Avast herjaa rootkiteistä ja pysäyttäjästä

teva82 · Nov 24, 2009

Avast alkoi jälleen herjailemaan:

24.11.2009 16:54:08 SYSTEM 1552 Sign of "Win32:Alureon-EJ [Rtk]" has been found in "C:\WINDOWS\system32\tdlcmd.dll" file.
24.11.2009 17:22:16 SYSTEM 1572 Sign of "Win32:Alureon-EJ [Rtk]" has been found in "C:\WINDOWS\system32\tdlcmd.dll" file.
24.11.2009 17:35:50 SYSTEM 1572 Sign of "Win32:Neredr [Drp]" has been found in "C:\Program Files\Alwil Software\Avast4\DATA\moved\install.exe" file.
24.11.2009 17:44:19 SYSTEM 1572 Sign of "Win32:Neredr [Drp]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP265\A0071857.exe\install.exe" file.
24.11.2009 17:46:36 SYSTEM 1572 Sign of "Win32:Neredr [Drp]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP280\A0074559.exe\install.exe" file.
24.11.2009 17:47:24 SYSTEM 1572 Sign of "Win32:Alureon-EC [Rtk]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP280\A0074884.dll" file.
24.11.2009 17:48:00 SYSTEM 1572 Sign of "Win32:Alureon-EJ [Rtk]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP281\A0075021.dll" file.
24.11.2009 17:48:06 SYSTEM 1572 Sign of "Win32:Alureon-EJ [Rtk]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP281\A0076039.dll" file.
24.11.2009 17:48:11 SYSTEM 1572 Sign of "Win32:Alureon-EJ [Rtk]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076056.dll" file.
24.11.2009 17:48:16 SYSTEM 1572 Sign of "Win32:Alureon-EJ [Rtk]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076071.dll" file.
24.11.2009 17:48:19 SYSTEM 1572 Sign of "Win32:Alureon-EJ [Rtk]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076086.dll" file.
24.11.2009 17:48:22 SYSTEM 1572 Sign of "Win32:Alureon-EJ [Rtk]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076101.dll" file.
24.11.2009 17:48:25 SYSTEM 1572 Sign of "Win32:Alureon-EJ [Rtk]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076116.dll" file.
24.11.2009 17:48:29 SYSTEM 1572 Sign of "Win32:Neredr [Drp]" has been found in "C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076150.exe" file.
24.11.2009 18:14:43 SYSTEM 1592 Sign of "Win32:Alureon-EJ [Rtk]" has been found in "C:\WINDOWS\system32\tdlcmd.dll" file.

Tämän jälkeen tein täyden tarkastuksen Malwarebytes ohjelmalla, jonka loki seuraavanlainen:

Malwarebytes' Anti-Malware 1.41
Tietokantaversio: 3222
Windows 5.1.2600 Service Pack 3

24.11.2009 18:08:08
mbam-log-2009-11-24 (18-08-08).txt

Tarkistustyyppi: Täysi tarkistus (C:\|D:\|E:\|)
Tarkistetut kohteet: 143899
Kulunut aika: 40 minute(s), 5 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 5

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076056.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076071.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076086.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076101.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C5A46CB5-966F-4CF1-B76D-47AE219BDBB5}\RP282\A0076116.dll (Rootkit.Agent) -> Quarantined and deleted successfully.

Ja vielä HijackThis logi:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:41, on 24.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 4559 bytes

Malvarebytes tarkastuksen jälkeen herjailut kuitenkin heti jatkuivat avastilla, vaikka kone välillä käynnistetty uudelleen. Mikähän mättää??

Hujo · Nov 24, 2009

Seuraa polkua ja poista tuo file
C:\WINDOWS\system32\tdlcmd.dll

-------

1. Klikkaa käynnistä > Oma tietokone oikean puoleisella hiiren napilla
2. Valitse ominaisuudet
3. Valitse järjestelmän palauttaminen välilehti
4. Ruksi eteen ¤ poista järjestelmän palauttaminen kaikissa asemissa
5. Paina Käytä
6. Paina ok
7. Sammuta ja käynnistä
8. Ota ruksi pois ¤ poista järjestelmän palauttaminen kaikissa asemissa
9. Käytä ja OK

teva82 · Dec 3, 2009

Olisiko mitä muita ehdotuksia? Näyttää tuo tiedosto tdlcmd.dll ilmestyvän uudestaan, vaikka sen poistaa ja hävittää palautuspisteet. Alla vielä hjt loki:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:59:31, on 3.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 4275 bytes

Hujo · Dec 3, 2009

Malwarebytes' Anti-Malware päivitä ja aja uusi täysi scannaus

teva82 · Dec 4, 2009

Malvare ei löytänyt mitään. Poistelen avastilla aina tuon tdlcmd.dll fiilun pois, kun siitä ilmoittelee. Ensimmäisen kerran ilmoittaa yleensä melkein heti kun kone on käynnistynyt ja seuraavana kerran noin tunnin päästä.

Hujo · Dec 4, 2009

SUPERAntiSpyware latailes tuolta ja aja lävitse.

teva82 · Dec 6, 2009

Eipä löytänyt SUPERAntiSpyware mitään. Voisko vielä mitä kokeilla?

Hujo · Dec 6, 2009

Tarkista koneesi F-Securen online skannerilla

Huom, skanneri toimii vain Internet Explorer selaimella

* Lue sivun ohjeet huolella läpi
* Klikkaa Start scanning
* Mikäli saat Internet Explorer -suojausvaroituksen, klikkaa Asenna
* Klikkaa Accept
* Klikkaa Custom Scan
* Säädä asetukset seuraavasti

o "Virus Scan Option" kohdasta valitse Scan whole system
o "Other Scan Option" kohdasta valitse Scan All Files
o Valitse Scan whole system for rootkits
o Valitse Scan whole system for spyware
o Laita ruksi kohtaan Scan inside archives
o Varmista että Use advanced heuristics on valittuna

* Klikkaa Start
* Skannaus käynnistyy kun tarvittavat tiedostot/päivitykset on ladattu
* Odota kärsivällisesti
* Kun sakannaus on suoritettu, klikkaa Automatic cleaning
* Klikkaa Show Report
* Raportti aukeaa selaimessa, kopioi teksti kokonaan
* Liitä kopioitu teksti esim. muistioon tai Wordiin ja tallenna työpöydälle
* Voit sulkea skannerin
* Lähetä raportti viestiketjuusi

Älä tee muuta sillä voi aiheuttaa koneen jumiutumisen

teva82 · Dec 7, 2009

Tässä olisi tarkastusraportti:

Tarkistusraportti
Maanantai, Joulukuu 7, 2009 15:38:30 - 16:26:38

Tarkistuksen tyyppi: Tarkista järjestelmä haitta-, vakoilu- ja rootkit-ohjelmien varalta
Kohde: C:\ D:\ E:\

Haittaohjelmia löytyi 6
TrackingCookie.2o7 (vakoiluohjelma)
• Järjestelmä (Puhdistettu)
TrackingCookie.Advertising (vakoiluohjelma)
• Järjestelmä (Puhdistettu)
TrackingCookie.Atdmt (vakoiluohjelma)
• Järjestelmä (Puhdistettu)
TrackingCookie.Adform (vakoiluohjelma)
• Järjestelmä (Puhdistettu)
TrackingCookie.Doubleclick (vakoiluohjelma)
• Järjestelmä (Puhdistettu)
Trojan.Packed.11336 (virus)
• C:\Documents and Settings\Tero&Katja\Local Settings\Temporary Internet Files\Content.IE5\0R6KP4SE\fsecureantivirusforworkstationsv5.44.11411keygenagain[1]\F-Secure.Anti-Virus.for.Workstations.v5.44.11411.Keymaker.Only-AGAiN\Keymaker.exe (Nimetty uudelleen & Lähetetty)

Tilastot
Tarkistettu:
• Tiedostot: 87043
• Järjestelmä: 3193
• Ei tarkistettu: 33
Toimenpiteet:
• Puhdistettu: 5
• Nimetty uudelleen: 1
• Poistettu: 0
• Ei puhdistettu: 0
• Lähetetty: 1
Tarkistamattomat tiedostot:
• C:\PAGEFILE.SYS
• C:\WINDOWS\TEMP\PERFLIB_PERFDATA_650.DAT
• C:\WINDOWS\TEMP\_AVAST4_\WEBSHLOCK.TXT
• C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG
• C:\WINDOWS\SYSTEM32\CONFIG\SAM
• C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG
• C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG
• C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
• C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG
• C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
• C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
• C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG
• C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
• C:\WINDOWS\SYSTEM32\CATROOT2\EDB.LOG
• C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB
• C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
• C:\DOCUMENTS AND SETTINGS\TERO&KATJA\NTUSER.DAT.LOG
• C:\DOCUMENTS AND SETTINGS\TERO&KATJA\NTUSER.DAT
• C:\DOCUMENTS AND SETTINGS\TERO&KATJA\LOCAL SETTINGS\TEMP\OM22B.TMP
• C:\DOCUMENTS AND SETTINGS\TERO&KATJA\LOCAL SETTINGS\TEMP\OM22C.TMP
• C:\DOCUMENTS AND SETTINGS\TERO&KATJA\LOCAL SETTINGS\TEMP\~DF3D8D.TMP
• C:\DOCUMENTS AND SETTINGS\TERO&KATJA\LOCAL SETTINGS\TEMP\~DF3EFA.TMP
• C:\DOCUMENTS AND SETTINGS\TERO&KATJA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
• C:\DOCUMENTS AND SETTINGS\TERO&KATJA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
• C:\Documents and Settings\Tero&Katja\Application Data\Mozilla\Firefox\Profiles\t4sxznam.default\extensions\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}\chrome\bs_player.jar\skin\skin.rar.txt\dummy file name of broken archive
• C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\NTUSER.DAT.LOG
• C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\NTUSER.DAT
• C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
• C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
• C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\NTUSER.DAT.LOG
• C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\NTUSER.DAT
• C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
• C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG

Hujo · Dec 7, 2009

Lataa Atribunen ATF Cleaner

Ohjeet;

Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman.Main:n alla valitse: Select All
Klikkaa Empty Selected valintaa.
Jos käytät FireFoxia selaimenasi Klikkaa Firefox yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Jos käytät Operaa selaimenasiKlikkaa Opera yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa taas.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Klikkaa Exit päävalikosta sulkeaksesi ohjelman.
Teknistä tukea tulee jos tupla-klikkaat sähköpostiosoitetta joka sijaitsee jokaisen menun alapuolella kyseisessä työkalussa. (Huomatkaa että se tuki on sitten englanniksi)

teva82 · Dec 7, 2009

Jep, ATF cleanerilla puhdistukset suoritettu.

Hujo · Dec 7, 2009

ok.

Log in or Sign up

Avast herjaa rootkiteistä ja pysäyttäjästä

teva82 Member

Hujo Guest

teva82 Member

Hujo Guest

teva82 Member

Hujo Guest

teva82 Member

Hujo Guest

teva82 Member

Hujo Guest

teva82 Member

Hujo Guest

Share This Page

Log in or Sign up

Avast herjaa rootkiteistä ja pysäyttäjästä

teva82 Member

Hujo Guest

teva82 Member

Hujo Guest

teva82 Member

Hujo Guest

teva82 Member

Hujo Guest

teva82 Member

Hujo Guest

teva82 Member

Hujo Guest

Share This Page

Useful Searches