Hjt-logi, jotain on vialla

Eli kyse on pikkuveljen koneesta ja AntiVir valittaa viruksesta. Mitä rivejä tulis poistaa?

Logfile of HijackThis v1.99.1
Scan saved at 18:08:53, on 21.1.2007
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\ZoneLabs\vsmon.exe
D:\WINNT\system32\spoolsv.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system\services.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\0ma\ZoneAlarm\ZoneAlarm\zlclient.exe
D:\WINNT\System32\internat.exe
D:\WINNT\Explorer.exe
D:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\0ma\HiJackThis\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.fi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {05C3564A-58D2-4356-B8D0-7BBF5D5938AC} - D:\WINNT\System32\vtusq.dll
O2 - BHO: (no name) - {086F3ADF-92EA-4415-877E-C7DD7DD64F14} - D:\WINNT\System32\efcdcby.dll
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - D:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - D:\WINNT\System32\okrmcoly.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1035,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - D:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\0ma\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "D:\WINNT\System32\uyrdbgyq.dll",setvm
O4 - HKCU\..\Run: [internat.exe] internat.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi
O20 - Winlogon Notify: efcdcby - D:\WINNT\SYSTEM32\efcdcby.dll
O20 - Winlogon Notify: vtusq - D:\WINNT\System32\vtusq.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Host Services (WINHOST32) - Unknown owner - D:\WINNT\system\services.exe

 

Asenna HijackThis omaan kansioonsa, esim C:\HjT\

Avaa lisää- ja poista sovellus ja poista kaikki seuraaviin nimiin viittaavat ohjelmat:

- VSAdd-in

Lataa VundoFix.exe työpöydällesi.
[*]Tupla-klikkaa VundoFix.exe ajaaksesi sen.
[*]Klikkaa Scan for Vundo valintaa.
[*]Kun skannaus on valmis, klikkaa Remove Vundo valintaa.
[*]Sinulta kysytään haluatko poistaa filut - klikkaa YES.
[*]Kun olet klikannut yes, työpöytäsi tyhjenee kun se alkaa poistamaan Vundoa.
[*]Kun se on valmis, fiksi ilmoittaa käynnistäväsi koneesi uudelleen, klikkaa OK.
[*]Postita C:\vundofix.txt lokin sekä tuoreen HijackThis lokin sisältö.

Huomaa: Se on mahdollista että VundoFix löysi tiedoston jota se ei pystynyt poistamaan.
Tässä tilanteessa, VundoFix ajaa itsensä rebootissa, seuraa vain yläpuolelle olevia ohjeita alkaen kohdasta "Klikkaa Scan for Vundo valintaa." kun VundoFix ilmaantuu uudelleenkäynnistyksen yhteydessä.

 

Ohjauspaneelin lisää- poista sovelluksesta löyty epäilyttävä - VSAdd-in sovellus, muttei antanut poistaa sitä. Sai klikuttaa vaikka kuinka paljon muuta- poista sovellus napiskaa, muttei mitään tapahtunut. VundoFixikin sano ettei mitään ois vialla...?

Ja viel logit:

VundoFix V6.1.5

Checking Java version...

Sun Java not detected
Scan started at 20:00:15 21.1.2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.1.5

Checking Java version...

Sun Java not detected
Scan started at 20:03:24 21.1.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.1.5

Checking Java version...

Sun Java not detected
Scan started at 20:40:18 21.1.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.1.5

Checking Java version...

Sun Java not detected
Scan started at 20:47:34 21.1.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.1.5

Checking Java version...

Sun Java not detected
Scan started at 22:02:13 21.1.2007

Listing files found while scanning....

No infected files were found.

Logfile of HijackThis v1.99.1
Scan saved at 22:09:01, on 21.1.2007
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.exe
D:\HJT\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.fi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {086F3ADF-92EA-4415-877E-C7DD7DD64F14} - D:\WINNT\System32\efcdcby.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - D:\WINNT\System32\okrmcoly.dll (file missing)
O2 - BHO: (no name) - {B5ED6C22-FD34-4836-9B2E-333168B0F746} - D:\WINNT\System32\vtusq.dll
O3 - Toolbar: @msdxmLC.dll,-1@1035,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\0ma\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "D:\WINNT\System32\uyrdbgyq.dll",setvm
O4 - HKCU\..\Run: [internat.exe] internat.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi
O20 - Winlogon Notify: efcdcby - D:\WINNT\SYSTEM32\efcdcby.dll
O20 - Winlogon Notify: vtusq - D:\WINNT\System32\vtusq.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Host Services (WINHOST32) - Unknown owner - D:\WINNT\system\services.exe (file missing)

 

Sulla on vanha VundoFix käytössä, lataa tuosta edellisessä viestissäni olevasta linkistä uusin versio ja aja se uudelleen samoja ohjeita noudattaen

 

1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
combofix.exe
combofix.exe

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

 

tässä tämä ComboFixin kokonaisuudessaan.

"J„rjestelm„nvalvoja" - ti 23.01.2007 16:10:13 Service Pack 1
ComboFix 07-01-23.2 - Running from: "D:\Documents and Settings\J„rjestelm„nvalvoja\Ty”p”yt„"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


D:\Program Files\VSAdd-in


((((((((((((((((((((((((((((((( Files Created from 2006-12-23 to 2007-01-23 ))))))))))))))))))))))))))))))))))


2007-01-21 20:00 <KANSIO> d-------- D:\VundoFix Backups
2007-01-21 19:52 <KANSIO> d-------- D:\HJT
2007-01-21 18:44 22,029 ---hs---- D:\WINNT\system32\mljggfe.dll
2007-01-20 10:43 449,273 ---hs---- D:\WINNT\system32\qsutv.bak2
2007-01-19 19:42 22,029 ---hs---- D:\WINNT\system32\pmnoppn.dll
2007-01-18 18:23 444,094 ---hs---- D:\WINNT\system32\qsutv.bak1
2007-01-18 18:23 118,804 --a------ D:\WINNT\system32\uyrdbgyq.dll
2007-01-18 18:22 277,044 --------- D:\WINNT\system32\vtusq.dll
2007-01-17 21:37 22,029 ---hs---- D:\WINNT\system32\awtusst.dll
2007-01-17 19:35 22,029 ---hs---- D:\WINNT\system32\pmnkhgf.dll
2007-01-17 17:32 22,029 ---hs---- D:\WINNT\system32\opnomjj.dll
2007-01-15 18:56 22,029 ---hs---- D:\WINNT\system32\efcdcby.dll
2007-01-04 19:49 30,480 --a------ D:\WINNT\system32\pid.dll
2007-01-04 19:49 13,904 --a------ D:\WINNT\system32\drivers\hidusb.sys
2007-01-04 19:49 11,664 --a------ D:\WINNT\system32\drivers\mouhid.sys
2007-01-04 15:02 <KANSIO> d--hs---- D:\RECYCLER
2006-12-31 16:14 <KANSIO> d--h----- D:\Program Files\InstallShield Installation Information
2006-12-31 16:13 <KANSIO> d-------- D:\Program Files\Common Files\InstallShield
2006-12-30 16:55 <KANSIO> d-------- D:\WINNT\CAVTemp
2006-12-28 13:26 <KANSIO> d-------- D:\WINNT\system32\Macromed
2006-12-27 21:26 <KANSIO> drahsc--- D:\WINNT\system32\dllcache
2006-12-27 21:26 <KANSIO> dra-s---- D:\WINNT\Fonts
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\twain_32
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\wins
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\wbem
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\spool
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\ShellExt
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\ras
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\os2
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\npp
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\mui
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\ias
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\export
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\drivers\etc
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\drivers\disdn
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\drivers
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\dhcp
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32\config
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system32
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\system
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\security
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\repair
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\msapps
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\msagent
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\Media
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\java
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\Help
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\Driver Cache
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\Debug
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\Cursors
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\Connection Wizard
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\Config
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\AppPatch
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT\addins
2006-12-27 21:26 <KANSIO> d-a------ D:\WINNT
2006-12-27 21:26 <KANSIO> d--h----- D:\WINNT\inf
2006-12-27 21:26 <KANSIO> d---s---- D:\WINNT\Web
2006-12-27 21:26 <KANSIO> d-------- D:\WINNT\system32\Setup
2006-12-27 20:40 <KANSIO> d-------- D:\WINNT\.file_store_32
2006-12-27 20:13 11,264 --a------ D:\WINNT\system32\SpOrder.dll
2006-12-27 20:13 <KANSIO> d-a------ D:\WINNT\system32\ZoneLabs
2006-12-27 20:12 <KANSIO> d-a------ D:\WINNT\Internet Logs
2006-12-27 20:09 46,720 --a------ D:\WINNT\system32\drivers\avgntdd.sys
2006-12-27 20:09 11,776 --a------ D:\WINNT\system32\drivers\avgntmgr.sys
2006-12-27 20:09 <KANSIO> d-a------ D:\DOCUME~1\ALLUSE~1\Application Data\AntiVir PersonalEdition Classic
2006-12-27 20:09 <KANSIO> d-------- D:\Program Files\AntiVir PersonalEdition Classic
2006-12-27 20:02 <KANSIO> dr------- D:\DOCUME~1\JRJEST~1\Suosikit
2006-12-27 20:02 <KANSIO> d--hs---- D:\WINNT\Installer
2006-12-27 20:02 <KANSIO> d--hs---- D:\WINNT\CSC
2006-12-27 20:02 <KANSIO> d--hs---- D:\System Volume Information
2006-12-27 20:02 <KANSIO> d--h----- D:\WINNT\system32\GroupPolicy
2006-12-27 20:02 <KANSIO> d--h----- D:\DOCUME~1\JRJEST~1\Verkkoymp„rist”
2006-12-27 20:02 <KANSIO> d--h----- D:\DOCUME~1\JRJEST~1\Mallit
2006-12-27 20:02 <KANSIO> d--h----- D:\DOCUME~1\JRJEST~1\Kirjoitinymp„rist”
2006-12-27 20:02 <KANSIO> d-------- D:\WINNT\system32\NtmsData
2006-12-27 20:02 <KANSIO> d-------- D:\DOCUME~1\JRJEST~1\Ty”p”yt„
2006-12-27 20:02 <KANSIO> d-------- D:\DOCUME~1\JRJEST~1\Omat tiedostot
2006-12-27 20:02 <KANSIO> d-------- D:\DOCUME~1\JRJEST~1\K„ynnist„-valikko
2006-12-27 19:56 <KANSIO> d-------- D:\WINNT\system32\rpcproxy
2006-12-27 19:56 <KANSIO> d-------- D:\WINNT\system32\rocket
2006-12-27 19:56 <KANSIO> d-------- D:\WINNT\system32\inetsrv
2006-12-27 19:56 <KANSIO> d-------- D:\WINNT\mww32
2006-12-27 19:56 <KANSIO> d-------- D:\Program Files\microsoft frontpage
2006-12-27 19:54 131,344 --a------ D:\WINNT\system32\mapi32.dll
2006-12-27 19:53 74,000 --a------ D:\WINNT\system32\isign32.dll
2006-12-27 19:53 67,856 --a------ D:\WINNT\system32\msoert2.dll
2006-12-27 19:53 63,248 --a------ D:\WINNT\system32\ils.dll
2006-12-27 19:53 62,464 --a------ D:\WINNT\system32\acctres.dll
2006-12-27 19:53 58,640 --a------ D:\WINNT\system32\icwdial.dll
2006-12-27 19:53 568,592 --a------ D:\WINNT\system32\inetcomm.dll
2006-12-27 19:53 53,520 --a------ D:\WINNT\system32\msconf.dll
2006-12-27 19:53 5,904 --a------ D:\WINNT\system32\icfgnt5.dll
2006-12-27 19:53 49,424 --a------ D:\WINNT\system32\icwphbk.dll
2006-12-27 19:53 48,640 --a------ D:\WINNT\system32\inetres.dll
2006-12-27 19:53 32,880 --a------ D:\WINNT\system32\mnmdd.dll
2006-12-27 19:53 3,072 --a------ D:\WINNT\system32\nmevtmsg.dll
2006-12-27 19:53 254,736 --a------ D:\WINNT\system32\inetcfg.dll
2006-12-27 19:53 219,920 --a------ D:\WINNT\system32\mstask.dll
2006-12-27 19:53 21,776 --a------ D:\WINNT\system32\mnmsrvc.exe
2006-12-27 19:53 200,464 --a------ D:\WINNT\system32\msoeacct.dll
2006-12-27 19:53 12,560 --a------ D:\WINNT\system32\nmmkcert.dll
2006-12-27 19:53 118,032 --a------ D:\WINNT\system32\mstask.exe
2006-12-27 19:53 10,000 --a------ D:\WINNT\system32\mstinit.exe
2006-12-27 19:53 <KANSIO> dr------- D:\WINNT\Offline Web Pages
2006-12-27 19:53 <KANSIO> d-a-s---- D:\WINNT\Tasks
2006-12-27 19:53 <KANSIO> d--hs---- D:\DOCUME~1\ALLUSE~1\DRM
2006-12-27 19:53 <KANSIO> d---s---- D:\WINNT\Downloaded Program Files
2006-12-27 19:52 4,880 --a------ D:\WINNT\system32\ksuser.dll
2006-12-27 19:52 113,680 --a------ D:\WINNT\system32\drivers\ks.sys
2006-12-27 19:52 <KANSIO> d-------- D:\WINNT\Registration
2006-12-27 19:51 99,600 --a------ D:\WINNT\system32\clipbrd.exe
2006-12-27 19:51 96,528 --a------ D:\WINNT\system32\winmine.exe
2006-12-27 19:51 94,992 --a------ D:\WINNT\system32\clbcatex.dll
2006-12-27 19:51 91,920 --a------ D:\WINNT\system32\msdtclog.dll
2006-12-27 19:51 91,408 --a------ D:\WINNT\system32\calc.exe
2006-12-27 19:51 90,896 --a------ D:\WINNT\system32\charmap.exe
2006-12-27 19:51 89,360 --a------ D:\WINNT\system32\comrepl.dll
2006-12-27 19:51 84,240 --a------ D:\WINNT\system32\txflog.dll
2006-12-27 19:51 802,016 -ra------ D:\WINNT\system32\dtcsetup.exe
2006-12-27 19:51 76,048 --a------ D:\WINNT\system32\avwav.dll
2006-12-27 19:51 68,368 --a------ D:\WINNT\system32\stclient.dll
2006-12-27 19:51 68,368 --a------ D:\WINNT\system32\sndvol32.exe
2006-12-27 19:51 66,832 --a------ D:\WINNT\system32\winchat.exe
2006-12-27 19:51 643,344 --a------ D:\WINNT\system32\msdtcprx.dll
2006-12-27 19:51 641,808 --a------ D:\WINNT\system32\xiffr3_0.dll
2006-12-27 19:51 62,224 --a------ D:\WINNT\system32\oiui400.dll
2006-12-27 19:51 61,712 --a------ D:\WINNT\system32\imgcmn.dll
2006-12-27 19:51 609,040 --a------ D:\WINNT\system32\comuid.dll
2006-12-27 19:51 6,928 --a------ D:\WINNT\system32\msdtc.exe
2006-12-27 19:51 6,416 --a------ D:\WINNT\system32\write.exe
2006-12-27 19:51 577,296 --a------ D:\WINNT\system32\hypertrm.dll
2006-12-27 19:51 562,960 --a------ D:\WINNT\system32\catsrvut.dll
2006-12-27 19:51 55,056 --a------ D:\WINNT\system32\catsrvps.dll
2006-12-27 19:51 53,008 --a------ D:\WINNT\system32\packager.exe
2006-12-27 19:51 508,176 --a------ D:\WINNT\system32\clbcatq.dll
2006-12-27 19:51 444,176 --a------ D:\WINNT\system32\oieng400.dll
2006-12-27 19:51 406,800 --a------ D:\WINNT\system32\getuname.dll
2006-12-27 19:51 38,160 --a------ D:\WINNT\system32\jpeg2x32.dll
2006-12-27 19:51 349,456 --a------ D:\WINNT\system32\txfaux.dll
2006-12-27 19:51 34,576 --a------ D:\WINNT\system32\colbact.dll
2006-12-27 19:51 34,064 --a------ D:\WINNT\system32\sol.exe
2006-12-27 19:51 34,064 --a------ D:\WINNT\system32\freecell.exe
2006-12-27 19:51 337,680 --a------ D:\WINNT\system32\cdplayer.exe
2006-12-27 19:51 33,552 --a------ D:\WINNT\system32\tifflt.dll
2006-12-27 19:51 320,272 --a------ D:\WINNT\system32\mspaint.exe
2006-12-27 19:51 30,480 --a------ D:\WINNT\system32\mtxlegih.dll
2006-12-27 19:51 3,856 --a------ D:\WINNT\system32\mtxex.dll
2006-12-27 19:51 29,968 --a------ D:\WINNT\system32\comaddin.dll
2006-12-27 19:51 27,920 --a------ D:\WINNT\system32\jpeg1x32.dll
2006-12-27 19:51 25,872 --a------ D:\WINNT\system32\oitwa400.dll
2006-12-27 19:51 23,824 --a------ D:\WINNT\system32\mtxdm.dll
2006-12-27 19:51 226,064 --a------ D:\WINNT\system32\avtapi.dll
2006-12-27 19:51 21,776 --a------ D:\WINNT\system32\oislb400.dll
2006-12-27 19:51 21,776 --a------ D:\WINNT\system32\hticons.dll
2006-12-27 19:51 21,776 --a------ D:\WINNT\system32\comclust.exe
2006-12-27 19:51 17,680 --a------ D:\WINNT\system32\xolehlp.dll
2006-12-27 19:51 17,168 --a------ D:\WINNT\system32\avmeter.dll
2006-12-27 19:51 165,648 --a------ D:\WINNT\system32\catsrv.dll
2006-12-27 19:51 153,360 --a------ D:\WINNT\system32\accwiz.exe
2006-12-27 19:51 147,216 --a------ D:\WINNT\system32\DComExt.dll
2006-12-27 19:51 146,192 --a------ D:\WINNT\system32\comsnap.dll
2006-12-27 19:51 144,656 --a------ D:\WINNT\system32\msdtcui.dll
2006-12-27 19:51 13,584 --a------ D:\WINNT\system32\imgshl.dll
2006-12-27 19:51 13,072 --a------ D:\WINNT\system32\oissq400.dll
2006-12-27 19:51 13,072 --a------ D:\WINNT\system32\oiprt400.dll
2006-12-27 19:51 118,032 --a------ D:\WINNT\system32\mplay32.exe
2006-12-27 19:51 111,888 --a------ D:\WINNT\system32\mtxoci.dll
2006-12-27 19:51 107,792 --a------ D:\WINNT\system32\sndrec32.exe
2006-12-27 19:51 1,277,712 --a------ D:\WINNT\system32\comsvcs.dll
2006-12-27 19:51 1,120,528 --a------ D:\WINNT\system32\msdtctm.dll
2006-12-27 19:51 <KANSIO> d-------- D:\WINNT\system32\DTCLog
2006-12-27 19:51 <KANSIO> d-------- D:\WINNT\system32\Com
2006-12-27 19:51 <KANSIO> d-------- D:\Program Files\Windows NT
2006-12-27 19:51 <KANSIO> d-------- D:\Program Files\Accessories
2006-12-27 19:36 9,168 --a------ D:\WINNT\system32\drivers\NtApm.sys
2006-12-27 19:36 74,160 --a------ D:\WINNT\system32\drivers\wdmaud.sys
2006-12-27 19:36 6,640 --a------ D:\WINNT\system32\drivers\MSKSSRV.sys
2006-12-27 19:36 51,952 --a------ D:\WINNT\system32\drivers\swmidi.sys
2006-12-27 19:36 51,152 --a------ D:\WINNT\system32\drivers\DMusic.sys
2006-12-27 19:36 5,008 --a------ D:\WINNT\system32\drivers\MSPCLOCK.sys
2006-12-27 19:36 47,280 --a------ D:\WINNT\system32\drivers\sysaudio.sys
2006-12-27 19:36 4,816 --a------ D:\WINNT\system32\drivers\MSPQM.sys
2006-12-27 19:36 2,896 --a------ D:\WINNT\system32\drivers\audstub.sys
2006-12-27 19:36 147,568 --a------ D:\WINNT\system32\drivers\kmixer.sys
2006-12-27 19:34 9,552 --a------ D:\WINNT\system32\drivers\gameenum.sys
2006-12-27 19:34 85,776 --a------ D:\WINNT\system32\drivers\e100bnt5.sys
2006-12-27 19:34 68,336 --a------ D:\WINNT\system32\drivers\i81xnt5.sys
2006-12-27 19:34 59,664 --a------ D:\WINNT\system32\usbui.dll
2006-12-27 19:34 551,536 --a------ D:\WINNT\system32\mga64d.dll
2006-12-27 19:34 489,456 --a------ D:\WINNT\system32\i81xdnt5.dll
2006-12-27 19:34 32,592 --a------ D:\WINNT\system32\drivers\ichaud.sys
2006-12-27 19:34 2,832 --a------ D:\WINNT\system32\drivers\msmpu401.sys
2006-12-27 19:34 150,960 --a------ D:\WINNT\system32\drivers\mga64m.sys
2006-12-27 19:34 148,912 --a------ D:\WINNT\system32\drivers\portcls.sys
2006-12-27 19:33 35,088 --a------ D:\WINNT\system32\drivers\redbook.sys
2006-12-27 19:32 9,936 --a------ D:\WINNT\system\LZEXPAND.DLL
2006-12-27 19:32 9,008 --a------ D:\WINNT\system\VER.DLL
2006-12-27 19:32 85,264 --a------ D:\WINNT\system32\dgsetup.dll
2006-12-27 19:32 82,944 --a------ D:\WINNT\system\OLECLI.DLL
2006-12-27 19:32 69,856 --a------ D:\WINNT\system\AVICAP.DLL
2006-12-27 19:32 68,624 --a------ D:\WINNT\system\MMSYSTEM.DLL
2006-12-27 19:32 63,248 --a------ D:\WINNT\system32\SPOOLSS.DLL
2006-12-27 19:32 6,416 --a------ D:\WINNT\system32\batt.dll
2006-12-27 19:32 50,960 --a------ D:\WINNT\NOTEPAD.EXE
2006-12-27 19:32 5,392 --a------ D:\WINNT\delttsul.exe
2006-12-27 19:32 5,120 --a------ D:\WINNT\system\SHELL.DLL
2006-12-27 19:32 44,816 --a------ D:\WINNT\system32\SPOOLSV.EXE
2006-12-27 19:32 35,600 --a------ D:\WINNT\TASKMAN.EXE
2006-12-27 19:32 35,600 --a------ D:\WINNT\system32\storprop.dll
2006-12-27 19:32 28,592 --a------ D:\WINNT\system\COMMDLG.DLL
2006-12-27 19:32 24,064 --a------ D:\WINNT\system\OLESVR.DLL
2006-12-27 19:32 21,344 --a------ D:\WINNT\system\TAPI.DLL
2006-12-27 19:32 176,400 --a------ D:\WINNT\system32\EqnClass.Dll
2006-12-27 19:32 148,992 --a------ D:\WINNT\system32\spxcoins.dll
2006-12-27 19:32 126,912 --a------ D:\WINNT\system\MSVIDEO.DLL
2006-12-27 19:32 123,904 --a------ D:\WINNT\system32\dgrpsetu.dll
2006-12-27 19:32 108,032 --a------ D:\WINNT\system\AVIFILE.DLL
2006-12-27 19:32 <KANSIO> dra------ D:\Program Files
2006-12-27 19:32 <KANSIO> d-a------ D:\WINNT\Speech
2006-12-27 19:32 <KANSIO> d-a------ D:\Program Files\Common Files\ODBC
2006-12-27 19:31 <KANSIO> d-a------ D:\WINNT\system32\CatRoot
2006-12-27 19:31 <KANSIO> d-a------ D:\DOCUME~1\ALLUSE~1\Tiedostot
2006-12-27 19:31 <KANSIO> d--h----- D:\DOCUME~1\DEFAUL~1\Verkkoymp„rist”
2006-12-27 19:31 <KANSIO> d--h----- D:\DOCUME~1\DEFAUL~1\Mallit
2006-12-27 19:31 <KANSIO> d--h----- D:\DOCUME~1\DEFAUL~1\Kirjoitinymp„rist”
2006-12-27 19:31 <KANSIO> d--h----- D:\DOCUME~1\ALLUSE~1\Mallit
2006-12-27 19:31 <KANSIO> d-------- D:\DOCUME~1\DEFAUL~1\Ty”p”yt„
2006-12-27 19:31 <KANSIO> d-------- D:\DOCUME~1\DEFAUL~1\Suosikit
2006-12-27 19:31 <KANSIO> d-------- D:\DOCUME~1\DEFAUL~1\Omat tiedostot
2006-12-27 19:31 <KANSIO> d-------- D:\DOCUME~1\DEFAUL~1\K„ynnist„-valikko
2006-12-27 19:31 <KANSIO> d-------- D:\DOCUME~1\ALLUSE~1\Ty”p”yt„
2006-12-27 19:31 <KANSIO> d-------- D:\DOCUME~1\ALLUSE~1\Suosikit
2006-12-27 19:31 <KANSIO> d-------- D:\DOCUME~1\ALLUSE~1\K„ynnist„-valikko
2006-12-27 19:30 <KANSIO> d-a------ D:\Documents and Settings


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-28 13:26 -------- d-------- D:\DOCUME~1\JRJEST~1\Application Data\macromedia
2006-12-27 20:02 -------- d-------- D:\DOCUME~1\JRJEST~1\Application Data\identities
2006-12-27 19:54 -------- d---s---- D:\DOCUME~1\JRJEST~1\Application Data\microsoft
2006-12-27 19:53 271 ---h----- D:\Program Files\desktop.ini
2006-12-27 19:53 22046 ---h----- D:\Program Files\folder.htt


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"avgnt"="\"D:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Zone Labs Client"="\"D:\\Documents and Settings\\Järjestelmänvalvoja\\Työpöytä\\0ma\\ZoneAlarm\\ZoneAlarm\\zlclient.exe\""
"DllRunning"="rundll32.exe \"D:\\WINNT\\System32\\uyrdbgyq.dll\",setvm"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="D:\\Program Files\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{086F3ADF-92EA-4415-877E-C7DD7DD64F14}"=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcdcby
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtusq

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
rpcss REG_MULTI_SZ RpcSs\0\0




~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20070121-204703-482
O23 - Service: Windows Host Services (WINHOST32) - Unknown owner - D:\WINNT\system\services.exe (file missing)
backup-20070121-204703-543
O20 - Winlogon Notify: vtusq - D:\WINNT\System32\vtusq.dll
backup-20070121-204703-352
O2 - BHO: (no name) - {B5ED6C22-FD34-4836-9B2E-333168B0F746} - D:\WINNT\System32\vtusq.dll
backup-20070121-204703-148
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - D:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
backup-20070121-204703-435
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - D:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
Completion time: Tue 2007-01-23 16:11:47

 

Jees, aja se VundoFix vielä uudestaan uusimmalla versiolla, eli lataa allaolevasta linkistä:

Lataa VundoFix.exe työpöydällesi.
[*]Tupla-klikkaa VundoFix.exe ajaaksesi sen.
[*]Klikkaa Scan for Vundo valintaa.
[*]Kun skannaus on valmis, klikkaa Remove Vundo valintaa.
[*]Sinulta kysytään haluatko poistaa filut - klikkaa YES.
[*]Kun olet klikannut yes, työpöytäsi tyhjenee kun se alkaa poistamaan Vundoa.
[*]Kun se on valmis, fiksi ilmoittaa käynnistäväsi koneesi uudelleen, klikkaa OK.
[*]Postita C:\vundofix.txt lokin sekä tuoreen HijackThis lokin sisältö.

Huomaa: Se on mahdollista että VundoFix löysi tiedoston jota se ei pystynyt poistamaan.
Tässä tilanteessa, VundoFix ajaa itsensä rebootissa, seuraa vain yläpuolelle olevia ohjeita alkaen kohdasta "Klikkaa Scan for Vundo valintaa." kun VundoFix ilmaantuu uudelleenkäynnistyksen yhteydessä.[/quote]

 

VundoFix logi:

VundoFix V6.1.5

Checking Java version...

Sun Java not detected
Scan started at 20:00:15 21.1.2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.1.5

Checking Java version...

Sun Java not detected
Scan started at 20:03:24 21.1.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.1.5

Checking Java version...

Sun Java not detected
Scan started at 20:40:18 21.1.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.1.5

Checking Java version...

Sun Java not detected
Scan started at 20:47:34 21.1.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.1.5

Checking Java version...

Sun Java not detected
Scan started at 22:02:13 21.1.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.3.2

Checking Java version...

Sun Java not detected
Scan started at 20:58:27 27.1.2007

Listing files found while scanning....

D:\WINNT\system32\awtusst.dll
D:\WINNT\system32\efcdcby.dll
D:\WINNT\system32\mljggfe.dll
D:\WINNT\System32\okrmcoly.dll
D:\WINNT\system32\opnomjj.dll
D:\WINNT\system32\pmnkhgf.dll
D:\WINNT\system32\pmnoppn.dll
D:\WINNT\system32\qygbdryu.ini
D:\WINNT\system32\uyrdbgyq.dll
D:\WINNT\System32\vtusq.dll

Beginning removal...

Attempting to delete D:\WINNT\system32\awtusst.dll
D:\WINNT\system32\awtusst.dll Has been deleted!

Attempting to delete D:\WINNT\system32\efcdcby.dll
D:\WINNT\system32\efcdcby.dll Has been deleted!

Attempting to delete D:\WINNT\system32\mljggfe.dll
D:\WINNT\system32\mljggfe.dll Has been deleted!

Attempting to delete D:\WINNT\system32\opnomjj.dll
D:\WINNT\system32\opnomjj.dll Has been deleted!

Attempting to delete D:\WINNT\system32\pmnkhgf.dll
D:\WINNT\system32\pmnkhgf.dll Has been deleted!

Attempting to delete D:\WINNT\system32\pmnoppn.dll
D:\WINNT\system32\pmnoppn.dll Has been deleted!

Attempting to delete D:\WINNT\system32\qygbdryu.ini
D:\WINNT\system32\qygbdryu.ini Has been deleted!

Attempting to delete D:\WINNT\system32\uyrdbgyq.dll
D:\WINNT\system32\uyrdbgyq.dll Has been deleted!

Performing Repairs to the registry.
Done!


ja HiJackThis logi:

Logfile of HijackThis v1.99.1
Scan saved at 21:09:10, on 27.1.2007
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\ZoneLabs\vsmon.exe
D:\WINNT\system32\spoolsv.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\0ma\ZoneAlarm\ZoneAlarm\zlclient.exe
D:\WINNT\System32\internat.exe
D:\WINNT\system32\NOTEPAD.EXE
D:\HJT\HijackThis_v1.99.1.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.fi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {086F3ADF-92EA-4415-877E-C7DD7DD64F14} - D:\WINNT\System32\efcdcby.dll (file missing)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - D:\WINNT\System32\okrmcoly.dll (file missing)
O2 - BHO: (no name) - {918A4720-5FF4-4A96-95DA-2B50F8109685} - D:\WINNT\System32\vtusq.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1035,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\0ma\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi
O20 - Winlogon Notify: vtusq - D:\WINNT\System32\vtusq.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Host Services (WINHOST32) - Unknown owner - D:\WINNT\system\services.exe (file missing)


eli onko kone nyt puhdas?!

 

Avaa Käynnistä --> Suorita ja anna seuraavat komennot:

sc stop WINHOST32
sc delete WINHOST32

Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi.

Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi:
[*]Käynnistä tietokone
[*]Kun kuulet koneen piippaavan, paina F8, kuitenkin ennen Windowsin logon esiintuloa
[*]Seuraavaksi pitäisi ilmestyä valikko
[*]Valitse valikosta vikasietotila.
[/list]

• Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio). Työpöydälle ilmestyy sdfix.exe. Tuplakilikkaa sitä, niin tiedosto purkaantuu ja asentaa itsensä siihen levyasemaan, minne on käyttöjärjestelmä on asennettu ja juureen ilmestyy kansio SDFix, ESIM c:\SDFix
• Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
• Paina Y käynnistääksesi skriptin.
• Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
• Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
• Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
• Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
• Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
• Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis lokin kera.
  
  Avaa HijackThis, paina "Do a system scan only" ja fixaa seuraavat kohdat:
  
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
  O2 - BHO: (no name) - {086F3ADF-92EA-4415-877E-C7DD7DD64F14} - D:\WINNT\System32\efcdcby.dll (file missing)
  O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - D:\WINNT\System32\okrmcoly.dll (file missing)
  O2 - BHO: (no name) - {918A4720-5FF4-4A96-95DA-2B50F8109685} - D:\WINNT\System32\vtusq.dll (file missing)
  O20 - Winlogon Notify: vtusq - D:\WINNT\System32\vtusq.dll (file missing)
  
  Lähetä uusi HijackThis loki.

 

Logfile of HijackThis v1.99.1
Scan saved at 18:29:30, on 28.1.2007
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\ZoneLabs\vsmon.exe
D:\WINNT\system32\spoolsv.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\0ma\ZoneAlarm\ZoneAlarm\zlclient.exe
D:\WINNT\System32\internat.exe
D:\HJT\HijackThis_v1.99.1.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.fi
O3 - Toolbar: @msdxmLC.dll,-1@1035,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\0ma\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Host Services (WINHOST32) - Unknown owner - D:\WINNT\system\services.exe (file missing)


SDFix: Version 1.63

su 28.01.2007 - 18:08:28,13

Microsoft Windows 2000 [Versio 5.00.2195]

Running From: D:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

D:\WINNT\system32\i - Deleted



ADS Check:

D:\WINNT\system32
No streams found.

Final Check:

Remaining Services:
------------------


Remaining Files:
---------------

Backups Folder: - D:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

D:\pagefile.sys

Finished

 

Avaa HijackThis, paina "Open the misc tools section" ja sieltä "Delete an NT service" ja syötä kenttään seuraava nimi ja paina OK:

WINHOST32

Lataa ja aja eScan ja lähetä "alemman laatikon örkkitulokset" tänne, ohjeet alla:

http://koti.mbnet.fi/pattaya1/escanmwav.htm

Lähetä uusi HijackThis loki

 

File D:\VundoFix Backups\awtusst.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.bq. No Action Taken.
File D:\VundoFix Backups\efcdcby.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.bq. No Action Taken.
File D:\VundoFix Backups\mljggfe.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.bq. No Action Taken.
File D:\VundoFix Backups\opnomjj.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.bq. No Action Taken.
File D:\VundoFix Backups\pmnkhgf.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.bq. No Action Taken.
File D:\VundoFix Backups\pmnoppn.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.bq. No Action Taken.
File D:\VundoFix Backups\uyrdbgyq.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.ft. No Action Taken.


Logfile of HijackThis v1.99.1
Scan saved at 21:24:01, on 29.1.2007
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\ZoneLabs\vsmon.exe
D:\WINNT\system32\spoolsv.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\0ma\ZoneAlarm\ZoneAlarm\zlclient.exe
D:\WINNT\System32\internat.exe
D:\HJT\HijackThis_v1.99.1.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.fi
O3 - Toolbar: @msdxmLC.dll,-1@1035,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\0ma\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Host Services (WINHOST32) - Unknown owner - D:\WINNT\system\services.exe (file missing)

 

Ota ensin rekisteristä näin varmuuskopio:

Suorita -> regedit -> ok. Sitten Tiedosto -> Vie. Kirjoita sille joku nimi ja sitten Tallenna(ja laita muistiin, mihin tallensit sen).

Sitten tallenna tämä alla oleva tekstinpätkä nimellä fix.reg vaikka muistiossa ja vaikka työpöydälle (tallennusmuoto kaikki tiedostot)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"DllRunning"=-

Tuplaklikkaa ja paina kyllä ja ok. Käynnistä kone uudelleen.