hjt-logi - Tietokoneen rekisterissä virus??

Discussion in 'Virukset ja haittaohjelmat - HijackThis -logit' started by _juho_, Jul 5, 2009.

  1. _juho_

    _juho_ Member

    Joined:
    Jul 5, 2009
    Messages:
    2
    Likes Received:
    0
    Trophy Points:
    11
    Elikkäs ongelma alkoi tuossa pari viikkoa sitten:En päässyt internetiin ja syynä oli se että xp jumitti verkko-osoitteen noutamiseen.Tässä vaiheessa en epäillyt vielä virusta mutta sitten alkoi tapahtua muutakin mm. seuraavaa

    - Tietoturvakeskus oli otettu pois päältä kokonaan
    - Windows alkoi sulkemaan ohjelmiaan (resurssienhallinta,windows update) itsestään
    - En päässyt minnekkään virustorjuntaa käsittelevälle sivustolle (virustorjunta.net,normanin sivut yms. kaikki virustorjuntaan liittyvät sivut) Lisäksi en päässyt windows/microsoft updateen
    - En pystynyt päivittämään virustorjuntaa.

    Kun kaikki alkoi käydä sietämättömäksi alustin kiintolevyni ja asensin uudestaan windowsin.Heti asennuksen jälkeen sama tahti jatkui: tietoturvakeskus katosi hetken päästä päältä, en päässyt mihinkään windows updateen/virustorjuntasivuille.
    Epäilen että win32 tyyppinen virus olisi tunkeutunut järjestelmärekisteriin,koska se olisi kadonnut aika varmasti siinä vaiheessa kun alustin kiintolevyn.
    Pääsin ainoastaan vikasietotilassa internettiin ja hyvin tuskaisesti.
    Olisiko hjt-logistani apua?

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:01:31, on 5.7.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Safe mode with network support

    Running processes:
    C:\WINDOWS.0\System32\smss.exe
    C:\WINDOWS.0\system32\winlogon.exe
    C:\WINDOWS.0\system32\services.exe
    C:\WINDOWS.0\system32\lsass.exe
    C:\WINDOWS.0\system32\svchost.exe
    C:\WINDOWS.0\system32\svchost.exe
    C:\WINDOWS.0\Explorer.EXE
    C:\WINDOWS.0\System32\svchost.exe
    C:\WINDOWS.0\System32\svchost.exe
    C:\WINDOWS.0\System32\svchost.exe
    C:\WINDOWS.0\System32\svchost.exe
    C:\WINDOWS.0\System32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS.0\system32\svchost.exe
    C:\WINDOWS.0\System32\reader_s.exe
    C:\WINDOWS.0\system32\10.tmp
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\Program Files\Norman\Npm\Bin\niu.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\cmd.exe
    C:\WINDOWS.0\services.exe
    C:\WINDOWS.0\system32\wpabaln.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - Default URLSearchHook is missing
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [Norman ZANDA] "C:\Program Files\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH
    O4 - HKLM\..\Run: [services] C:\WINDOWS.0\services.exe
    O4 - HKLM\..\Run: [reader_s] C:\WINDOWS.0\System32\reader_s.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Paikallinen palve')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Verkkopalve')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1246621226484
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246621391671
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: ,C:\WINDOWS.0\TEMP\103187354mxx.dll
    O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS.0\SYSTEM32\avgrsstx.dll
    O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Program Files\Norman\Npm\Bin\Elogsvc.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
    O23 - Service: Norman NJeeves - Norman ASA - C:\Program Files\Norman\Npm\Bin\Njeeves.exe
    O23 - Service: Norman ZANDA - Norman ASA - C:\Program Files\Norman\Npm\Bin\Zanda.exe
    O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Program Files\Norman\Ngs\Bin\Nprosec.exe
    O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Program Files\Norman\Nse\Bin\NSESVC.EXE
    O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
    O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Program Files\Norman\Nvc\Bin\nvcoas.exe
    O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Program Files\Norman\npm\bin\nvoy.exe
    O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA - C:\Program Files\Norman\Npm\Bin\scheduler.exe
    O23 - Service: sopidkc Service (sopidkc) - NewYork Lt - C:\WINDOWS.0\system32\sopidkc.exe
     
    _juho_, Jul 5, 2009
    #1
  2. 79atanos

    79atanos Regular member

    Joined:
    May 19, 2008
    Messages:
    1,945
    Likes Received:
    15
    Trophy Points:
    48
    C:\WINDOWS.0\System32\reader_s.exe

    Löytyy myös automaattisesti käynnistyvien ohjelmien riveistä:

    O4 - HKLM\..\Run: [reader_s] C:\WINDOWS.0\System32\reader_s.exe

    Tuo on Virut. Joudut vielä kerran vetämään kaikki kiintolevyt sileiksi ja asentaman Winukan täydellisesti uudelleen, muuta keinoa ei ole.

    Ja älä missään tapauksessa kytke tietokonetta nettiin ennen kuin olet varmistanut Winukan palomuurin olevan päällä! Tämän jälkeen hae joku palomuuri ja virustorjunta, ja päivitä järjestelmäsi tappiinsa asti. Asenna vasta sen jälkeen loput ohjelmat.

    Ja mikäli olet jossain vaiheessa tuolla saastuneella koneella ottanut varmuuskopioita levykkeille/tikuille, niin älä vaan palauta niitä takaisin koneelle!

    Tuossa logissasi on näköjään parikin virustorjuntaa päällekkäin, Norman ja AVG. Normannista päätellen se on tullut koneen mukana? Jos se siis sisältyy Winukan asennukseen, niin onko siinä palomuuri?, Jos ei ole, niin käytä väliaikaisesti sitä Winukan muuria.
     
    Last edited: Jul 5, 2009
    79atanos, Jul 5, 2009
    #2
  3. kalminen

    kalminen Regular member

    Joined:
    May 4, 2007
    Messages:
    3,915
    Likes Received:
    0
    Trophy Points:
    46
    Lisäystä Atanoksen ohjeeseen Joka oli aivan oikein tulkittu.

    Kaikilta levyasemilta voit poimia tiedostoja talteen =>

    Exe-tiedostojen lisäksi .scr. and .html .htm .asp .php .exe
    -tiedostoja ei saa varmuuskopioida.

    Kun asennat Winukan uusiksi.
    Älä tee päälle asennusta niinkuin tuossa edellisessä vaan
    Poista osiot kaikki ja luo ne uudelleen mihin sitten asennat uuden.

    .
     
    kalminen, Jul 6, 2009
    #3
  4. _juho_

    _juho_ Member

    Joined:
    Jul 5, 2009
    Messages:
    2
    Likes Received:
    0
    Trophy Points:
    11
    Last edited: Jul 7, 2009
    _juho_, Jul 6, 2009
    #4

Share This Page