|
|
|
Keskustelualueet
Keskustelualueet
|
|
|
tdssserv.sys / ZieF.pl
|
|
|
Humpssi
Newbie
|
21. syyskuuta 2008 @ 13:20 |
Linkki tähän viestiin
|
Oon tässä nyt viimisen vuorokauden yrittänyt poistaa tuota ja sen kavereita (etänä) porukoiden koneelta.
Oon juoksutellut spybotin, avg, troijan removerin, ccleanerin, smitfraudfixin(tuntu jopa vähä auttavan), ad-awaren, HijackThissin, malwarebytessiä ja muita mukavia.
Aluksi kone oli siinä kunnossa, että sieltä varmaa pyöri kaikki mahdolliset keyloggerit. Sähköposteihin tuli daemon deliveryjä ties mimmosista osotteista ( DAEMON@ebony.propagation.net näytti kivalta ). Eli uskoisin, että siel o vähä menny cc:tä käyttäjän tietämättä. Googlen searchit meni forwardina hienosti ties mihinkä, paras tais olla joku brazilialainen porntube sivusto. Kaikki virustorjunta, antispyware jne jne sivut oli sopivasti blokattuna.
Nooh nyt on tilanne se, että suurimmaksi osaksi kone on nyt puhdistettu (mm. ccleaner poisti ~800 mt shittii). Ainut jäljellä oleva näyttää olevan tuo tdssserv.sys, jonka troijan removeri löytää, mutta mitä en ko hakemistosta kuitenkaan löydä. Poistin käsin tuon kaikki rekisteriavaimet, mitkä regeditillä löysin. Käynnistelen nyt kohta uusiksi ja katson mitä troijan removeri nyt sanoo.
Käskin porukoiden laittaa natti purkin sielä adsl mötikän ja koneen väliin niin loppu kummasti cmd.exe:t ja services.exet tehtävienhallinnasta. Sitä ennen niitä starttas nopeammin ku ehti sammuttaan.
Tuo sys filu nyt ei tunnu koneen toimintaan vaikuttavan mitenkään, enkä usko, että tuo "olematon" tiedosto pystyy enää pahemmin mitään uhkaa aiheuttamaan. Syy miksi tänne kirjoitan on seuraava huomio:
smitfraudfixin logissa tuli vastaan, että hosts:sa on 127.0.0.1 ZieF.pl, jota ei kuitenkaan muistiolla sielä näy. Kokeilimpa sitten etsiä kyseistä tekstin pätkää kaikista tiedostoista koneella. Kävi sitten ilmi, että tuo ZieF.pl tai ZieF.pl/iraq.jpg sisältyy about kaikkiin html, htm ja pariin muuhun vastaavaan tiedostoon, mitä koneella on. Googlella en nopeasti löytänyt yhtäkään sivua aiheesta, mitä olisin viitsinyt avata. Ajattelin poistaa koneelta kaikki nuo htm ym tiedostot, vaikka siel menee kaikkea enemmän tai vähemmän tärkeää.
Onko kellää tietoa tuosta ZieF.pl:stä sen enempää? Pitäiskö tässä kuitenkin tehdä jotain toimenpiteitä vielä?
Niin ja tosiaan mun täytyy käyttää vikasietotilaa netin kanssa, että pääsen ylipäätänsä sinne koneelle käsiksi. Etätyöpötyä / vnc pyörii hamachin läpi, joten se ei sinänsä ole mikään tietoturvariski...
|
|
Humpssi
Newbie
|
21. syyskuuta 2008 @ 14:53 |
Linkki tähän viestiin
|
Joo edelleen Troijan removeri löytää
"This file is loaded by a [hidden] Services Registry key:
C:\Windows\system32\drviers\TDSSserv.sys
A file with this name "has not" been found
The file is loaded by the following Registry key:
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv
Registry Value Name:
Image Path
THIS FILE APPEARS TO BE A ROOTKIT
Appears to contain: Rootkit.Agent
Ja tähän sitte mä laitan Remove this reference and disable the file by renaiming it [if it exists], mutta eihän se tuolle pahemmin mitää tee ku sitä ei oo olemassa...
Koitin tosiaan noita TDSSserv poistaa rekisteristä, mut eihä toi piru antanu. Valitti virhettä poistaessa / virhettä uudelleennimeämisessä. Niin ja tuo tosiaan löytyy ~4-6 eri paikasta regeditillä. Kaikki antavat poistaa kyllä arvot sieltä sisältä, mutta itse "kansiota" ei saa pois...
Eli voiko tuosta pelkästä rekisteriavaimesta olla vielä uhkaa?
täs viel vähä logia, jos joku keksii jotain...
Lainaus, alkuperäisen viestin kirjoitti HJThis:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hamachi\hamachi.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\Program Files\Trojan Remover\Trjscan.exe
C:\Documents and Settings\Käyttäjä\Application Data\Simply Super Software\Trojan Remover\dyr2.exe
C:\Documents and Settings\Käyttäjä\Application Data\Simply Super Software\Trojan Remover\dyr2.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adope Rdr8\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EA.EXE /P26 "EPSON Stylus CX6600 Series" /O5 "LPT1:" /M "Stylus CX6600"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk.disabled
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: Pikakuvake winvnc.exe.lnk = C:\Program Files\UltraVNC\winvnc.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\Ohjelmat\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://D:\ohjelmat\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
--
End of file - 3692 bytes
Lainaus, alkuperäisen viestin kirjoitti Malbyteware:
Malwarebytes' Anti-Malware 1.28
Tietokantaversio: 1134
Windows 5.1.2600 Service Pack 2
21.9.2008 14:04:59
mbam-log-2008-09-21 (14-04-49).txt
Tarkistustyyppi: Pikatarkistus
Tarkistetut kohteet: 37090
Kulunut aika: 4 minute(s), 31 second(s)
Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 1
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 0
Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)
Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisterikohteita:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken.
Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)
Saastuneita tiedostoja:
(Haitallisia kohteita ei löydetty)
Lainaus, alkuperäisen viestin kirjoitti smitfraudfix:
SmitFraudFix v2.352
Scan done at 14:06:52,89, su 21.09.2008
Run from C:\Documents and Settings\K?ytt?j?\Ty?p?yt?\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hamachi\hamachi.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\logon.scr
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Käyttäjä\Työpöytä\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\K?ytt?j?
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\K?ytt?j?\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\KYTTJ~1\Suosikit
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!
AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: 3Com EtherLink XL 10/100 PCI For Complete PC Management NIC (3C905C-TX) - Paketinajoituksen miniportti
DNS Server Search Order: 192.89.123.26
DNS Server Search Order: 192.89.123.230
HKLM\SYSTEM\CCS\Services\Tcpip\..\{142DCDEC-515B-44EA-9842-436E3A35EF7E}: DhcpNameServer=192.89.123.26 192.89.123.230
HKLM\SYSTEM\CS1\Services\Tcpip\..\{142DCDEC-515B-44EA-9842-436E3A35EF7E}: DhcpNameServer=192.89.123.26 192.89.123.230
HKLM\SYSTEM\CS2\Services\Tcpip\..\{142DCDEC-515B-44EA-9842-436E3A35EF7E}: DhcpNameServer=192.89.123.26 192.89.123.230
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.89.123.26 192.89.123.230
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.89.123.26 192.89.123.230
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.89.123.26 192.89.123.230
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
Nyt oli muuten hostsista lähteny se ZieF.pl pois! Tosin poistelin tuos äsken ~ kaikki htm ja html filut ym... hosts on nyt ainaki vain luku muodossa ja jätin sinne pelkästään 127.0.0.1 local hostin...
Troijan removerin logi oli pitkä ku nälkä vuosi, joten en siit ottanu muutaku:
Lainaus, alkuperäisen viestin kirjoitti TRLog:
13:57:38: ----- ADDITIONAL CHECKS -----
PE386 rootkit checks completed
----------
Hidden or inaccessible Services entry: [TDSSserv]
C:\WINDOWS\system32\drivers\TDSSserv.sys - has a *known* Malware filename: ROOTKIT.AGENT
Onko tässä nyt sitte tyytyminen nykyiseen tilaan vai pitääkö tässä viel metsästää pöpöjä pois koneelta. Ajattelin kyl käydä viikon päästä ihan paikan päällä säätämässä. Täytyy antaa formattia, jos tuo ei tuosta tokene.
|
|
Hujo
Suspended permanently
|
21. syyskuuta 2008 @ 16:02 |
Linkki tähän viestiin
|
|
Malwarebytes' Anti-Malware päivitä ja täysi scannaus.
Voiko tietsikka koskaan toimia?
|
|
Humpssi
Newbie
|
21. syyskuuta 2008 @ 20:01 |
Linkki tähän viestiin
|
|
No se jää näköjään myöhemmäksi, siel ei winukka saa enää yhteyttä nettiin. Eipä pääse edes modeemin asetuksiin, joten taitaa mennä formattiin onnellisesti.
Vaikutti tosiaan siltä, ettei tuota tdssserviä saanu rekistereistä kokonaan pois millään. Sieltä se löyty, mutta poistettaessa ei ollu oikeuksia tai sitä ei löytynyt. Yritin poistaa niitä käynnistyksen yhteydessä tekemälläni cmd filullakin, mutta eipä auttanut.
Siel on ollu taas pienillä venäläisillä mukavaa tuota tehdessä.
Puoltoista vuorokautta tuon kans nyt tapellu, että ihan hyvä ettei pääse enää tuhlailemaan aikaa tuon kans enempää. Format C auttaa aina.
Huutelen tänne lisää vielä, jos saan vedellyksi anti-malwaret ennenku formatoin. Ilmeisesti kukaan ei tiedä, miksi/mistä tuo ZieF.pl oli hosts filussa...
|
|
Humpssi
Newbie
|
22. syyskuuta 2008 @ 03:23 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti mbam-logi:
Malwarebytes' Anti-Malware 1.28
Tietokantaversio: 1134
Windows 5.1.2600 Service Pack 2
22.9.2008 3:12:44
mbam-log-2008-09-22 (03-12-44).txt
Tarkistustyyppi: Täysi tarkistus (C:\|)
Tarkistetut kohteet: 54562
Kulunut aika: 1 hour(s), 10 minute(s), 32 second(s)
Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 0
Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)
Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)
Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)
Saastuneita tiedostoja:
(Haitallisia kohteita ei löydetty)
Eipä löytänyt enää mitään. Troijan remover löytää edelleen samaa tiedostoa / avainta mitä aikaisemminkin.
Neti ei toiminu, koska palomuurin asennus oli menny pieleen. Taustalla oli kyl osa muurista toiminnasta ja näin esti kaiken liikenteen mm. ip-osoitteen saamisen. Koska asennus ei ollu menny kunnolla, niin siit ei vaan tullu mitään näkyvää oiretta näytölle.
Nyt on avg ja comodo asennettuna. Näyttää tosiaan siltä, ettei tuota tdssserviä saa pois tuolta mitenkään muutenku formatoimalla. Seurailen tilannetta, jos ei oireita ilmene niin eikai sitä tarvi muutaman haamurekisterin takia format c:tä laittaa...
Yritin googletella lisää asian tiimoilta, mutta eipä tullut mitään mullistavaa vastaan. Täytynee seurata tilannetta, että alkaako samoja oireita kuulumaan muualtakin...
|
|
Hujo
Suspended permanently
|
22. syyskuuta 2008 @ 13:55 |
Linkki tähän viestiin
|
Tuo Malwarebytes' Anti-Malware ei ole päivittynyt.
======
1.Lataa Combofix.exe työpöydällesi yhdestä linkistä:
Combofix1
Combofix2
2. Tuplaklikkaa Combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
Voiko tietsikka koskaan toimia?
|
|
Humpssi
Newbie
|
22. syyskuuta 2008 @ 21:27 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti combofix:
ComboFix 08-09-20.05 - K?ytt?j? 2008-09-22 15:41:22.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1035.18.442 [GMT 3:00]
Sijainti: C:\Documents and Settings\K?ytt?j?\Ty?p?yt?\ComboFix.exe
VAROITUS - PALAUTUSKONSOLIA EI OLE ASENNETTU !!
.
(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\AutoRun.inf
C:\WINDOWS\system32\drivers\str.sys
.
((((((((((((((((((((((((((((((((((((((( Ajurit/Palvelut )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ICF
-------\Legacy_MSUPDATE
-------\Legacy_SYNSEND
-------\Legacy_TDSSSERV
-------\Service_synsend
-------\Service_sysrest.sys
-------\Service_TDSSserv
((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2008-08-22 to 2008-09-22 )))))))))))))))))
.
2008-09-22 06:41 . 2008-09-22 06:41 <KANSIO> d-------- C:\fsaua.data
2008-09-21 19:17 . <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Application Data\Mozilla
2008-09-21 19:09 . 2008-09-21 19:09 <KANSIO> d-------- C:\Documents and Settings\J?rjestelm?nvalvoja
2008-09-21 19:09 . <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Ty?p?yt?
2008-09-21 19:09 . <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Suosikit
2008-09-21 19:09 . <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Mallit
2008-09-21 19:09 . <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\K?ynnist?-valikko
2008-09-21 19:09 . <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Application Data\Microsoft
2008-09-21 14:52 . 2008-09-22 03:27 <KANSIO> d-------- C:\Program Files\Exterminate It!
2008-09-21 14:17 . 2008-09-21 22:37 143,104 --a------ C:\WINDOWS\system32\guard32.dll
2008-09-21 14:17 . 2008-09-21 22:37 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-09-21 14:17 . 2008-09-21 22:37 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-09-21 14:06 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-09-21 14:06 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-09-21 14:06 . 2008-09-08 23:38 98,816 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-21 14:06 . 2008-08-18 12:19 92,672 --a------ C:\WINDOWS\system32\404Fix.exe
2008-09-21 14:06 . 2003-06-05 21:13 61,440 --a------ C:\WINDOWS\system32\Process.exe
2008-09-21 14:06 . 2004-07-31 18:50 58,880 --a------ C:\WINDOWS\system32\dumphive.exe
2008-09-21 11:19 . 2008-09-21 14:06 2,184 --a------ C:\WINDOWS\system32\tmp.reg
2008-09-21 10:20 . 2007-03-08 08:10 1,011,712 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-09-21 10:20 . 2008-06-23 19:29 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-09-21 10:20 . 2008-06-23 19:29 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-09-21 10:20 . 2008-06-23 19:29 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-09-21 10:20 . 2008-06-23 12:20 21,504 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-09-21 10:19 . 2008-06-23 19:29 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-21 10:19 . 2007-04-17 12:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-09-21 10:19 . 2008-06-23 19:29 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-09-21 10:19 . 2008-06-23 19:29 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-09-21 02:41 . 2008-09-22 19:50 <KANSIO> d--h----- C:\$AVG8.VAULT$
2008-09-20 20:40 . 2008-09-22 01:05 <KANSIO> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-20 20:40 . <KANSIO> C:\Documents and Settings\Käyttäjä\Application Data\Malwarebytes
2008-09-20 20:40 . 2008-09-20 20:40 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-20 20:40 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-20 20:40 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-20 20:15 . 2008-09-21 16:14 1,435 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-09-20 20:14 . 2008-09-21 18:14 <KANSIO> d-------- C:\WINDOWS\system32\fi-fi
2008-09-20 19:51 . 2008-09-22 11:43 <KANSIO> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-20 19:50 . 2008-09-21 02:01 <KANSIO> d-------- C:\Program Files\Trojan Remover
2008-09-20 19:50 . 2008-09-20 19:50 <KANSIO> d-------- C:\Program Files\Trend Micro
2008-09-20 19:50 . <KANSIO> C:\Documents and Settings\Käyttäjä\Application Data\Simply Super Software
2008-09-20 19:50 . 2008-09-20 19:50 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Simply Super Software
2008-09-20 19:50 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-09-20 19:50 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-09-20 19:50 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-09-20 19:50 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-09-20 19:50 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-09-20 19:48 . 2008-09-20 19:49 <KANSIO> d-------- C:\Program Files\CCleaner
2008-09-20 19:35 . 2008-09-20 19:35 <KANSIO> d-------- C:\Program Files\Lavasoft
2008-09-20 19:34 . 2008-09-20 19:34 <KANSIO> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-09-20 19:25 . 2008-09-21 23:33 <KANSIO> d-------- C:\WINDOWS\system32\drivers\Avg
2008-09-20 19:25 . 2008-09-20 19:25 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-09-20 19:25 . 2008-09-20 19:25 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-09-20 19:25 . 2008-09-20 19:25 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-09-20 19:24 . 2008-09-20 19:24 <KANSIO> d-------- C:\Program Files\AVG
2008-09-20 19:24 . 2008-09-22 01:12 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-09-20 18:59 . <KANSIO> C:\Documents and Settings\Käyttäjä\Application Data\Mozilla
2008-09-20 15:14 . 2008-09-20 15:14 249,592 --a------ C:\WINDOWS\system32\cssdll32.dll
2008-09-20 15:13 . <KANSIO> C:\Documents and Settings\Käyttäjä\Application Data\Comodo
2008-09-20 15:12 . 2008-09-21 14:16 <KANSIO> d-------- C:\Program Files\COMODO
2008-09-20 15:12 . 2008-09-21 22:42 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\comodo
2008-09-20 14:00 . 2008-09-20 14:00 30,848 --a------ C:\WINDOWS\system32\drivers\uumyvrgpazxjnrc.sys.vir
2008-09-20 13:36 . 2008-09-20 13:43 <KANSIO> d-------- C:\Program Files\Spybot - Search & Destroy
2008-09-20 13:36 . 2008-09-22 15:10 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-20 11:36 . 2008-09-20 11:36 <KANSIO> d-------- C:\Program Files\Hamachi
2008-09-20 11:36 . <KANSIO> C:\Documents and Settings\Käyttäjä\Application Data\Hamachi
2008-09-20 11:36 . 2008-09-20 11:36 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-09-15 00:51 . 2008-09-15 00:56 <KANSIO> d-------- C:\WINDOWS\system32\NtmsData
2008-09-14 14:20 . 2008-09-20 19:37 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-09-14 14:19 . 2008-09-14 16:27 <KANSIO> d-------- C:\Program Files\InstallShield Installation Information
2008-09-14 14:12 . 2008-09-14 14:13 <KANSIO> d-------- C:\Program Files\Common Files\InstallShield
2008-09-14 14:08 . <KANSIO> C:\Documents and Settings\Käyttäjä\Application Data\WinRAR
2008-09-14 13:19 . 2008-09-14 13:23 <KANSIO> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-09-13 12:33 . 2008-09-13 12:33 <KANSIO> d-------- C:\Program Files\Restorer2000 Professional
2008-08-22 07:35 . 2008-08-22 07:35 <KANSIO> d-------- C:\WINDOWS\system32\CatRoot_bak
.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-21 22:14 --------- d-s---w C:\Documents and Settings\Käyttäjä\Application Data\Microsoft
2008-09-21 09:42 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-09-20 15:50 --------- d-----w C:\Program Files\UltraVNC
2008-09-20 12:52 --------- d-----w C:\Documents and Settings\Käyttäjä\Application Data\OpenOffice.org2
2008-09-20 10:02 22,016 ----a-w C:\WINDOWS\system32\svchost.exe
2008-07-18 19:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 19:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 19:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 19:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 19:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 19:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 19:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 19:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:29 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-25 19:43 46,616 ----a-w C:\Documents and Settings\Käyttäjä\Application Data\GDIPFONTCACHEV1.DAT
.
------- Sigcheck -------
2008-09-20 13:02 22016 89095e1abbc61219b88892095fd5900b C:\WINDOWS\system32\svchost.exe
2005-03-02 21:20 577536 409647243875a2f91bae81cbef248cb6 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-03-08 18:50 578560 90f1d04938bae133e2f4d8f7f0fa4fa0 C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
2007-03-08 18:38 578048 c198eac972598be7e61364f7db3b663d C:\WINDOWS\system32\user32.dll
2004-09-14 19:12 82944 911c48bb2df21e2088c23260dd112e80 C:\WINDOWS\system32\ws2_32.dll
2004-09-14 19:12 502784 5f0714b1447dc0262789c3cc43752418 C:\WINDOWS\system32\winlogon.exe
2004-08-04 02:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys
2004-08-04 02:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys
2005-03-02 21:13 2059264 01f49730c2d76aad87c4d2b2dd4e12e2 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 19:08 2061696 8bacc2a67078823acab7c8306f394918 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2007-02-28 19:02 2059904 9f7bc4398e9a43f533ed4d8e690b1cd6 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-02-28 19:02 2059904 9f7bc4398e9a43f533ed4d8e690b1cd6 C:\WINDOWS\system32\ntkrnlpa.exe
2005-03-02 21:13 2181888 6e55b15ee58a0eaaaf20db1f4da39add C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 19:08 2184448 7ff07a634379ee2fd2b097fd76c49bfc C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2007-02-28 19:02 2182656 6a51f190523074b729702923fac865f4 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-02-28 19:02 2182656 6a51f190523074b729702923fac865f4 C:\WINDOWS\system32\ntoskrnl.exe
2007-06-13 16:22 1041408 4f21531f469fa89bc60dd697d5b59f1e C:\WINDOWS\explorer.exe
2007-06-13 16:10 1041408 cb794672a69698aec0f810302af7a1db C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-09-14 19:12 108544 c2f8f8343435fc080c2de25a410e09e8 C:\WINDOWS\system32\services.exe
2004-09-14 19:12 13312 39726087f99c7775b2ea1f2990709817 C:\WINDOWS\system32\lsass.exe
2005-06-11 03:17 65536 29f13950f23a8dc3248a14e05f22db93 C:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 02:53 65536 48d7e738889cbdd98c7e79f408d377b6 C:\WINDOWS\system32\spoolsv.exe
2004-09-14 19:12 32256 305fab56930514b602512aa826dee85b C:\WINDOWS\system32\userinit.exe
.
(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="D:\Adope Rdr8\Reader\Reader_sl.exe" [2008-01-11 39792]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-09-21 1655552]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-09-20 1235736]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-09-15 166912]
"C-Media Mixer"="Mixer.exe" [2001-12-07 C:\WINDOWS\Mixer.exe]
C:\Documents and Settings\K?ytt?j?\K?ynnist?-valikko\Ohjelmat\K?ynnistys\
Adobe Gamma.lnk.disabled [2008-02-10 988]
hamachi.lnk - C:\Program Files\Hamachi\hamachi.exe [2008-09-20 625952]
Pikakuvake winvnc.exe.lnk - C:\Program Files\UltraVNC\winvnc.exe [2008-02-24 984640]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7imxx.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Documents and Settings^Käyttäjä^Käynnistä-valikko^Ohjelmat^Käynnistys^OpenOffice.org 2.3.lnk]
path=C:\Documents and Settings\Käyttäjä\Käynnistä-valikko\Ohjelmat\Käynnistys\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG8_TRAY]
--a------ 2008-09-20 19:24 1235736 C:\PROGRA~1\AVG\AVG8\avgtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-01-17 19:51 495048 C:\Program Files\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus CX6600 Series]
--a------ 2004-03-01 04:00 106496 C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATI9EA.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-08-18 18:41 1832272 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]
--a------ 2008-08-19 20:08 914512 C:\Program Files\Trojan Remover\Trjscan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"C:\\Program Files\\UltraVNC\\winvnc.exe"=
R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-09-20 97928]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-09-21 87056]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-09-21 24208]
R2 avg8emc;AVG Free8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-09-20 875288]
R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-09-20 231704]
R2 AvgTdiX;AVG Free8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-09-20 76040]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
S3 restore;restore;C:\WINDOWS\system32\drivers\restore.sys [ ]
.
- - - - POISTETUT JÄMÄRIVIT - - - -
MSConfigStartUp-avgnt - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
MSConfigStartUp-GoldenFTPserver - D:\Program Files\Golden FTP Server\GFTP.exe
MSConfigStartUp-lphc7ghj0ej1n - C:\WINDOWS\system32\lphc7ghj0ej1n.exe
.
------- Täydentävä tarkistus -------
.
O8 -: E&xport to Microsoft Excel - D:\Ohjelmat\OFFICE11\EXCEL.EXE/3000
O8 -: Vie Microsoft E&xceliin - D:\ohjelmat\OFFICE~1\Office10\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-22 20:18:19
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
tarkistaa piilotettuja prosesseja ...
tarkistaa piilotettuja käynnistysarvoja ...
tarkistaa piilotettuja tiedostoja ...
tarkistus on valmis
piilotetut tiedostot: 0
**************************************************************************
.
------------------------ Muut prosessit ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\notepad.exe
.
**************************************************************************
.
Valmistumisajankohta: 2008-09-22 20:30:04 - kone käynnistettiin uudelleen
ComboFix-quarantined-files.txt 2008-09-22 17:29:42
Ennen ajoa: 1’726’197’760 tavua vapaana
Ajon jälkeen: 1,663,668,224 tavua vapaana
227 --- E O F --- 2008-09-21 15:15:26
tarkoittiko tuo Ajurit/Palvelut -kohta nyt sitä että toi sai poistettua tuommoset pois sieltä vai et noi kummittelee edelleen...
C:\WINDOWS\system32\drivers\uumyvrgpazxjnrc.sys.vir näytti kans kivalta.
Tosiaan se rekisteri avain, mistä se troijan removeri huuteli niin sisältää ainoastaan sen tyhjän arvon. Eli pitäisin sitä ns. haamuna sielä...
Comodon tykkäs kyl kyttyrää tuosta combofixi juoksuttamisesta, mut kyl se sit loppuje lopuksi ku oli hyväksyny sataviissataa kertaa tuon tekemiä muutoksia.
Vieläkö tuosta jotain tulee siivoilla pois....
|
|
Hujo
Suspended permanently
|
22. syyskuuta 2008 @ 21:56 |
Linkki tähän viestiin
|
|
päivitys ja uusi ajo Malwarebytes' Anti-Malware täysi scannaus
Voiko tietsikka koskaan toimia?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 22. syyskuuta 2008 @ 22:05
|
|
Humpssi
Newbie
|
23. syyskuuta 2008 @ 07:45 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti mwb:
Malwarebytes' Anti-Malware 1.28
Tietokantaversio: 1194
Windows 5.1.2600 Service Pack 2
23.9.2008 7:40:50
mbam-log-2008-09-23 (07-40-50).txt
Tarkistustyyppi: Täysi tarkistus (C:\|D:\|)
Tarkistetut kohteet: 121149
Kulunut aika: 2 hour(s), 48 minute(s), 26 second(s)
Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 0
Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)
Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)
Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)
Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)
Saastuneita tiedostoja:
(Haitallisia kohteita ei löydetty)
Tuo oli aika yllätys...
|
|
Hujo
Suspended permanently
|
23. syyskuuta 2008 @ 16:31 |
Linkki tähän viestiin
|
Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi.
Käynnistä koneesi vikasietotilaan:
sammuta ja käynnistä
käynnistyksen yhteydessä hakkaa F8 nappia
valitse nuolinäppäimellä vikasietotila
paina enter ja enter
valitse käyttäjätilisi
paina kyllä
Jossakin koneissa hakataan F8:sin sijasta F5:tä
" Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
" Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
" Paina Y käynnistääksesi skriptin.
" Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
" Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
" Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
" Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
" Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
" Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis:n lokin kera.
Voiko tietsikka koskaan toimia?
|
|
Mainos
|
|
|
|
Humpssi
Newbie
|
11. lokakuuta 2008 @ 00:34 |
Linkki tähän viestiin
|
|
Joo niin mainittakoon nyt vielä, että päädyin loppujenlopuksi formatoimaan koko koneen. En ollut missään vaiheessa 100% varma, että pöpö lähti pois, joten turvallisuussyistä päädyin tyhjentämään koko toosan.
|
|
