Adware:Win32/Generic.A

Virustarkistimet huutaa että on tuollainen Adware:Win32/Generic.A troijalainen koneessa ja aina kun painan "poista" niin siinä sanotaan että se on saatu poistettua mutta sitten aina parin minuutin päästä alkaa taas huutamaan sitä samaa että siellä on tuollainen adware, mitä pitäisi tehdä? Tässä Hijack -logi

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:14:34, on 6.4.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Topro\TP6810\tppoll10.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Taskmgr.exe
C:\Windows\System32\notepad.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TPPOLL10] C:\Program Files\TOPRO\TP6810\TPPOLL10.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Paikallinen palvelu')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'Paikallinen palvelu')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Verkkopalvelu')
O4 - Startup: OP_CACHE.ATR
O4 - Startup: OP_CACHE.IDX
O4 - Global Startup: OP_CACHE.ATR
O4 - Global Startup: OP_CACHE.IDX
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O13 - Gopher Prefix:
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: c:\progra~1\google\google~2\goec62~1.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Program Files\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 5942 bytes


niin ja tässä tietoja windowsin palomuurin mukaan:

Luokka:
Troijalainen

Kuvaus:
Tämän ohjelman toiminta saattaa olla haitallista.

Neuvo:
Salli tämä havaittu kohde vain, jos luotat ohjelmaan tai ohjelmistojulkaisijaan.

Resurssit:
process:
pid:1744

Luokka:
Troijalainen

Kuvaus:
Tämän ohjelman toiminta saattaa olla haitallista.

Neuvo:
Salli tämä havaittu kohde vain, jos luotat ohjelmaan tai ohjelmistojulkaisijaan.

Resurssit:
process:
pid:2756

tuo prosessi näyttää vaihtuvan joka kerta kun se huutaa uudestaan viruksesta/troijalaisesta tai mikälie onkin.

 

Poista lisää poista sovelutuksesta

AskTBar
Crawler_Toolbar

Poista vikasiedossa kansio

C:\Program Files\AskTBar

==============

scannaa hjt:llä merkkaa paina Fix checked

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - Startup: OP_CACHE.ATR
O4 - Startup: OP_CACHE.IDX
O4 - Global Startup: OP_CACHE.ATR
O4 - Global Startup: OP_CACHE.IDX
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

=============

1.Lataa combofix.exe työpöydällesi yhdestä linkistä:
combofix1
combofix2

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

 

ennnen kuin käytän tuota combofixiä niin toimiihan se vistalla?

luki siinä jossain kohtaa nimittäin jotain tällaista:
Järjestelmä ei löydä sanomaa numerolla 0x2371 ohjelman Application sanomatiedostossa


http://img245.imageshack.us/img245/3816/raporttigk3.jpg

 

tee korjaus asennus vistalle

 

Mitä? Ei minulla vistan pyörittämisessä ole ongelmia :S. Troijalainen pitäisi vain saada häviämään. Vista muuten on OEM enkä oikein pidä siitä sählingistä minkä se teettää kun sitä asennellaan.

Minulla siis sama juttu kuin täällä:
http://keskustelu.afterdawn.com/thread_view.cfm/647266

En ole vain skannannut vielä sillä combofixillä kun pelottaa että kone sanoo itsensä irti kun tuota virhettä selostaa kerta alussa.

Pitääkö tuota ohjelmaa muuten ajaa vikasietotilassa?

 

Ei sanonutkaan itseään irti kun kokeilin, tässä logi:

ComboFix 08-04-04.1 - - 2008-04-06 19:35:22.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1035.18.461 [GMT 3:00]
Running from: C:\Users\-\Desktop\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Users\-\AppData\Local\Microsoft\Windows\Temporary Internet Files\OP_CACHE.ATR
C:\Users\-\AppData\Local\Microsoft\Windows\Temporary Internet Files\OP_CACHE.IDX
C:\Windows\system32\kmd.exe

.
((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2008-03-06 to 2008-04-06 )))))))))))))))))
.

Tiedostoja ei ole luotu tällä aikavälillä

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-06 16:37 2,621,440 --sha-w C:\Users\-\ntuser.dat
2008-04-06 16:37 2,621,440 --sha-w C:\Users\-\ntuser.dat
2008-04-06 14:17 --------- d-----w C:\Program Files\Crawler
2008-04-06 13:11 4,128 ----a-w C:\Windows\System32\msdxmlc.dll
2008-04-06 13:02 720,896 ----a-w C:\Windows\iun6002.exe
2008-04-06 12:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-06 12:32 --------- d-----w C:\Program Files\ICQToolbar
2008-04-06 11:41 --------- d-----w C:\Users\-\AppData\Roaming\Spyware Terminator
2008-04-06 11:41 --------- d-----w C:\Program Files\WinClamAVShield
2008-04-06 11:40 --------- d-----w C:\Program Files\Spyware Terminator
2008-04-05 08:01 --------- d-----w C:\ProgramData\Spyware Terminator
2008-04-05 07:34 --------- d-----w C:\Program Files\Java
2008-03-24 17:03 --------- d-----w C:\Users\-\AppData\Roaming\Adobe
2008-03-13 17:11 --------- d-----w C:\Program Files\Windows Mail
2008-03-11 09:38 716,272 ----a-w C:\Windows\system32\drivers\sptd.sys
2008-03-10 07:14 6,720 --sha-r C:\Windows\system32\drivers\OP_CACHE.ATR
2008-03-10 07:14 3,360 --sha-r C:\Windows\system32\drivers\OP_CACHE.IDX
2008-02-29 12:30 138,752 ----a-w C:\Windows\system32\drivers\sp_rsdrv2.sys
2008-02-20 20:12 --------- d-----w C:\Users\-\AppData\Roaming\mIRC
2008-02-13 13:22 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-13 13:22 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-13 13:19 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-13 13:19 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-13 13:19 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-13 13:19 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-13 13:19 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-13 13:19 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
2008-02-13 13:19 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-13 13:18 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-13 13:18 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-13 13:18 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-13 13:18 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-13 13:18 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-13 13:18 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-13 13:18 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-13 13:18 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-13 13:18 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-13 13:18 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-13 13:18 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-02-13 13:16 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-13 13:16 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-13 13:16 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-13 13:16 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-09 11:26 --------- d-----w C:\Users\-\AppData\Roaming\Xfire
2008-02-09 11:26 --------- d-----w C:\Users\-\AppData\Roaming\teamspeak2
2008-02-09 11:25 --------- d-----w C:\Users\-\AppData\Roaming\Dev-Cpp
2008-02-09 11:25 --------- d-----w C:\Users\-\AppData\Roaming\Bioshock
2008-02-09 11:25 --------- d-----w C:\Users\-\AppData\Roaming\AVG7
2008-02-09 11:23 --------- d-----w C:\ProgramData\Xfire
2008-02-09 11:23 --------- d-----w C:\ProgramData\Media Center Programs
2008-02-09 11:23 --------- d-----w C:\ProgramData\fssg
2008-02-09 11:23 --------- d-----w C:\ProgramData\avg7
2008-02-09 11:20 --------- d-----w C:\Program Files\iPod
2008-02-09 11:19 --------- d-----w C:\Program Files\ATI Technologies
2008-02-09 11:09 24 --sha-r C:\Program Files\OP_CACHE.ATR
2008-02-09 11:09 12 --sha-r C:\Program Files\OP_CACHE.IDX
2008-02-09 11:02 --------- d-----w C:\Program Files\Windows Sidebar
2008-02-09 11:02 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-02-09 11:02 --------- d-----w C:\Program Files\Windows Journal
2008-02-09 11:02 --------- d-----w C:\Program Files\Windows Defender
2008-02-09 11:02 --------- d-----w C:\Program Files\Windows Collaboration
2008-02-09 11:02 --------- d-----w C:\Program Files\Windows Calendar
2008-02-09 11:02 --------- d-----w C:\Program Files\QuickTime
2008-02-09 11:02 --------- d-----w C:\Program Files\MSN Messenger
2008-02-09 11:02 --------- d-----w C:\Program Files\iTunes
2008-02-09 11:02 --------- d-----w C:\Program Files\Google
2008-02-09 11:02 --------- d-----w C:\Program Files\Common Files\PX Storage Engine
2008-02-09 11:02 --------- d-----w C:\Program Files\Apple Software Update
2008-02-05 14:17 292,352 ----a-w C:\Windows\System32\psisdecd.dll
2008-01-16 22:38 54,608 ----a-w C:\Windows\System32\xfcodec.dll
2008-01-10 05:50 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2008-01-09 19:06 11,776 ----a-w C:\Windows\System32\sbunattend.exe
2007-08-29 12:20 174 --sha-w C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 22:06 1232896]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 15:34 2159104 C:\Windows\System32\oobefldr.dll]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 15:35 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-05-21 11:33 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2006-11-01 11:37 3772416 C:\Windows\RtHDVCpl.exe]
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-02-29 15:30 2957824]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"TPPOLL10"="C:\Program Files\TOPRO\TP6810\TPPOLL10.EXE" [2005-12-26 10:05 24576]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-11-15 00:43 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-15 14:11 267048]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
OP_CACHE.ATR [2008-02-09 14:09:40 24]
OP_CACHE.IDX [2008-02-09 14:09:40 12]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"LogonHoursAction"= 2 (0x2)
"DontDisplayLogonHoursWarnings"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSVideo8"= VfWWDM32.dll
"msacm.lhacm"= lhacm.acm
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1678103907-664572057-149173908-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F4D7F031-6391-411A-BD56-FC7CF776F4FB}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{66C2C990-1AC5-4D9E-955D-495FF8E92C30}D:\\program files\\valve\\steam\\steamapps\\jou_moon_otso\\counter-strike source\\hl2.exe"= UDP:\program files\valve\steam\steamapps\jou_moon_otso\counter-strike source\hl2.exe:hl2
"UDP Query User{002A92E7-A332-43F1-A61B-7F36B98252BB}D:\\program files\\valve\\steam\\steamapps\\jou_moon_otso\\counter-strike source\\hl2.exe"= TCP:\program files\valve\steam\steamapps\jou_moon_otso\counter-strike source\hl2.exe:hl2
"TCP Query User{D992F756-16A6-45F9-8941-F656E0A9300A}D:\\program files\\lucasarts\\star wars jedi knight jedi academy\\gamedata\\jamp.exe"= UDP:\program files\lucasarts\star wars jedi knight jedi academy\gamedata\jamp.exe:Jedi Academy MultiPlayer
"UDP Query User{A17F8261-596B-4E2F-95C5-4F0A247BE5CA}D:\\program files\\lucasarts\\star wars jedi knight jedi academy\\gamedata\\jamp.exe"= TCP:\program files\lucasarts\star wars jedi knight jedi academy\gamedata\jamp.exe:Jedi Academy MultiPlayer
"TCP Query User{4B5CB5EF-1C4D-4363-B23D-BFA34A00E5C0}D:\\program files\\xfire\\xfire.exe"= UDP:\program files\xfire\xfire.exe:Xfire
"UDP Query User{77697129-C9D3-4975-8474-8E4905B742BF}D:\\program files\\xfire\\xfire.exe"= TCP:\program files\xfire\xfire.exe:Xfire
"TCP Query User{C70D67E5-052F-4AF6-BC59-1699FBFF9CAB}D:\\program files\\lucasarts\\swkotor2\\swupdate.exe"= UDP:\program files\lucasarts\swkotor2\swupdate.exe:Star Wars: Knights of the Old Republic II: The Sith Lords Update Program
"UDP Query User{A0B8EDD0-AFBB-4F0E-90CF-8977BE9CF910}D:\\program files\\lucasarts\\swkotor2\\swupdate.exe"= TCP:\program files\lucasarts\swkotor2\swupdate.exe:Star Wars: Knights of the Old Republic II: The Sith Lords Update Program
"TCP Query User{6F48757E-4D61-4954-B792-2EE6D8B612B9}D:\\program files\\lionhead studios ltd\\black & white\\runblack.exe"= UDP:\program files\lionhead studios ltd\black & white\runblack.exe:lh
"UDP Query User{C4678931-55BF-4478-911C-C18C2877B8F4}D:\\program files\\lionhead studios ltd\\black & white\\runblack.exe"= TCP:\program files\lionhead studios ltd\black & white\runblack.exe:lh
"TCP Query User{76A170D2-FD32-4D5A-BEFD-2F017B3CB947}C:\\program files\\lucasarts\\swkotor2\\swupdate.exe"= UDP:C:\program files\lucasarts\swkotor2\swupdate.exe:Star Wars: Knights of the Old Republic II: The Sith Lords Update Program
"UDP Query User{1DA81FD4-1CF2-4E93-91DB-26A33BDF52D8}C:\\program files\\lucasarts\\swkotor2\\swupdate.exe"= TCP:C:\program files\lucasarts\swkotor2\swupdate.exe:Star Wars: Knights of the Old Republic II: The Sith Lords Update Program
"TCP Query User{3A0A39FB-2180-46D9-8451-562FE4E923F3}D:\\program files\\lucasarts\\star wars jedi knight jedi academy\\gamedata\\jamp.exe"= UDP:\program files\lucasarts\star wars jedi knight jedi academy\gamedata\jamp.exe:Jedi Academy MultiPlayer
"UDP Query User{264E25E9-C5DF-4485-BD77-8A0CE0B0C8F2}D:\\program files\\lucasarts\\star wars jedi knight jedi academy\\gamedata\\jamp.exe"= TCP:\program files\lucasarts\star wars jedi knight jedi academy\gamedata\jamp.exe:Jedi Academy MultiPlayer
"TCP Query User{02154CBD-EEBA-479C-A056-FA114C710207}D:\\program files\\bitcomet\\bitcomet.exe"= UDP:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"UDP Query User{F1027DA8-4357-4179-9F25-1E54907883F3}D:\\program files\\bitcomet\\bitcomet.exe"= TCP:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"{4D90A5EA-1B32-4016-BF19-BBA712EA76D9}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{BBF9A4D7-ADCE-4EF5-B167-9879FAEDB4F4}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"TCP Query User{76267689-5A35-4905-8C42-883E01BCAD0E}D:\\program files\\lucasarts\\star wars jedi knight jedi academy\\gamedata\\jampded.exe"= UDP:\program files\lucasarts\star wars jedi knight jedi academy\gamedata\jampded.exe:Jedi Academy MP Dedicated Server
"UDP Query User{7B58E405-8C1F-4A93-A88F-FB2F0640258A}D:\\program files\\lucasarts\\star wars jedi knight jedi academy\\gamedata\\jampded.exe"= TCP:\program files\lucasarts\star wars jedi knight jedi academy\gamedata\jampded.exe:Jedi Academy MP Dedicated Server
"TCP Query User{384468EA-C431-4849-BBEA-EFAFA8368C3B}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{2CEAA098-02DE-4A33-B4B5-942F88E8D7C3}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{7BCE9BE8-9E75-45FD-8485-B9A6C4BA1F95}D:\\program files\\the all-seeing eye\\eye.exe"= UDP:\program files\the all-seeing eye\eye.exe:Yahoo! All-Seeing Eye
"UDP Query User{390AD230-A62D-46A0-A9C7-9C458DF30726}D:\\program files\\the all-seeing eye\\eye.exe"= TCP:\program files\the all-seeing eye\eye.exe:Yahoo! All-Seeing Eye
"TCP Query User{0F0E29B1-ADCB-4559-9778-372163F02DF0}D:\\program files\\amsn\\bin\\wish.exe"= UDP:\program files\amsn\bin\wish.exe:Wish Application
"UDP Query User{FCE1A664-1CDF-4FE8-A4DC-AC64C9115F2D}D:\\program files\\amsn\\bin\\wish.exe"= TCP:\program files\amsn\bin\wish.exe:Wish Application
"TCP Query User{46937FFB-7994-4A24-86FE-534785A7B7FF}D:\\program files\\lucasarts\\star wars galactic battlegrounds saga\\game\\battlegrounds_x1.exe"= UDP:\program files\lucasarts\star wars galactic battlegrounds saga\game\battlegrounds_x1.exe:Star Wars Galactic Battlegrounds: Clone Campaigns
"UDP Query User{36B9304E-D568-4E5C-95A5-84F65E1F8896}D:\\program files\\lucasarts\\star wars galactic battlegrounds saga\\game\\battlegrounds_x1.exe"= TCP:\program files\lucasarts\star wars galactic battlegrounds saga\game\battlegrounds_x1.exe:Star Wars Galactic Battlegrounds: Clone Campaigns
"TCP Query User{665403B7-A781-41FA-8AB8-D090777C2320}C:\\windows\\system32\\dplaysvr.exe"= UDP:C:\windows\system32\dplaysvr.exe:Microsoft DirectPlay Helper
"UDP Query User{8663C742-FB09-4736-8927-862C638198DB}C:\\windows\\system32\\dplaysvr.exe"= TCP:C:\windows\system32\dplaysvr.exe:Microsoft DirectPlay Helper
"TCP Query User{BA5679DB-CFCE-4CED-AA76-160FA7AAAB0C}D:\\program files\\mirc\\mirc.exe"= UDP:\program files\mirc\mirc.exe:mIRC
"UDP Query User{B429F5CA-1212-4BF0-8EE0-585073E6E06D}D:\\program files\\mirc\\mirc.exe"= TCP:\program files\mirc\mirc.exe:mIRC
"TCP Query User{C482FD54-5F10-4FA5-9339-0F80FACCA2D1}D:\\program files\\icq6\\icq.exe"= UDP:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{4A2C1091-5F23-43FF-ACDC-9160A9EF1F69}D:\\program files\\icq6\\icq.exe"= TCP:\program files\icq6\icq.exe:ICQ Library

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\Windows\system32\drivers\sp_rsdrv2.sys [2008-02-29 15:30]
R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-03-15 05:04]
R3 DCamUSBTP10;TP6810 USB Video Camera;C:\Windows\system32\Drivers\TP6810.sys [2006-06-29 21:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{314af085-ef4f-11dc-9689-001a9244d999}]
\shell\AutoRun\command - F:\AutoRunConstructionSet.exe
\shell\install\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6a1fd6b-0772-11dc-b0b2-806e6f6e6963}]
\shell\AutoRun\command - E:\autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-06 19:37:48
Windows 6.0.6000 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-04-06 19:38:24
ComboFix-quarantined-files.txt 2008-04-06 16:38:21
Järjestelmä ei löydä sanomaa numerolle 0x2379 ohjelman Application sanomatiedostossa.
Järjestelmä ei löydä sanomaa numerolle 0x2379 ohjelman Application sanomatiedostossa.
.
2008-04-03 17:38:47 --- E O F ---

 

Lataa Malwarebytes' Anti-Malware työpöydällesi.

1. Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
2. Lopuksi varmistu, että seuraavat on valittu: Update Malwarebytes', Anti-Malwareja
Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaaFinish.
3. Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
4. Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
5. Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
6. Varmistu, että kaikki on merkitty ja klikkaa Remove Selected.
7. Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki
löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application
Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
8. Lähetä lokin sisältö seuraavassa viestissäsi.

 

Ei näyttänyt löytävän mitään

Malwarebytes' Anti-Malware 1.10
Tietokantaversio: 598

Tarkistustyyppi: Täysi tarkistus (C:\|D:\|)
Tarkistetut kohteet: 179352
Kulunut aika: 25 minute(s), 24 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 0

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
(Haitallisia kohteita ei löydetty)


Huomasin kuitenkin kun tein HijackThis skannauksen uudestaan, että nuo
O4 - Global Startup: OP_CACHE.ATR
O4 - Global Startup: OP_CACHE.IDX
ovat vieläkin listassa, olisikö niiden pitänyt poistua sen jälkeen kun painan fix checked?

Näin sen windows palomuurin troijalais ilmoituksen ensimmäistä kertaa pari minuuttia sen jälkeen, kun olin ladannut javan
http://www.java.com/en/

 

näyttäs olevan puhas..

 

Luin tosta ylempää että sinulla on windowsin palomuuri käytössä? Ota se ihmeessä pois, mikä tahansa ilmainen on parempi! Windowsin palomuuri sotkee kaikkea varsinkin toi vistan! Minua ainakn ärsytti ku kokeilin joskus kamun luona, XP:n on parempi eikä heraa kaikesta mutta ota se kumminki pois! Zone Alarm on ihan hyvä peruspalomuuri : )

 

Kiitos kaikille