
Checking Java version...
Java version is 1.5.0.6
Scan started at 19:52:57 8.9.2006
Listing files found while scanning....
C:\WINDOWS\system32\geedb.dll
C:\WINDOWS\system32\bdeeg.ini
C:\WINDOWS\system32\bdeeg.bak1
C:\WINDOWS\system32\bdeeg.bak2
C:\WINDOWS\system32\bdeeg.ini2
C:\WINDOWS\system32\bdeeg.tmp
C:\WINDOWS\system32\vturstt.dll
C:\Program Files\Common Files\{E0F9D1C4-05BB-1033-1020-040922040166}\services.dll
Beginning removal...
Beginning removal...
Attempting to delete C:\WINDOWS\system32\geedb.dll
C:\WINDOWS\system32\geedb.dll Could not be deleted.
Attempting to delete C:\WINDOWS\system32\bdeeg.ini
C:\WINDOWS\system32\bdeeg.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\bdeeg.bak1
C:\WINDOWS\system32\bdeeg.bak1 Has been deleted!
Attempting to delete C:\WINDOWS\system32\bdeeg.bak2
C:\WINDOWS\system32\bdeeg.bak2 Has been deleted!
Attempting to delete C:\WINDOWS\system32\bdeeg.ini2
C:\WINDOWS\system32\bdeeg.ini2 Has been deleted!
Attempting to delete C:\WINDOWS\system32\bdeeg.tmp
C:\WINDOWS\system32\bdeeg.tmp Has been deleted!
Attempting to delete C:\WINDOWS\system32\vturstt.dll
C:\WINDOWS\system32\vturstt.dll Could not be deleted.
Attempting to delete C:\Program Files\Common Files\{E0F9D1C4-05BB-1033-1020-040922040166}\services.dll
C:\Program Files\Common Files\{E0F9D1C4-05BB-1033-1020-040922040166}\services.dll Has been deleted!
Performing Repairs to the registry.
Done!
VundoFix V6.1.4
Checking Java version...
Java version is 1.5.0.6
Scan started at 19:55:38 8.9.2006
Listing files found while scanning....
C:\WINDOWS\system32\geedb.dll
C:\WINDOWS\system32\vturstt.dll
Beginning removal...
Attempting to delete C:\WINDOWS\system32\geedb.dll
C:\WINDOWS\system32\geedb.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\vturstt.dll
C:\WINDOWS\system32\vturstt.dll Has been deleted!
Performing Repairs to the registry.
Done!
HJT logi
Lainaus:
Logfile of HijackThis v1.99.1
Scan saved at 20:01:14, on 8.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe
F3 - REG:win.ini: run=
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll (file missing)
O2 - BHO: (no name) - {668B1E21-4DE0-450A-AB10-121220442EA6} - C:\WINDOWS\system32\vturstt.dll (file missing)
O2 - BHO: (no name) - {734B2E7F-5198-4EDF-88F5-6D0AB3E85C59} - C:\WINDOWS\system32\geedb.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - Startup: RivaTuner.lnk = C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1156505260241
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Give a man a fish and you feed him for a day.
Teach a man to fish and you feed him for a lifetime.
|
|
Mainos
|
|
|
AfterDawn Addict
|
8. syyskuuta 2006 @ 16:54 |
Linkki tähän viestiin
|
Nuo fixiin:
F3 - REG:win.ini: run=
O2 - BHO: (no name) - {668B1E21-4DE0-450A-AB10-121220442EA6} - C:\WINDOWS\system32\vturstt.dll (file missing)
O2 - BHO: (no name) - {734B2E7F-5198-4EDF-88F5-6D0AB3E85C59} - C:\WINDOWS\system32\geedb.dll (file missing)
Tyhjennä -> C:\VundoFix Backups
Käynnistä uudelleen ja lähetä uusi HjT-loki.
Lisäksi virustorjunta ja palomuuri olisi hyvä olla olemassa ;)
Ei HjT-lokeja tms. yksityisviestillä!
|
