hjt logi. kone paskaa täys

Discussion in 'Virukset ja haittaohjelmat - HijackThis -logit' started by makkeli86, Oct 16, 2007.

  1. makkeli86

    makkeli86 Guest

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:35:15, on 16.10.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\SurffiNet Tietoturva\Anti-Virus\fsgk32st.exe
    C:\Program Files\SurffiNet Tietoturva\Common\FSMA32.EXE
    C:\Program Files\SurffiNet Tietoturva\Anti-Virus\FSGK32.EXE
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\SurffiNet Tietoturva\Common\FSMB32.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\SurffiNet Tietoturva\Common\FCH32.EXE
    C:\Program Files\SurffiNet Tietoturva\Common\FAMEH32.EXE
    C:\Program Files\SurffiNet Tietoturva\Anti-Virus\fsqh.exe
    C:\Program Files\SurffiNet Tietoturva\FSAUA\program\fsaua.exe
    C:\Program Files\SurffiNet Tietoturva\Anti-Virus\fssm32.exe
    C:\Program Files\SurffiNet Tietoturva\FWES\Program\fsdfwd.exe
    C:\Program Files\SurffiNet Tietoturva\FSAUA\program\fsus.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Explorer.exe
    C:\Program Files\D-Tools\daemon.exe
    C:\Program Files\SurffiNet Tietoturva\Common\FSM32.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    C:\Program Files\SurffiNet Tietoturva\FSGUI\fsguidll.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\WINDOWS\System32\HPZipm12.exe
    C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
    C:\Program Files\SurffiNet Tietoturva\Anti-Virus\fsav32.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC07.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Timo\LOCALS~1\Temp\se.dll/spage.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {F38C4DFC-27A3-4AF4-96CC-F0CD295F7A5A} - C:\WINDOWS\System32\kihj.dll (file missing)
    O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing)
    O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Timo\LOCALS~1\Temp\se.dll,DllInstall
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [afbtl] C:\WINDOWS\System32\afbtl.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\SurffiNet Tietoturva\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\SurffiNet Tietoturva\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [kpkjzw] C:\WINDOWS\system32\soxsnmj.exe r
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O4 - HKLM\..\Policies\Explorer\Run: [afbtl] C:\WINDOWS\System32\afbtl.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O15 - Trusted Zone: http://www.neededware.com
    O16 - DPF: NDWCab - http://www.neededware.com/ndw3.cab
    O18 - Filter hijack: text/html - {2D6CC5D3-F083-430D-B96D-7C736EEC4125} - C:\WINDOWS\System32\kihj.dll
    O18 - Filter: text/plain - {2D6CC5D3-F083-430D-B96D-7C736EEC4125} - C:\WINDOWS\System32\kihj.dll
    O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corporation - C:\Program Files\SurffiNet Tietoturva\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\SurffiNet Tietoturva\FSAUA\program\fsaua.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\SurffiNet Tietoturva\FWES\Program\fsdfwd.exe
    O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\SurffiNet Tietoturva\Common\FSMA32.EXE
    O23 - Service: iPod-palvelu (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing)

    --
    End of file - 8096 bytes
     
    makkeli86, Oct 16, 2007
    #1
  2. hannu71

    hannu71 Regular member

    Joined:
    Feb 9, 2006
    Messages:
    256
    Likes Received:
    0
    Trophy Points:
    26
    Lataa sphjfix:
    http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
    Tallenna se vaikka työpöydälle. Sammuta kaikki muut ohjelmat, koska fixin jälkeen kone käynnistyy uudelleen. Käynnistä ohjelma ja klikkaa
    "Desinfektionen starten". Kone käynnistyy tämän jälkeen ja loki avautuu muistioon. Lähetä uusi HijackThis-loki ja sphjfixin lokin sisältö.
    ---------------------------------------
    Lataa viimeisin Ad-Aware SE-versio täältä (Jos sinulla on jo Ad-Aware asennettu, varmista että se on viimeisin versio
    Asenna Ad-Aware
    Avaa Ad-Aware SE ja käynnistä WebUpdate-toiminto. (Klikkaa maapallo-kuvakketta, klikkaa "connect", klikkaa "OK", klikkaa "Finish".)

    JOS sinulla on päivitysten kanssa ongelmia, hae viimeisimmät päivitykset manuaalisesti täältä; http://download.lavasoft.de.edgesuite.net/pub...efs.zip

    Lataa Lavasoftin VX2 Puhdistaja-plug-in täältä

    * Asenna VX2 Cleaner
    * Käynnistä Ad-Aware SE
    * Mene valikkoon nimeltä "Plug-ins"
    * Valitse VX2 Cleaner-plug-in ja klikkaa "Run Tool" (Ennen kuin ajat VX2 Cleanerin, varmista että muut Anti-virus- & Anti-spyware- ohjelmat ovat poissa päältä.)
    * Klikkaa "OK" kun kysytään haluatko ajaa tämän työkalun
    * Jos koneesi ei ole saanut tartuntaa, klikkaa "Close".

    Jos koneesi on saanut tartunnan;

    * Valitse "Clean"
    * Käynnistä uudelleen.
    * Skannaa koneesi Ad-Awarella;

    Tee asetukset näin:

    o Mene Ad-Awaren määritysikkunaan
    o Valitse General > Safety & Settings: Rastita (vihreäksi) kaikki kolme.
    o Klikkaa Tweak > Cleaning Engine > Poista rastitus "Always try to unload modules before deletion".

    Klikkaa "Proceed"
    Klikkaa "Scan Now"
    Rastita valinta "Search for negligible risk entries"
    Rastita valinta "Search for low-risk threats"
    Aja skanneri käyttämällä Full Scan (Perform full system scan) moodia.
    Kun skannaus on valmis, valitse "Next".
    Skannaus tuloksissa, valitse "Scan Summary" välilehti.
    Rastita boxi jokaisen löydetyn rivin viereen, poistoa varten.
    Klikkaa "Next", klikkaa "OK".

    * Käynnistä koneesi uudelleen
    * Aja vielä toinen skannaus (Ad-Awarella ja VX2 Cleanerilla) varmistaaksesi, että kaikki pahat tiedostot on kadonnut koneeltasi.

    ----------------------------------------------
    Tallenna nämä ohjeet tekstitiedostoon tai tulosta nämä, muuten et pääse niihin käsiksi vikasietotilasta

    Lataa Ewido Anti-Spyware ja tallenna ohjelma työpöydällesi.
    • Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa.
    • Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää.
    • Käynnistä Ewido Anti-Spyware.
    • Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta.
      • Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa.
      • Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti.
      • Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine".
      • Sitten "Reports" valikon alta:
      • Laita täppi kohtaan "Automatically generate report after every scan"
      • Ota täppi pois kohdasta"Only if threats were found"
    • Sulje ohjelma, ÄLÄ skannaa vielä.
      -----------------------------------------
      Lataa Atribunen ATF Cleaner

      Ohjeet;

      Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman.
      • Main:n alla valitse: Select All
        Klikkaa Empty Selected valintaa.
      Jos käytät FireFoxia selaimenasi
      • Klikkaa Firefox yläpuolelta ja valitse: Select All
        Klikkaa Empty Selected valintaa.
        HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
      Jos käytät Operaa selaimenasi
      • Klikkaa Opera yläpuolelta ja valitse: Select All
        Klikkaa Empty Selected valintaa taas.
        HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
      Klikkaa Exit päävalikosta sulkeaksesi ohjelman.
      Teknistä tukea tulee jos tupla-klikkaat sähköpostiosoitetta joka sijaitsee jokaisen menun alapuolella kyseisessä työkalussa. (Huomatkaa että se tuki on sitten englanniksi)
      -----------------------------
      Avaa HijackThis, klikkaa do a system scan only, merkkaa nämä rivit. Sitten sulje kaikki muut ikkunat ja paina fix checked.
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Timo\LOCALS~1\Temp\se.dll/spage.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
      F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: (no name) - {F38C4DFC-27A3-4AF4-96CC-F0CD295F7A5A} - C:\WINDOWS\System32\kihj.dll (file missing)
      O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing)
      O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Timo\LOCALS~1\Temp\se.dll,DllInstall
      O4 - HKLM\..\Run: [afbtl] C:\WINDOWS\System32\afbtl.exe
      O4 - HKLM\..\Run: [kpkjzw] C:\WINDOWS\system32\soxsnmj.exe r
      O4 - HKLM\..\Policies\Explorer\Run: [afbtl] C:\WINDOWS\System32\afbtl.exe
      O15 - Trusted Zone: http://www.neededware.com
      O16 - DPF: NDWCab - http://www.neededware.com/ndw3.cab
      O18 - Filter hijack: text/html - {2D6CC5D3-F083-430D-B96D-7C736EEC4125} - C:\WINDOWS\System32\kihj.dll
      O18 - Filter: text/plain - {2D6CC5D3-F083-430D-B96D-7C736EEC4125} - C:\WINDOWS\System32\kihj.dll
      O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing)



      laita tarvittaessa piilotiedostot näkyviin. ohje
      mene vikasietotilaan. ohje

      poista seuraavat: jos löytyy
      C:\WINDOWS\Nail.exe
      C:\WINDOWS\System32\kihj.dll
      C:\WINDOWS\System32\msbe.dll
      C:\WINDOWS\System32\afbtl.exe
      c:\windows\SvcProc.exe

      HUOM! Älä käytä muita ohjelmia Ewidon skannauksen aikana, tämä saattaa häiritä skannausta.
      • Kun vikasietotilassa, käynnistä Ewido Anti-Spyware.
      • Klikkaa "Scanner" kuvaketta ikkunan ylälaidassa ja valitse "Scan" välilehti. Sitten klikkaa "Complete System Scan".
      • Ewido aloittaa nyt tietokoneen skannaamisen, ole kärsivällinen sillä skannaus vie aikaa.

        Kun skannaus on valmis:
        TÄRKEÄÄ : Älä klikkaa "Save Scan Report" ennen kuin klikkaat "Apply all Actions"
      • Varmistu, että Set all elements to: näyttää Quarantine (1), jos ei, klikkaa linkkiä ja valitse Quarantine popup-valikosta.
      • Sinulta kysytään mitä tehdä jos infektioita löytyi, valitse silloin "Apply all actions"
        [​IMG]
      • Sitten klikkaa "Reports" kuvaketta ohjelma yläosasta.
      • Klikkaa "Save report as" painiketta ikkunan vasemmassa alalaidassa ja tallenna raportti työpöydälle.
      • Sulje ohjelma, käynnistä kone normaalisti ja lähetä Ewidon raportti viestikejuusi.

      Kopioi/liitä seuraava tummennetut rivit tyhjään
      muistiofiluun. Varmista että tiedostotyyppi on "All Files" ja
      tallenna se Poista.bat nimisenä työpöydällesi.

      @echo off
      sc stop SvcProc
      sc delete SvcProc

      Tuplaklikkaa poista.bat-tiedostoa työpöydällä. Komentoikkuna välähtää, se on normaalia.

      lähetä:
      uusi hjt-loki
      sphjfixin loki
      avg:n antispywaren loki
     
    Last edited: Oct 17, 2007
    hannu71, Oct 17, 2007
    #2

Share This Page