|
Miten poistaa kovin agressiivinen virus tai troijalainen?
|
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 00:34 |
Linkki tähän viestiin
|
Koneeseen ilmestyy vähän väliä pop-up ikkunoita, joissa ilmoitetaan tietoturvavaarasta, ja sitten tulee ehdotus vuorotellen joko Malware Defender 2009 tai Spyware Remover tai Virus Remover 2009 tai Antivirus 360 ohjelman asentamisesta. Emme ole ohjelmaa asentaneet.
Meillä on käytössä AVG:n ilmaisversio, joka löytää mm. Trojan horse SHeur2.VVJ tiedoston, mutta ei näköjään osaa tehdä löydölle mitään tai sitten ei oikeasti löydä sitä oikeaa ongelmaa.
Miten ihmeessä pääsemme eroon tästä viruksesta??
Apua kaivataan kipeästi!
|
Senior Member
3 tuotearviota
|
15. maaliskuuta 2009 @ 00:43 |
Linkki tähän viestiin
|
Lataa Malwarebytes' Anti-Malware työpöydällesi.
Jos linkki ei toimi, voit ladata myös seuraavista linkeistä:
Linkki1
Linkki2
*Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
*Lopuksi varmistu, että seuraavat on valittu: Päivitä Malwarebytes' Anti-Malware ja Käynnistä Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Lopeta.
*Jos päivitys löytyy, ohjelma lataa ja asentaa uusimman version. Jos päivityksien lataaminen ei onnistu, voit ladata päivitykset tästä. Tuplaklikkaa mbam-rules.exe asentaaksesi päivitykset.
*Kun ohjelma on latautunut ja päivitykset tehty, valitse Suorita täysi tarkistus ja klikkaa Tarkista.
*Kun tarkistus on valmis, klikkaa OK ja sitten Näytä tulokset nähdäksesi tulokset.
*Varmistu, että kaikki on merkitty ja klikkaa Poista valitut.
*Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
*Lähetä lokin sisältö seuraavassa viestissäsi.
Huom. Jos Mbam ei pystynyt poistamaan tiedostoa, se pyytää sinua käynnistämään koneesi uudelleen. Käynnistä koneesi silloin uudelleen heti. Mbam voi tehdä muutoksia rekisteriisi osana puhdistusta. Jos käytät suojausohjelmaa, joka havaitsee rekisterin muutokset, salli Mbamin tehdä muutokset.
*************************************************************
Lataa TÄSTÄ HJTInstall.exe
http://www.download.fi/tyopoytaohjelmat/.../hijackthis.cfm
* Tallenna HJTInstall.exe työpöydällesi.
* Tuplaklikkaa HJTInstall.exe-kuvaketta työpöydälläsi.
* Oletuksena se asentaa itsensä hakemistoon C:\Program Files\Trend Micro\HijackThis.
* Klikkaa Install.
* Asennusohjelma luo HijackThis-kuvakkeen työpöydälle.
* Kun asennus on valmis, se käynnistää HijackThisin.
* Klikkaa Do a system scan and save a logfile-painiketta. Ohjelma aloittaa skannauksen ja lokin pitäisi avautua Muistioon.
* Klikkaa ensin "Muokkaa > Valitse kaikki" sitten "Muokkaa > Kopioi" kopioidaksesi koko lokin sisällön.
* Liitä lokin sisältö seuraavaan vastaukseesi.
* ÄLÄ käytä Analyse This-nappulaa, sen löydöt ovat vaarallisia väärinymmärrettyinä.
* ÄLÄ fixaa HijackThis-ohjelmalla vielä mitään. Suurin osa sen löydöistä ovat joko harmittomia tai jopa tarpeellisia.
**************************************************************
Laita molemmat logit alla olevaan osoitteeseen, osaava fiksaaja tarkastaa ne läpi ja kertoo jatko-ohjeet jos tarvetta on. Vaikka oireet näyttäisivätkin hävinneen, niin se ei tarkoita että kone olisi puhdas! Joten odota fiksaajan vahvistusta koneen puhtaudesta.
http://www.virustorjunta.net/modules.php?name=Forums&file=index (HjT-logien analysointi)
GA B85M D3H | E3-1230V3 | True Spirit 120 M BW Rev.A | Asus R9 270X DCII TOP | SF-600P14XE-PRO | 8GB RAM | PNY 120GB SSD | WDC WD10EZEX | Fractal Define Mini | Win7 64bit Pro |
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 00:48 |
Linkki tähän viestiin
|
|
Ei onnistu! :-( Kaikki .exe tiedostot avautuvat selaimessa xml editorissa. Mitä teen?
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 08:53 |
Linkki tähän viestiin
|
|
Lisään vielä tuohon edelliseen, että saan siis alla olevan näkymän ie-selaimessa:
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
- <BitComet Author="RnySmile" Version="0.1">
<Comment>Malwarebytes' Anti-Malware</Comment>
<DownloadInfo Comment="Malwarebytes' Anti-Malware" CreateDate="2009-03-15 00:21:03.390625" DownloadBytes="2876728" ElapsedTime="16" FinishDate="2009-03-15 00:21:24.609375" IsFailed="true" MaxConnection="5" RefererURL="http://keskustelu.afterdawn.com/thread_view.cfm/756666" block_list="22 serialization::archive 3 0 0 0" downloaded_filesize="0" enable_auto_rename="false" enable_dl_from_mirror="true" enable_http_share="false" enable_p2sp="true" file_created="true" file_hash="8982fb6ccacd2bea932816f6b4d2baa71cc8f4de" file_hashset="GAD3nBJ2rgGrDa7zHECofhxE/uvoUPKZTeyzWaofS39LdR1LfXizPVNE2uzq1WWR4Vvj6n8IQ5bqb7LI" filesize="2876728" know_filesize="1" main_url_etag=""844039-2be538-464dadab84480"" no_size_file_complete="false" rate_download="0" save_file_name_original="mbam-setup.exe" support_set_range="true" with_bc_ext="false" />
</BitComet>
|
Senior Member
9 tuotearviota
|
15. maaliskuuta 2009 @ 10:13 |
Linkki tähän viestiin
|
lötyykö vista vai xp
JOS XP NIIN:
Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi
Käynnistä koneesi vikasietotilaan:
sammuta ja käynnistä
käynnistyksen yhteydessä hakkaa F8 nappia
valitse nuolinäppäimellä vikasietotila
paina enter ja enter
valitse käyttäjätilisi
paina kyllä
Jossakin koneissa hakataan F8:sin sijasta F5:tä
" Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
" Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
" Paina Y käynnistääksesi skriptin.
" Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
" Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
" Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
" Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
" Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
" Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi
Nykyinen luuri: Samsung Galaxy S III
Nykyinen kone: Asus K54SV + DNA 4G WLAN Mokkula, joka toimii jos toimii.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. maaliskuuta 2009 @ 10:14
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 10:56 |
Linkki tähän viestiin
|
|
Tarvitse lisää neuvoja... eli käynnistyksen yhteydessä hakkasin F8 näppäintä, jolloin pääsin CMOS Setup Utility tilaan, mikä alkaa kohdilla Standard CMOS Features, Advandes Bios Features jne.
Mikä näistä on nyt se vikasietotila, mikä pitäisi seuraavaksi valita?
|
Senior Member
9 tuotearviota
|
15. maaliskuuta 2009 @ 11:28 |
Linkki tähän viestiin
|
|
onko sulla se vista vai xp
eikö siellä lue vikasietotila
Nykyinen luuri: Samsung Galaxy S III
Nykyinen kone: Asus K54SV + DNA 4G WLAN Mokkula, joka toimii jos toimii.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. maaliskuuta 2009 @ 11:30
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 11:49 |
Linkki tähän viestiin
|
Xp, ja näppäilin sitä F8:a liian myöhään, joten jouduin vissiin DOS tilaan (tai jotain)... joka tapauksessa sain tehtyä tuon SDFix:n ja tässä raportti... Kuitenkin edelleen ongelma läsnä :-(
*****************
SDFix: Version 1.240
Run by winner on su 15.03.2009 at 11:24
Microsoft Windows XP [versio 5.1.2600]
Running From: C:\Documents and Settings\winner\Ty?p?yt?\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\system32\msxml71.dll - Deleted
C:\WINDOWS\system32\svchostw.exe - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-15 11:37:17
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\WS_FTP\\WS_FTP95.exe"="C:\\Program Files\\WS_FTP\\WS_FTP95.exe:*:Enabled:WS_FTP 95"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"="C:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files :
File Backups: - C:\DOCUME~1\winner\TYPYT~1\SDFix\backups\backups.zip
Files with Hidden Attributes :
Sat 22 Dec 2007 5,355,320 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Wed 28 Nov 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 6 Nov 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 17 Nov 2005 21,504 A..H. --- "C:\Susa\www\bileet\Kutsu\kusu 2\~WRL0749.tmp"
Fri 18 Nov 2005 20,992 A..H. --- "C:\Susa\www\bileet\Kutsu\kusu 2\~WRL0754.tmp"
Thu 17 Nov 2005 20,992 A..H. --- "C:\Susa\www\bileet\Kutsu\kusu 2\~WRL1325.tmp"
Finished!
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 15:39 |
Linkki tähän viestiin
|
Ajoin uudelleen tuon SDFix ohjelman lävitse, mutta edelleen exe tiedostot avautuvat xml tiedostoina ja väärät virusilmoitukset jylläävät... Mikä olisi seuraava siirto?
Tässä vielä tuo viimeisin raportti:
*****************
SDFix: Version 1.240
Run by winner on su 15.03.2009 at 15:18
Microsoft Windows XP [versio 5.1.2600]
Running From: C:\Documents and Settings\winner\Ty?p?yt?\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-15 15:31:03
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\WS_FTP\\WS_FTP95.exe"="C:\\Program Files\\WS_FTP\\WS_FTP95.exe:*:Enabled:WS_FTP 95"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"="C:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files :
Files with Hidden Attributes :
Sat 22 Dec 2007 5,355,320 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Wed 28 Nov 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 6 Nov 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 17 Nov 2005 21,504 A..H. --- "C:\Susa\www\bileet\Kutsu\kusu 2\~WRL0749.tmp"
Fri 18 Nov 2005 20,992 A..H. --- "C:\Susa\www\bileet\Kutsu\kusu 2\~WRL0754.tmp"
Thu 17 Nov 2005 20,992 A..H. --- "C:\Susa\www\bileet\Kutsu\kusu 2\~WRL1325.tmp"
Finished!
|
Senior Member
9 tuotearviota
|
15. maaliskuuta 2009 @ 16:30 |
Linkki tähän viestiin
|
tän jälkeen luulisi toimivan
1. Lataa ComboFix.exe työpöydällesi yhdestä linkistä:
Combofix1
Combofix2
älä asenna palutus consolia
2. Tuplaklikkaa Combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
tän jälkeen kokeile toimiiko tuo malwarebytes
Nykyinen luuri: Samsung Galaxy S III
Nykyinen kone: Asus K54SV + DNA 4G WLAN Mokkula, joka toimii jos toimii.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. maaliskuuta 2009 @ 16:32
|
AfterDawn Addict
|
15. maaliskuuta 2009 @ 16:56 |
Linkki tähän viestiin
|
Yleensä ei ole tarkoitus, että heitellään eri työkaluja sen toivossa, että joku niistä korjaisi ongelman, jota ei ole vielä ilmeisesti edes paikallistettu yksiselitteisesti.
Combofixin yhteydessä on edesvastuutonta sanoa, että älä asenna palautuskonsolia. Jos jokin menee pieleen, niin palautuskonsoli on helpoin tapa yleensä saada kone toimintakuntoon. Mutta jos näin käy, niin olen varma, että temple69 suvereenina experttinä kykenee korjaamaan tilanteen.
Kokeilepas Sasu76 hakea täältä - http://www.dougknox.com/xp/file_assoc.htm EXE File Association Fix (Restore default association for EXE file ja suorittaa se ja kerro toimiiko nyt .exe-tiedostot niinkuin pitäisi.
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 17:28 |
Linkki tähän viestiin
|
|
Kokeilin tuota "EXE File Association Fix". Mutta ei se mitään auttanut.
Mitä tässä nyt uskaltaa kokeilla... en haluaisi tätä konetta enempää sekaisin...
|
AfterDawn Addict
|
15. maaliskuuta 2009 @ 17:32 |
Linkki tähän viestiin
|
Kun näemmä SDFix toimii vikasietotilassa, niin kokeilepa josko hijackthis toimisi siellä.
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 17:42 |
Linkki tähän viestiin
|
-kemisti- Osaatko antaa tarkempia neuvoja ton hijackthis ohjelman suhteen. Olen siis aika peukalo keskellä tän asian suhteen, joten en haluaisi mokata mitään.
Onko kyseessä sama ohjelma kuin käyttäjän 79atanos suosittelema HJTInstall.exe??
|
Senior Member
3 tuotearviota
|
15. maaliskuuta 2009 @ 17:44 |
Linkki tähän viestiin
|
|
On sama ohjelma kyseessä ;)
GA B85M D3H | E3-1230V3 | True Spirit 120 M BW Rev.A | Asus R9 270X DCII TOP | SF-600P14XE-PRO | 8GB RAM | PNY 120GB SSD | WDC WD10EZEX | Fractal Define Mini | Win7 64bit Pro |
|
AfterDawn Addict
|
15. maaliskuuta 2009 @ 17:45 |
Linkki tähän viestiin
|
|
HJTInstall.exe on HijackThis-ohjelman asennuspaketti.
Eli lataa se ja noudata aiempia ohjeita vikasietotilassa :)
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 18:15 |
Linkki tähän viestiin
|
Sain tehtyä sen ja laitan nyt siitä tulleen login tänne ja sitten siihen toiseen osoitteeseen. Mitä tämän jälkeen?
***************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:20, on 15.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iltasanomat.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\winner\LOCALS~1\Temp\266.tmp.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.espoonkeittiomaailma.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008...toUploader5.cab
O16 - DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} (IfolorUploader Control) - http://fika-web.ifolor.net/OrderingGener...loader_fika.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5...b?1110101021193
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD5/JSCDL/jre/6...ows-i586-jc.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
--
End of file - 8506 bytes
|
AfterDawn Addict
|
15. maaliskuuta 2009 @ 18:22 |
Linkki tähän viestiin
|
|
Ajapas mbam vikasietotilassa (jos toimii/asentuu) ja lähetä sen loki ja uusi HijackThis-loki, joka on otettu mbamin jälkeen.
Ei HjT-lokeja tms. yksityisviestillä!
|
Senior Member
9 tuotearviota
|
15. maaliskuuta 2009 @ 19:48 |
Linkki tähän viestiin
|
@-kemisti-
Todella harvoin combofixin ajossa tapahtuu mitään hämminkiä. Mihin tietoon tuo perustuu niin hujon. Mutta oikeessa olet, että se ei ole lelu.
@Sasu
Avaa HijackThis klikkaa do a system scan only ja merkkaa fix checked
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\winner\LOCALS~1\Temp\266.tmp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
tuo combofix on nyt luultavasti ainoo toivo, että se kannattaa käyttää, jos meinataan koneesi saaha kuntoon. Vai säästytäänkö urakalta ja formatoit masiinan?
JOs tässä suoraan avaudutaan, niin oon vasta oppinut fixailemaan näillä jotain ja haen kokemusta. Jossei luota näihin neuvoihin, voit postata tuon hjt login virustorjunta.net 'iin oikeelle osastolle ja odottaa siellä kun joku sulle vastaa (vaatii rekisteröitymisen) mutta siellä ne ehdottaa samoja ohjelmia kuin minäkin, Combofix & sdfix.
Nykyinen luuri: Samsung Galaxy S III
Nykyinen kone: Asus K54SV + DNA 4G WLAN Mokkula, joka toimii jos toimii.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. maaliskuuta 2009 @ 19:54
|
|
warwas
Suspended permanently
|
15. maaliskuuta 2009 @ 19:57 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti temple69:
@-kemisti-
Todella harvoin combofixin ajossa tapahtuu mitään hämminkiä. Mihin tietoon tuo perustuu niin hujon. Mutta oikeessa olet, että se ei ole lelu.
Sanotaan että Kemistillä tuhansien lokien kokemus, varmaan suomen kokenein fixari/ope ja jne...
Lainaus, alkuperäisen viestin kirjoitti temple69:
JOs tässä suoraan avaudutaan, niin oon vasta oppinut fixailemaan näillä jotain ja haen kokemusta. Jossei luota näihin neuvoihin, voit postata tuon hjt login virustorjunta.net 'iin oikeelle osastolle ja odottaa siellä kun joku sulle vastaa (vaatii rekisteröitymisen) mutta siellä ne ehdottaa samoja ohjelmia kuin minäkin, Combofix & sdfix.
Siellä voipi kemisti ottaa lokin opettajana jos haluaa :P
Taikka voihan tuon laittaa ulkomaisiin foorumeihin missä kemisti myös opettajana
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. maaliskuuta 2009 @ 19:59
|
AfterDawn Addict
|
15. maaliskuuta 2009 @ 19:57 |
Linkki tähän viestiin
|
@temple69: Hujo on henkilö, joka jätti HJT-koulun kesken. Tämän pitäisi kertoa jo kaiken oleellisen.
Lisäksi yleensä laillisia rivejä ei fixata, vaikka Hujo olisikin niin opettanut.
"JOs tässä suoraan avaudutaan, niin oon vasta oppinut fixailemaan näillä jotain ja haen kokemusta"
Kokemusta ei kannata silloin hakea uhrien kustannuksella, sitä varten on kouluja, että oppii. Niitä löytyy sekä ulkomailta että kotimaasta.
"Jossei luota näihin neuvoihin, voit postata tuon hjt login virustorjunta.net 'iin oikeelle osastolle ja odottaa siellä kun joku sulle vastaa (vaatii rekisteröitymisen) mutta siellä ne ehdottaa samoja ohjelmia kuin minäkin, Combofix & sdfix."
Väärin, siellä päin ei heitetä työkaluja toisin kuin täällä näemmä.
@Sasu76: Jätä temple69 omaan arvoonsa ja noudata vain ohjeitani :)
Ei HjT-lokeja tms. yksityisviestillä!
|
Senior Member
9 tuotearviota
|
15. maaliskuuta 2009 @ 20:05 |
Linkki tähän viestiin
|
|
Tietääkseni noita ei tarvita käynnistyksessä?, esim winampin voi käynnistää itse. Mutta; kiitos palautteesta. En loukkaannu tuosta, vaan otan sen palautteesa.
Joten jätän tän teiän harteiile kuten niin toivoittekin, menen siihen kouluun kunhan sinne väkee otetaan vai joko lie otetaan.. onnea matkaan tämän asian kanssa!
Mitä hujoon tulee niin luulin hänen olevan ihan 100% asiantuntija
Nykyinen luuri: Samsung Galaxy S III
Nykyinen kone: Asus K54SV + DNA 4G WLAN Mokkula, joka toimii jos toimii.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. maaliskuuta 2009 @ 20:08
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 20:48 |
Linkki tähän viestiin
|
Pojat pojat... ;-)
Skannasin nyt koneen F-securen online skannerilla ja tuloksena oli useampi virus ja spyware... alla loki siitä, kävin koneen läpi myös Hijack This ohjelmalla ja seuraava loki onkin siitä. mbam-setup.exe ei suostunut avautumaan kuin xml tiedostona vikasietotilassa.
Edelleen virukset juhlii koneella pop uppien muodossa! Ja edelleen exe tiedostot avautuvat xml tiedostoina :-/
En todellakaan halua formatoida konetta, mutta en haluaisi aiheuttaa siihen täydellistä kaaostakaan. Virusten aiheuttama kaaos kiitos riittää.
F-SECURE
******************
Scanning Report
Sunday, March 15, 2009 18:27:17 - 20:22:10
Computer name: OMA
Scanning type: Scan system for malware, rootkits
Target: C:\ K:\
--------------------------------------------------------------------------------
Result: 18 malware found
TrackingCookie.2o7 (spyware)
System
TrackingCookie.Adform (spyware)
System
TrackingCookie.Admeta (spyware)
System
TrackingCookie.Adtoma (spyware)
System
TrackingCookie.Advertising (spyware)
System
TrackingCookie.Atwola (spyware)
System
TrackingCookie.Doubleclick (spyware)
System
TrackingCookie.Imrworldwide (spyware)
System
TrackingCookie.Instadia (spyware)
System
TrackingCookie.Research-int (spyware)
System
TrackingCookie.Tradedoubler (spyware)
System
Trojan-Downloader.Win32.Agent (virus)
System
Trojan-Downloader.Win32.Agent.bkyo (virus)
C:\WINDOWS\system32\50hl8p3u.exe
Trojan-Downloader.Win32.Agent.bkyp (virus)
C:\WINDOWS\system32\userinit.exe (Submitted)
Trojan-Downloader.Win32.Agent.blbd (virus)
C:\Documents and Settings\winner\Local Settings\Temporary Internet Files\Content.IE5\BDXC0W20\viewtubesoftware.40032[1].exe
Trojan.Win32.Agent (virus)
System
Trojan.Win32.Agent.buts (virus)
C:\Documents and Settings\winner\Ty?p?yt?\SDFix\backups_old\backups.zip\backups\svchostw.exe
C:\Documents and Settings\winner\Local Settings\Temporary Internet Files\Content.IE5\DITAMHM5\svc[1].exe (Renamed & Submitted)
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 80703
System: 14582
Not scanned: 7
Actions:
Disinfected: 0
Renamed: 1
Deleted: 0
None: 17
Submitted: 2
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure USS: 3.0.0
F-Secure Hydra: 3.6.8511, 2009-03-15
F-Secure AVP: 7.0.171, 2009-03-15
F-Secure Pegasus: 1.20.0, 1970-00-01
F-Secure Blacklight: 0.0.0
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Scan inside archives
Use Advanced heuristics
--------------------------------------------------------------------------------
Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.
HIJACK THIS
***************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:31:21, on 15.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iltasanomat.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\winner\LOCALS~1\Temp\266.tmp.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.espoonkeittiomaailma.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008...toUploader5.cab
O16 - DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} (IfolorUploader Control) - http://fika-web.ifolor.net/OrderingGener...loader_fika.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5...b?1110101021193
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD5/JSCDL/jre/6...ows-i586-jc.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
--
End of file - 8630 bytes
|
AfterDawn Addict
|
15. maaliskuuta 2009 @ 20:55 |
Linkki tähän viestiin
|
Userinit on saastunut ja helpoin tapa palauttaa puhdas kopio on combofix ja palautuskonsoli (combofix ei palauta puhdasta kopiota/korjaa saastunutta ilman palautuskonsolia mikäli sellaista on koneella) Jos combofix ei toimi normaalissa tilassa niin kokeile vikasietotilaa.:
Ole hyvä ja klikkaa alla olevaa linkkiä lukeaksesi käyttöohjeet ja saadaksesi latauslinkit:
http://www.bleepingcomputer.com/combofix/fi/combofixin-kayttoohje
[COLOR=Blue]Varmistu, että luet ensin ohjeen huolellisesti ja annat Combofixin asentaa palautuskonsolin.[/COLOR]
Windowsin palautuskonsoli mahdollistaa käynnistyksen erityiseen palautustilaan. Palautuskonsolin kautta voimme auttaa sinua helpommin mikäli haittaohjelmien poiston yhteydessä ilmenee ongelmia. Se on helppo toimenpide, joka vie vain muutaman hetken.
Asennuksen jälkeen sinun pitäisi nähdä sininen ruutu, jossa lukee:
Palautuskonsoli asennettiin onnistuneesti.
Jatka seuraavasti:
[*]Sulje/ota pois päältä kaikki virustorjunta- ja haittaohjelmien poisto-ohjelmat, jotta ne eivät häiritse ComboFixin ajoa, ohje (englanniksi)
Muista laittaa ne takaisin päälle ajon jälkeen.
[*]Valitse Kyllä, jotta ComboFix jatkaa haittaohjelmien poistoa.
Kun ComboFix on valmis, se luo raportin.
Ole hyvä ja kopioi/liitä seuraavat raportit vastaukseesi:
C:\ComboFix.txt
uusi HijackThis-loki.
Ei HjT-lokeja tms. yksityisviestillä!
|
|
Mainos
|
|
|
|
Sasu76
Junior Member
|
15. maaliskuuta 2009 @ 21:27 |
Linkki tähän viestiin
|
Ongelma!
Luin tuosta Windowsin palautuskonsolista ja ymmärsinkö oikein, että sen asentamiseen/käyttämiseen tarvitaan aina Windows XP:n cd?
Kone on vanha työkoneeni, ostettu työnantajalta ja en muista saaneeni mitään Windows XP:n cdtä...!
|
