bacdoor.huai?? (hjt log)

armani83 · May 29, 2007

AVG anti-spyvare 7.5 huomasi skannauksen yhteydesä tuollasen C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\setup.exe -> Backdoor.Huai : Cleaned with backup (quarantined).

nimisen haittaohjelman joka kuitenkin eristettiin. Yritin löytää tietoa siitä mutta mistään ei oikeen osunu silmään, että millanen haitta ohjelma on kyseessä?

Logfile of HijackThis v1.99.1
Scan saved at 21:24:02, on 29.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TuneUp Utilities 2007\MemOptimizer.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\scanner.exe.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Avaa uuteen etuvälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/230?639c600997d944a9b7b053e70163f56f
O8 - Extra context menu item: Avaa uuteen taustavälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/229?639c600997d944a9b7b053e70163f56f
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Auttaja · May 29, 2007

1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. (C:\ComboFix.txt) Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

======

Lataa Dr.Web CureIt työpöydälle:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

[*]Tuplaklikkaa drweb-cureit.exe ja anna sen tehdä express scan
[*]Se skannaa käynnissä olevat ohjelmat ja jos jotain löytyy, klikkaa yes kun se kysyy haluatko poistaa sen. Tämä on vain lyhyt scan.
[*]Kun scan on valmis, merkkaa asemat, jotka haluat scannata.
[*]Valitse kaikki asemat. Punainen piste osoittaa, mitkä asemat on valittu.
[*]Klikaa vihreää nuolta oikealla ja scan alkaa.
[*]Klikkaa 'Yes to all', jos kysytään haluatko poistaa/siirtää tiedoston.
[*]Kun scan on valmis, katso voitko klikata next-kuvaketta löytyneiden tiedostojen vieressä:
[*]Jos asia on niin, klikkaa sitä ja sitten klikkaa next-kuvaketta oikealla alhaalla ja valitse Move incurable kuten alla olevalla kuvassa:

Tämä siirtää sen %userprofile%\DoctorWeb\quarantine-hakemistoon.
[*]Tämän jälkeen klikkaa Dr.Web CureIt-valikossa file ja valitse save report list
[*]Tallenna raportti työpöydälle. Raportin nimi on DrWeb.csv
[*]Sulje Dr.Web Cureit.
[*]Käynnistä kone uudelleen !! Tämä siksi, että käytössä olevat tiedostot poistetaan/siirretään käynnistyksen yhteydessä.
[*]Käynnistyksen jälkeen liitä Dr.Web-lokin, jonka tallensit aiemmin, sisältö seuraavaan vastaukseesi.

armani83 · May 30, 2007

Combofix

"Jenni" - 2007-05-30 11:16:29 Service Pack 2
ComboFix 07-05.27.V - Running from: "C:\Program Files\Mozilla Firefox\"

((((((((((((((((((((((((((((((( Files Created from 2007-04-28 to 2007-05-30 ))))))))))))))))))))))))))))))))))

2007-05-30 09:17 <DIR> d-------- C:\Microprose
2007-05-30 00:20 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-05-30 00:20 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-05-30 00:10 <DIR> d-------- C:\Program Files\TuneUp Utilities 2007
2007-05-29 22:20 <DIR> d-------- C:\DOCUME~1\Jenni\APPLIC~1\TuneUp Software
2007-05-29 22:19 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\TuneUp Software
2007-05-29 21:22 218,112 --a------ C:\scanner.exe.exe
2007-05-27 17:54 538 --a------ C:\WINDOWS\system32\tmp.reg
2007-05-27 17:48 <DIR> d-------- C:\VundoFix Backups
2007-05-23 01:50 <DIR> d-------- C:\Program Files\QuickTime Alternative
2007-05-23 01:50 <DIR> d-------- C:\Program Files\Media Player Classic
2007-05-23 01:50 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
2007-05-21 23:46 <DIR> d-------- C:\Program Files\uTorrent
2007-05-21 23:46 <DIR> d-------- C:\DOCUME~1\Jenni\APPLIC~1\uTorrent
2007-05-13 19:09 <DIR> d-------- C:\DOCUME~1\Jenni\APPLIC~1\MusicIP
2007-05-11 00:09 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
2007-05-10 23:56 96,374 --a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\firstlsp.reg.dat
2007-05-09 19:08 <DIR> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-05-07 15:30 <DIR> d-------- C:\Program Files\eMule
2007-04-27 11:21 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2007-04-27 11:21 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2007-04-27 11:21 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-04-27 11:21 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2007-04-27 11:20 4,608 --a------ C:\WINDOWS\system32\w95inf32.dll
2007-04-27 11:20 315,904 --a------ C:\WINDOWS\IsUninst.exe
2007-04-27 11:20 2,272 --a------ C:\WINDOWS\system32\w95inf16.dll
2007-04-27 11:20 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2007-04-27 11:20 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2007-04-27 11:20 <DIR> d-------- C:\Documents and Settings\Jenni\WINDOWS
2007-04-27 11:20 <DIR> d-------- C:\DOCUME~1\Jenni\WINDOWS
2007-04-27 00:18 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2007-04-27 00:16 <DIR> d-------- C:\Program Files\MSBuild
2007-04-27 00:16 <DIR> d-------- C:\Program Files\Microsoft Works
2007-04-27 00:14 <DIR> d-------- C:\Program Files\Microsoft.NET
2007-04-27 00:11 <DIR> d-------- C:\Program Files\Microsoft Visual Studio 8
2007-04-27 00:10 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-04-27 00:09 <DIR> dr-h----- C:\MSOCache
2007-04-27 00:09 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
2007-04-24 12:46 720,896 --a------ C:\WINDOWS\iun6002ev.exe
2007-04-24 12:46 <DIR> d-------- C:\Program Files\Bejeweled 2 Deluxe
2007-04-24 00:49 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-04-23 12:49 <DIR> d-------- C:\Program Files\xlt
2007-04-22 22:51 <DIR> d-------- C:\Program Files\Shockwave.com
2007-04-21 00:03 118,784 --a------ C:\WINDOWS\system32\MSSTDFMT.DLL
2007-04-21 00:03 <DIR> d-------- C:\Program Files\SpywareBlaster
2007-04-20 23:51 <DIR> d-------- C:\Program Files\ToniArts
2007-04-19 15:32 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2007-04-19 15:32 737,280 --a------ C:\WINDOWS\iun6002.exe
2007-04-19 15:32 <DIR> d-------- C:\Program Files\FireTune
2007-04-18 19:19 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys
2007-04-18 19:19 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys
2007-04-18 19:19 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS
2007-04-18 19:19 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys
2007-04-18 19:19 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys
2007-04-18 19:19 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2007-04-18 19:19 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2007-04-18 19:18 53,760 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-04-18 19:13 7,734 --a------ C:\WINDOWS\system32\Repository.reg
2007-04-18 19:13 527,136 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2007-04-18 19:13 487,328 --a------ C:\WINDOWS\system32\drivers\LV561AV.SYS
2007-04-18 19:13 40,352 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2007-04-18 19:13 348,160 --a------ C:\WINDOWS\system\msvcr71.dll
2007-04-18 19:13 264,992 --a------ C:\WINDOWS\system32\lvcodec2.dll
2007-04-18 19:13 211,744 --a------ C:\WINDOWS\system32\LVUI2.dll
2007-04-18 19:13 121,632 --a------ C:\WINDOWS\system32\lvcoinst.dll
2007-04-18 19:12 <DIR> d-------- C:\Program Files\Common Files\Logishrd
2007-04-18 19:12 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logitech
2007-04-17 21:11 <DIR> d-------- C:\Program Files\CCleaner
2007-04-12 22:08 262,144 --a------ C:\DOCUME~1\ALLUSE~1\ntuser.dat
2007-04-11 23:46 <DIR> d-------- C:\WINDOWS\pss
2007-04-11 22:30 <DIR> d-------- C:\DOCUME~1\Jenni\APPLIC~1\DivX
2007-04-11 22:29 116,472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-04-10 20:24 <DIR> d-------- C:\Downloads
2007-04-08 19:46 <DIR> d-------- C:\DOCUME~1\Jenni\APPLIC~1\vlc
2007-04-08 19:45 <DIR> d-------- C:\Program Files\VideoLAN
2007-04-06 20:38 <DIR> d-------- C:\Program Files\Nero
2007-04-06 20:38 <DIR> d-------- C:\Program Files\Common Files\Ahead
2007-04-02 20:04 <DIR> d-------- C:\DOCUME~1\Jenni\APPLIC~1\Leadertech
2007-04-02 20:00 <DIR> d-------- C:\Program Files\Executive Software
2007-04-02 19:43 <DIR> d-------- C:\DOCUME~1\Jenni\APPLIC~1\AdobeAUM
2007-04-02 19:42 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-04-01 14:24 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-04-01 14:24 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-04-01 14:24 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-29 18:58:07 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-05-29 11:31:38 -------- d-----w C:\Program Files\Windows Live Safety Center
2007-05-19 10:48:43 -------- d-----w C:\Program Files\Winamp
2007-05-17 20:09:40 31 ----a-w C:\WINDOWS\popcinfo.dat
2007-04-22 19:51:39 -------- d-----w C:\Program Files\Google
2007-04-22 19:43:53 1,289 ----a-w C:\WINDOWS\mozver.dat
2007-04-21 21:17:42 -------- d-----w C:\DOCUME~1\Jenni\APPLIC~1\Ahead
2007-04-18 16:14:15 -------- d-----w C:\Program Files\Common Files\Logitech
2007-04-18 16:12:57 -------- d-----w C:\Program Files\Logitech
2007-04-18 16:12:23 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-01 11:26:26 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
2007-03-28 08:46:51 -------- d-----w C:\DOCUME~1\Jenni\APPLIC~1\Zylom
2007-03-27 07:55:31 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-03-17 13:45:03 292,864 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 15:48:36 578,048 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:48:36 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:48:36 282,112 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 13:49:49 1,843,968 ----a-w C:\WINDOWS\system32\win32k.sys
2007-03-07 23:51:00 129,784 ------w C:\WINDOWS\system32\pxafs.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 00:48]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-08-31 21:33]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=C:\Program Files\Windows Live Toolbar\msntb.dll [2006-09-27 18:45]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:56]
"TuneUp MemOptimizer"="C:\Program Files\TuneUp Utilities 2007\MemOptimizer.exe" [2007-04-26 21:50]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2006-09-28 17:13]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 00:48]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TapiSrv"=3 (0x3)
"SCardSvr"=3 (0x3)

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp

*Newly Created Service* -PROCEXP90

Contents of the 'Scheduled Tasks' folder
2007-05-29 21:20:51 C:\WINDOWS\tasks\1-Click Maintenance.job
2007-05-30 07:49:01 C:\WINDOWS\tasks\Tarkistetaan Windows Live -työkalurivin päivitykset.job

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-30 11:19:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

********************************************************************

Completion time: 2007-05-30 11:19:54

--- E O F ---

armani83 · May 30, 2007

Dr.web:

Process.exe C:\Program Files\Mozilla Firefox\SmitfraudFix Tool.Prockill Moved.

restart.exe C:\Program Files\Mozilla Firefox\SmitfraudFix Tool.ShutDown.11 Moved.

Auttaja · May 30, 2007

Tarkista koneesi F-Securen online skannerilla

Huom, skanneri toimii vain Internet Explorer selaimella

* Lue sivun ohjeet huolella läpi
* Klikkaa Start scanning
* Mikäli saat Internet Explorer -suojausvaroituksen, klikkaa Asenna
* Klikkaa Accept
* Klikkaa Custom Scan
* Säädä asetukset seuraavasti

o "Virus Scan Option" kohdasta valitse Scan whole system
o "Other Scan Option" kohdasta valitse Scan All Files
o Valitse Scan whole system for rootkits
o Valitse Scan whole system for spyware
o Laita ruksi kohtaan Scan inside archives
o Varmista että Use advanced heuristics on valittuna

* Klikkaa Start
* Skannaus käynnistyy kun tarvittavat tiedostot/päivitykset on ladattu
* Odota kärsivällisesti
* Kun sakannaus on suoritettu, klikkaa Automatic cleaning
* Klikkaa Show Report
* Raportti aukeaa selaimessa, kopioi teksti kokonaan
* Liitä kopioitu teksti esim. muistioon tai Wordiin ja tallenna työpöydälle
* Voit sulkea skannerin
* Lähetä raportti viestiketjuusi

armani83 · Jun 2, 2007

Scanning Report
Saturday, June 02, 2007 01:04:05 - 13:37:55

Computer name: JENNI06
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
Result: 1 malware found
Tracking Cookie (spyware)

* System (Disinfected)

Statistics
Scanned:

* Files: 136897
* System: 4231
* Not scanned: 197

Actions:

* Disinfected: 1
* Renamed: 0
* Deleted: 0
* None: 0
* Submitted: 0

Files not scanned:

* ��� x� IBERFIL.SYS C:\PAGEFILE.SYS
* C:\WINDOWS\WINDOWSUPDATE.LOG
* C:\WINDOWS\TEMP\ZLT02ED2.TMP
* C:\WINDOWS\SYSTEM32\BIOS1.ROM
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CATROOT2\EDB.LOG
* C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB
* C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{4F1B578C-EE2A-4FB0-A184-ED1A80F218D5}.BIN
* root.img
* C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\Ad-Aware SE Default.skn
* C:\PROGRAM FILES\ASKTBAR\POPSWATR\HISTORY\ALLOWED
* C:\PROGRAM FILES\ASKTBAR\POPSWATR\HISTORY\NOTALLOW
* C:\PROGRAM FILES\ASKTBAR\BAR\HISTORY\SEARCH2
* C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\NTUSER.DAT
* C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\NTUSER.DAT
* C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOCUMENTS AND SETTINGS\JENNI\NTUSER.DAT

Options
Scanning engines:

* F-Secure Libra: 2.4.2, 2007-06-01
* F-Secure AVP: 7.0.171, 2007-06-01
* F-Secure Orion: 1.2.37, 2007-06-01
* F-Secure Blacklight: 1.0.53
* F-Secure Draco: 1.0.35, 2007-05-14
* F-Secure Pegasus: 1.19.0, 2007-04-28

Scanning options:

* Scan all files
* Scan inside archives
* Use Advanced heuristics

Auttaja · Jun 2, 2007

Pysy puhtaana

-> Tyhjennä järjestelmänpalautus Ohjeet
Tyhjennä järjestelmänpalautuskansio ja luo uusi palautuspiste. Tämä puhdistaa palautuskansion mahdollisista haittaohjelmajäännöksistä.

-> Käytä CCleaneria -> CCleaner
Lataa ja asenna CCleaner. Puhdista väliaikaistiedostot ja -kansiot ohjelmalla säännöllisesti.

-> Asenna SpywareBlaster -> SpywareBlaster
SpywareBlaster estää haittaohjelmia asentumasta koneellesi. Ei kuluta muistia!
Opas saatavilla suomeksi! Nimimerkki Ad-Awaren opas

-> Asenna MVPS Hosts tiedosto -> MVPS Hosts
Estää koneesi yhteyden haitallisiin sivustoihin.
Opas saatavilla suomeksi! Nimimerkki Axelin opas

-> Vaihda selaimesi Firefoxiin -> Firefox
Firefox on nopeampi, turvallisempi ja parempi selain kuin Internet Explorer.

-> Pidä järjestelmäsi ajantasalla. -> Windows Update
Vieraile Windows Updatessa säännöllisesti.

-> Pidä palomuuri ja virustorjunta ajantasalla
Päivitä ja skannaa koneesi säännöllisesti virustorjuntaohjelmallasi.
ja hyvä myös escan http://koti.mbnet.fi/pattaya1/escanmwav.htm

->Pidä ohjelmistosi ajantasalla. -> Secunia Software Inspector
Secunia Software Inspector tutkii sinun järjestälmäsi ja ohjelmistosi puuttuvien turvallisuuspäivityksien osalta. Tavallinen tutkinta kestää normaalisti 5-40 sekuntia, kun läpikotainen (thorough system inspection) voi kestää useita minuutteja.

->Seuraa säännöllisesti viestintäviraston tietoja uusista haavoittuvuuksista -> CERT-FI

Jos tulevaisuudessa tulee haittaohjelmien kanssa ongelmia, älä epäröi laittaa Hijackthis-logia tarkistettavaksi!

Log in or Sign up

bacdoor.huai?? (hjt log)

armani83 Regular member

Auttaja Guest

armani83 Regular member

armani83 Regular member

Auttaja Guest

armani83 Regular member

Auttaja Guest

Share This Page

Log in or Sign up

bacdoor.huai?? (hjt log)

armani83 Regular member

Auttaja Guest

armani83 Regular member

armani83 Regular member

Auttaja Guest

armani83 Regular member

Auttaja Guest

Share This Page

Useful Searches