Elikkäs meitsin koneelle hyökkäs eile jotai matopahasia. Tein virus scannit ja se poisti ne spywaret vai mitä lie olikaan mut aina kun koneen käynnistää uudelleen ne samat virukset ilmestyy koneelleni uudelleen ja taustakuvaks tulee Windosin ilmotus et Adaware ja Spyware tiedostot löydetty... Ainakin tämä tiedosto tulee käynnistyksen jälkee uudelleen: lphcvhsj034.exe ja nettiki heittää välil googlen hakupalkista jonnekki ihme sivustoille. Tässä HJT logi: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:25:24, on 21.9.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\HyötyOhjelmat\Sygate\smc.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\HyötyOhjelmat\Winamp\winampa.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\HyötyOhjelmat\DAEMON Tools\daemon.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RunDLL32.exe C:\Program Files\HyötyOhjelmat\Hp-Photosmart\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\lphcvhsj0e34g.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HyötyOhjelmat\Logitech\WingMan Software\lwemon.exe C:\Program Files\HyötyOhjelmat\Hp-Photosmart\Digital Imaging\bin\hpqtra08.exe C:\Program Files\HyötyOhjelmat\Common\Bin\WinCinemaMgr.exe C:\Program Files\HyötyOhjelmat\Hp-Photosmart\Digital Imaging\bin\hpqimzone.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\Program Files\HyötyOhjelmat\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telkku.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\HyötyOhjelmat\Winamp\winampa.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\HyötyOhjelmat\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HyötyOhjelmat\Hp-Photosmart\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [lphcvhsj0e34g] C:\WINDOWS\system32\lphcvhsj0e34g.exe O4 - HKLM\..\Run: [inrhcrhsj0e34g] C:\Documents and Settings\Nousiainen\Local Settings\Temp\.tt4C.tmp.exe /CR=5F8C0875B49BA02BB503A8EC828A17BC0D9D2CCD1F3B38396A11FFA25712D0034FE6876B52E0B60BE2E2A9B338DD1CB4C6436E0ED2AB51829AAA8886217800C23CA772E829A04DEFD5E8082F9AAD2F42F4 O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\HYTYOH~1\Sygate\smc.exe -startgui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\HyötyOhjelmat\Logitech\WingMan Software\lwemon.exe" /noui O4 - HKCU\..\Run: [igndlm.exe] C:\Pelit\IGN\Download Manager\DLM.exe /windowsstart /startifwork O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\system32\regscan.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = ? O4 - Global Startup: HP Photosmart Premier -pikakäynnistys.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\HYTYOH~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.sf-anytime.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1199471761062 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Program Files\HyötyOhjelmat\Norman\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\HyötyOhjelmat\Sygate\smc.exe -- End of file - 9552 bytes
Vielä tuohon edelliseen että Windows laittaa taustakuvaksi kuvan jossa siis on ilmotettu näin: "Spyware detected on your computer" "Win32/Adware.Virtumonde" "Win32/PrivacyRemover.M64" elikkäs nuo spywaret se ilmottaa... kiitoksia etukäteen...
Lataa Malwarebytes' Anti-Malware työpöydällesi. 1. Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman. 2. Lopuksi varmistu, että seuraavat on valittu: Update Malwarebytes', Anti-Malwareja Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaaFinish. 3. Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version. 4. Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan. 5. Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset. 6. Varmistu, että kaikki on merkitty ja klikkaa Remove Selected. 7. Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt 8. Lähetä lokin sisältö seuraavassa viestissäsi ============== Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi. Käynnistä koneesi vikasietotilaan: sammuta ja käynnistä käynnistyksen yhteydessä hakkaa F8 nappia valitse nuolinäppäimellä vikasietotila paina enter ja enter valitse käyttäjätilisi paina kyllä Jossakin koneissa hakataan F8:sin sijasta F5:tä " Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix. " Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman. " Paina Y käynnistääksesi skriptin. " Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot". " Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen. " Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta. " Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished". " Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle. " Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis:n lokin kera.
Yllä maintut toiminnut on suoritettu ja kone vaikuttaa jo paremmalta =) Malwarebytes' Anti-Malware Logi: Malwarebytes' Anti-Malware 1.28 Tietokantaversio: 1185 Windows 5.1.2600 Service Pack 3 21.9.2008 20:23:00 mbam-log-2008-09-21 (20-23-00).txt Tarkistustyyppi: Täysi tarkistus (C:\|) Tarkistetut kohteet: 168818 Kulunut aika: 45 minute(s), 15 second(s) Saastuneita muistiprosesseja: 1 Saastuneita muistimoduuleja: 1 Saastuneita rekisteriavaimia: 4 Saastuneita rekisteriarvoja: 2 Saastuneita rekisterikohteita: 0 Saastuneita hakemistoja: 0 Saastuneita tiedostoja: 15 Saastuneita muistiprosesseja: C:\WINDOWS\system32\lphcvhsj0e34g.exe (Trojan.FakeAlert) -> Unloaded process successfully. Saastuneita muistimoduuleja: C:\WINDOWS\system32\blphcvhsj0e34g.scr (Trojan.FakeAlert) -> Delete on reboot. Saastuneita rekisteriavaimia: HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Saastuneita rekisteriarvoja: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcrhsj0e34g (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcvhsj0e34g (Trojan.FakeAlert) -> Quarantined and deleted successfully. Saastuneita rekisterikohteita: (Haitallisia kohteita ei löydetty) Saastuneita hakemistoja: (Haitallisia kohteita ei löydetty) Saastuneita tiedostoja: C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\blphcvhsj0e34g.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lphcvhsj0e34g.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Documents and Settings\Nousiainen\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Documents and Settings\Nousiainen\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phcvhsj0e34g.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Documents and Settings\Nousiainen\Local Settings\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Documents and Settings\Nousiainen\Local Settings\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Documents and Settings\Nousiainen\Local Settings\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Documents and Settings\Nousiainen\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Documents and Settings\Nousiainen\Local Settings\Temp\.tt3.tmp.vbs (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Documents and Settings\Nousiainen\Local Settings\Temp\.tt5.tmp.vbs (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Documents and Settings\Nousiainen\Local Settings\Temp\.tt2.tmp.vbs (Trojan.FakeAlert) -> Quarantined and deleted successfully. ---------------------------------------------- SDFix Logi: SDFix: Version 1.227 Run by Nousiainen on su 21.09.2008 at 20:41 Microsoft Windows XP [versio 5.1.2600] Running From: C:\Documents and Settings\Nousiainen\Ty”p”yt„\SDFix Checking Services : Rootkit Found : C:\WINDOWS\system32\drivers\tdssserv.sys - Rootkit.Win32.Agent.cku Name : tdssserv Path : \systemroot\system32\drivers\TDSSserv.sys tdssserv - Deleted Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\DOCUME~1\NOUSIA~1\LOCALS~1\Temp\.ttC0.tmp - Deleted C:\WINDOWS\system32\drivers\tdssserv.sys - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-21 21:02:00 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s0"=dword:caef7482 "s1"=dword:c6f43292 "s2"=dword:c395e53d "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:49,60,a1,7f,dd,af,59,fe,a6,f9,1c,49,dd,19,d8,87,dd,7f,18,0e,44,.. "p0"="C:\Program Files\HyötyOhjelmat\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "khjeh"=hex:e0,e1,e5,b8,e7,fc,3b,d1,2a,ba,8e,03,f9,8c,51,e8,a8,a0,d8,86,90,.. "a0"=hex:20,01,00,00,c3,bb,ac,0e,98,60,08,1c,2f,62,00,f8,b5,78,55,ee,65,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:41,cc,ca,58,e9,9f,fc,9a,25,b2,d7,55,97,f4,24,49,6b,27,62,6e,c9,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:c3,49,38,77,fb,7e,2b,41,c3,2a,e0,f4,72,8c,eb,34,cf,3c,31,f7,50,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:49,60,a1,7f,dd,af,59,fe,a6,f9,1c,49,dd,19,d8,87,dd,7f,18,0e,44,.. "p0"="C:\Program Files\HyötyOhjelmat\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "khjeh"=hex:e0,e1,e5,b8,e7,fc,3b,d1,2a,ba,8e,03,f9,8c,51,e8,a8,a0,d8,86,90,.. "a0"=hex:20,01,00,00,c3,bb,ac,0e,98,60,08,1c,2f,62,00,f8,b5,78,55,ee,65,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:41,cc,ca,58,e9,9f,fc,9a,25,b2,d7,55,97,f4,24,49,6b,27,62,6e,c9,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:c3,49,38,77,fb,7e,2b,41,c3,2a,e0,f4,72,8c,eb,34,cf,3c,31,f7,50,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:49,60,a1,7f,dd,af,59,fe,a6,f9,1c,49,dd,19,d8,87,dd,7f,18,0e,44,.. "p0"="C:\Program Files\HyötyOhjelmat\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "khjeh"=hex:e0,e1,e5,b8,e7,fc,3b,d1,2a,ba,8e,03,f9,8c,51,e8,a8,a0,d8,86,90,.. "a0"=hex:20,01,00,00,c3,bb,ac,0e,98,60,08,1c,2f,62,00,f8,b5,78,55,ee,65,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:bb,ee,92,d4,56,36,c7,4b,75,ba,42,4e,e0,58,fe,9d,03,91,fa,15,9b,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:c3,49,38,77,fb,7e,2b,41,c3,2a,e0,f4,72,8c,eb,34,cf,3c,31,f7,50,.. scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:0000008b "TracesSuccessful"=dword:0000002c [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FD4101FB-C983-B07D-57A5-EDB08C62AB7B}] "abajjnkghmdncjechmkdjlcbkmjjfnijfm"=hex:61,61,00,00 "bbajjnkghmdncjechmjdihfkeccekeojfimo"=hex:61,61,00,00 scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019" "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Program Files\\Hy”tyOhjelmat\\DC++\\DCPlusPlus.exe"="C:\\Program Files\\Hy”tyOhjelmat\\DC++\\DCPlusPlus.exe:*:EnabledC++" "C:\\Pelit\\AA\\System\\ArmyOps.exe"="C:\\Pelit\\AA\\System\\ArmyOps.exe:*:Enabled:ArmyOps" "C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*isabled:Microsoft DirectPlay8 Server" "C:\\Program Files\\Hy”tyOhjelmat\\RevConnect\\DCPlusPlus.exe"="C:\\Program Files\\Hy”tyOhjelmat\\RevConnect\\DCPlusPlus.exe:*:EnabledC++" "C:\\Program Files\\Hy”tyOhjelmat\\Bittorrent\\bittorrent.exe"="C:\\Program Files\\Hy”tyOhjelmat\\Bittorrent\\bittorrent.exe:*:Enabled:BitTorrent" "C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000" "C:\\Pelit\\AOE2\\age2_x1.exe"="C:\\Pelit\\AOE2\\age2_x1.exe:*:Enabled:Age of Empires II Expansion" "C:\\Pelit\\Microsoft Games\\Age of Empires II The Conquerors Expansion Trial\\age2_x1t.exe"="C:\\Pelit\\Microsoft Games\\Age of Empires II The Conquerors Expansion Trial\\age2_x1t.exe:*:Enabled:Age of Empires II Expansion" "C:\\Pelit\\EAGAMES\\Mohaa\\moh_Breakthrough.exe"="C:\\Pelit\\EAGAMES\\Mohaa\\moh_Breakthrough.exe:*:Enabled:Medal of Honor Allied Assault(tm) Breakthrough" "C:\\Pelit\\Activision\\Call of Duty 2\\CoD2MP_s.exe"="C:\\Pelit\\Activision\\Call of Duty 2\\CoD2MP_s.exe:*:Enabled:CoD2MP_s" "C:\\Pelit\\EA GAMES\\Battlefield 2 Demo\\BF2.exe"="C:\\Pelit\\EA GAMES\\Battlefield 2 Demo\\BF2.exe:*:Enabled:Battlefield 2" "C:\\Pelit\\America's Army\\System\\ArmyOps.exe"="C:\\Pelit\\America's Army\\System\\ArmyOps.exe:*:Enabled:ArmyOps" "C:\\Pelit\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"="C:\\Pelit\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe:*:Enabled:Medal of Honor Pacific Assault(tm)" "C:\\Program Files\\Hy”tyOhjelmat\\BitComet\\BitComet.exe"="C:\\Program Files\\Hy”tyOhjelmat\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client" "C:\\Program Files\\Hy”tyOhjelmat\\VLC\\vlc.exe"="C:\\Program Files\\Hy”tyOhjelmat\\VLC\\vlc.exe:*:Enabled:VLC media player" "C:\\Pelit\\THQ\\Company of Heroes\\RelicCOH.exe"="C:\\Pelit\\THQ\\Company of Heroes\\RelicCOH.exe:*:Enabled:RelicCOH" "C:\\Program Files\\Hy”tyOhjelmat\\uTorrent\\uTorrent.exe"="C:\\Program Files\\Hy”tyOhjelmat\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent" "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000" "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" Remaining Files : File Backups: - C:\DOCUME~1\NOUSIA~1\TYPYT~1\SDFix\backups\backups.zip Files with Hidden Attributes : Mon 18 Aug 2008 1,832,272 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe" Sat 13 May 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak" Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Program Files\Hy”tyOhjelmat\Spybot - Search & Destroy\SDUpdate.exe" Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Program Files\Hy”tyOhjelmat\Spybot - Search & Destroy\SpybotSD.exe" Mon 18 Aug 2008 1,832,272 A.SHR --- "C:\Program Files\Hy”tyOhjelmat\Spybot - Search & Destroy\TeaTimer.exe" Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Program Files\Hy”tyOhjelmat\Spybot - Search & Destroy2\SDUpdate.exe" Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Program Files\Hy”tyOhjelmat\Spybot - Search & Destroy2\SpybotSD.exe" Thu 3 May 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp" Sat 13 May 2006 4,348 A..H. --- "C:\Documents and Settings\Nousiainen\Omat tiedostot\Omat musiikkitiedostot\K„ytt”oikeuden varmuuskopio\drmv1key.bak" Tue 15 Aug 2006 20 A..H. --- "C:\Documents and Settings\Nousiainen\Omat tiedostot\Omat musiikkitiedostot\K„ytt”oikeuden varmuuskopio\drmv1lic.bak" Mon 3 Jul 2006 400 A.SH. --- "C:\Documents and Settings\Nousiainen\Omat tiedostot\Omat musiikkitiedostot\K„ytt”oikeuden varmuuskopio\drmv2key.bak" Finished! ------------------------------------- Hijackthis Logi: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:12:04, on 21.9.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\HyötyOhjelmat\Sygate\smc.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\notepad.exe C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\HyötyOhjelmat\Winamp\winampa.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\HyötyOhjelmat\DAEMON Tools\daemon.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RunDLL32.exe C:\Program Files\HyötyOhjelmat\Hp-Photosmart\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HyötyOhjelmat\Logitech\WingMan Software\lwemon.exe C:\Program Files\HyötyOhjelmat\Hp-Photosmart\Digital Imaging\bin\hpqtra08.exe C:\Program Files\HyötyOhjelmat\Common\Bin\WinCinemaMgr.exe C:\Program Files\HyötyOhjelmat\Hp-Photosmart\Digital Imaging\bin\hpqimzone.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\HyötyOhjelmat\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.telkku.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\HyötyOhjelmat\Winamp\winampa.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\HyötyOhjelmat\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HyötyOhjelmat\Hp-Photosmart\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\HYTYOH~1\Sygate\smc.exe -startgui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\HyötyOhjelmat\Logitech\WingMan Software\lwemon.exe" /noui O4 - HKCU\..\Run: [igndlm.exe] C:\Pelit\IGN\Download Manager\DLM.exe /windowsstart /startifwork O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = ? O4 - Global Startup: HP Photosmart Premier -pikakäynnistys.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\HYTYOH~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.sf-anytime.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1199471761062 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Program Files\HyötyOhjelmat\Norman\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\HyötyOhjelmat\Sygate\smc.exe -- End of file - 9164 bytes ------------- Kiitoksia.
1.Lataa Combofix.exe työpöydällesi yhdestä linkistä: Combofix1 Combofix2 2. Tuplaklikkaa Combofix.exe tiedostoa ja seuraa ohjeistuksia. 3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi. Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
Vieläkö pitäis tehdä jotain scanneja? vai näyttääkö kaikki puuhtaalta? Tässä ois sitten se CamboFixin logi: ComboFix 08-09-20.05 - Nousiainen 2008-09-21 23:58:42.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1035.18.579 [GMT 3:00] Sijainti: C:\Documents and Settings\Nousiainen\Ty”p”yt„\ComboFix.exe * Uusi palautuspiste luotu VAROITUS - PALAUTUSKONSOLIA EI OLE ASENNETTU !! . ((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2008-08-21 to 2008-09-21 ))))))))))))))))) . 2008-09-21 20:39 . 2008-09-21 20:39 579,072 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-09-21 20:37 . 2008-09-21 20:37 <KANSIO> d-------- C:\WINDOWS\ERUNT 2008-09-21 19:14 . 2008-09-21 19:14 <KANSIO> d-------- C:\Documents and Settings\Nousiainen\Application Data\Malwarebytes 2008-09-21 19:14 . 2008-09-21 19:14 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-09-21 19:14 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-21 19:14 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-21 17:53 . 2008-09-21 20:28 <KANSIO> d-------- C:\Program Files\Enigma Software Group 2008-09-21 13:07 . 2004-10-15 18:32 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll 2008-09-21 13:07 . 2004-10-15 18:17 60,496 --a------ C:\WINDOWS\system32\drivers\Teefer.sys 2008-09-21 13:07 . 2004-10-15 18:18 21,075 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys 2008-09-21 13:07 . 2004-10-15 18:32 14,568 --a------ C:\WINDOWS\system32\drivers\wg3n.sys 2008-09-21 00:49 . 2008-09-21 14:25 77,824 --a------ C:\WINDOWS\system32\TDSSxboh.dll 2008-09-21 00:49 . 2008-09-21 14:25 55,296 --a------ C:\WINDOWS\system32\drivers\TDSSjcxe.sys 2008-09-21 00:49 . 2008-09-21 14:25 36,352 --a------ C:\WINDOWS\system32\TDSSjjsm.dll 2008-09-10 01:31 . 2008-09-10 01:31 <KANSIO> d-------- C:\WINDOWS\Logs 2008-09-07 03:01 . 2008-09-07 03:01 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Trymedia 2008-09-06 16:21 . 2008-09-06 16:21 <KANSIO> d-------- C:\WINDOWS\system32\fi 2008-09-06 16:21 . 2008-09-06 16:21 <KANSIO> d-------- C:\WINDOWS\l2schemas 2008-08-28 19:11 . 2008-08-28 19:11 <KANSIO> d-------- C:\Program Files\TeaTimer (Spybot - Search & Destroy) 2008-08-28 19:04 . 2008-04-14 19:11 712,704 --------- C:\WINDOWS\system32\windowscodecs.dll 2008-08-28 19:04 . 2008-04-14 19:11 346,112 --------- C:\WINDOWS\system32\windowscodecsext.dll 2008-08-28 19:04 . 2008-04-14 19:11 276,992 --------- C:\WINDOWS\system32\wmphoto.dll 2008-08-28 19:04 . 2008-04-14 19:11 69,120 --------- C:\WINDOWS\system32\wlanapi.dll 2008-08-28 19:04 . 2008-04-14 19:11 53,248 --------- C:\WINDOWS\system32\tsgqec.dll 2008-08-28 19:04 . 2008-04-14 19:11 50,688 --------- C:\WINDOWS\system32\tspkg.dll 2008-08-28 19:03 . 2008-04-14 19:11 412,160 --------- C:\WINDOWS\system32\photometadatahandler.dll 2008-08-28 19:03 . 2008-04-14 19:11 291,328 --------- C:\WINDOWS\system32\qagentrt.dll 2008-08-28 19:03 . 2008-04-14 19:11 290,304 --------- C:\WINDOWS\system32\rhttpaa.dll 2008-08-28 19:03 . 2008-04-14 19:11 150,528 --------- C:\WINDOWS\system32\qagent.dll 2008-08-28 19:03 . 2008-04-14 19:11 144,384 --------- C:\WINDOWS\system32\onex.dll 2008-08-28 19:03 . 2008-04-14 19:11 76,800 --------- C:\WINDOWS\system32\qutil.dll 2008-08-28 19:03 . 2008-04-14 19:11 62,464 --------- C:\WINDOWS\system32\qcliprov.dll 2008-08-28 19:03 . 2008-04-14 19:11 61,952 --------- C:\WINDOWS\system32\rasqec.dll 2008-08-28 19:03 . 2008-04-14 19:12 32,768 --------- C:\WINDOWS\system32\setupn.exe 2008-08-28 19:03 . 2008-04-13 21:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys 2008-08-28 19:01 . 2008-04-14 19:11 651,264 --------- C:\WINDOWS\system32\dot3ui.dll 2008-08-28 19:00 . 2008-04-14 19:11 233,472 --------- C:\WINDOWS\system32\azroles.dll 2008-08-28 19:00 . 2008-04-14 19:11 136,192 --------- C:\WINDOWS\system32\aaclient.dll 2008-08-28 19:00 . 2008-04-14 19:11 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll 2008-08-22 01:37 . 2008-08-22 01:37 <KANSIO> d-------- C:\Program Files\MSXML 4.0 2008-08-21 15:50 . 2008-05-01 17:35 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll 2008-08-21 15:48 . 2008-04-11 22:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll . (((((((((((((((((((((((((((((((((((( Find3M-raportti )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-21 16:14 --------- d-----w C:\Program Files\HyötyOhjelmat 2008-09-21 14:50 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-20 20:10 --------- d-----w C:\Documents and Settings\Nousiainen\Application Data\uTorrent 2008-09-06 13:29 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd3197.sys 2008-08-28 16:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-08-26 14:17 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-08-26 14:16 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-08-23 20:01 --------- d-----w C:\Program Files\Lavasoft 2008-08-23 20:00 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard 2008-08-23 19:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-08-22 14:48 --------- d-----w C:\Documents and Settings\Nousiainen\Application Data\HP 2008-08-13 19:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\HP 2008-08-13 19:19 --------- d-----w C:\Program Files\Common Files\Sonic Shared 2008-08-13 19:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sonic 2008-08-13 19:18 --------- d-----w C:\Program Files\Common Files\HP 2008-08-13 19:15 --------- d-----w C:\Program Files\Hewlett-Packard 2008-08-13 19:13 --------- d-----w C:\Program Files\HP 2008-08-13 12:59 --------- d-----w C:\Program Files\Java 2008-08-05 09:30 --------- d-----w C:\Documents and Settings\Nousiainen\Application Data\Ahead 2008-07-18 19:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 19:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 19:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 19:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 19:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 19:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 19:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 19:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 19:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 19:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-25 17:41 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll 2008-06-25 17:41 2,272 ----a-w C:\WINDOWS\system32\w95inf16.dll 2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 15:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll 2008-06-23 16:29 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2006-05-19 11:47 61 --sh--w C:\WINDOWS\cnerolf.dat . (((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet ))))))))))))))))))))))))))))))))))))))))))))) . . *Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "igndlm.exe"="C:\Pelit\IGN\Download Manager\DLM.exe" [2007-03-05 1103480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Samsung Common SM"="C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" [2004-05-17 360448] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-03-04 155648] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 8491008] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 155648] "SmcService"="C:\PROGRA~1\HYTYOH~1\Sygate\smc.exe" [2004-10-15 2577632] "nwiz"="nwiz.exe" [2007-09-17 C:\WINDOWS\system32\nwiz.exe] "SoundMan"="SOUNDMAN.EXE" [2003-08-05 C:\WINDOWS\SOUNDMAN.EXE] "NvMediaCenter"="NvMCTray.dll" [2007-09-17 C:\WINDOWS\system32\nvmctray.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= C:\Program Files\HyötyOhjelmat\ffdshow\ffdshow.ax [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSjcxe.sys] @="driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\Messenger\\msmsgs.exe"= "C:\\WINDOWS\\system32\\dpnsvr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Pelit\\AOE2\\age2_x1.exe"= "C:\\Pelit\\EAGAMES\\Mohaa\\moh_Breakthrough.exe"= "C:\\Pelit\\Activision\\Call of Duty 2\\CoD2MP_s.exe"= "C:\\Pelit\\EA GAMES\\Battlefield 2 Demo\\BF2.exe"= "C:\\Pelit\\America's Army\\System\\ArmyOps.exe"= "C:\\Pelit\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"= "C:\\Pelit\\THQ\\Company of Heroes\\RelicCOH.exe"= "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "31104:TCP"= 31104:TCPORT_31104 "54957:TCP"= 54957:TCPORT_54957 "50927:TCP"= 50927:TCPORT_50927 "13985:TCP"= 13985:TCPORT_13985 "9401:TCP"= 9401:TCPORT_9401 "63695:TCP"= 63695:TCPORT_63695 "65483:TCP"= 65483:TCPORT_65483 "42540:TCP"= 42540:TCPORT_42540 "51555:TCP"= 51555:TCPORT_51555 "64468:TCP"= 64468:TCPORT_64468 "22493:TCP"= 22493:TCPORT_22493 "49770:TCP"= 49770:TCPORT_49770 "41200:TCP"= 41200:TCPORT_41200 "24728:TCP"= 24728:TCPORT_24728 "64626:TCP"= 64626:TCPORT_64626 "15575:TCP"= 15575:TCPORT_15575 "44305:TCP"= 44305:TCPORT_44305 "10218:TCP"= 10218:TCPORT_10218 "52664:TCP"= 52664:TCPORT_52664 "11457:TCP"= 11457:TCPORT_11457 "22450:TCP"= 22450:TCPORT_22450 "24097:TCP"= 24097:TCPORT_24097 "45048:TCP"= 45048:TCPORT_45048 "46798:TCP"= 46798:TCPORT_46798 "6805:TCP"= 6805:TCPORT_6805 "11613:TCP"= 11613:TCP:BitComet 11613 TCP "11613:UDP"= 11613:UDP:BitComet 11613 UDP R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] \Shell\AutoRun\command - I:\AutoRun.exe *Newly Created Service* - PROCEXP90 . - - - - POISTETUT JÄMÄRIVIT - - - - HKCU-Run-Start WingMan Profiler - C:\Program Files\HyötyOhjelmat\Logitech\WingMan Software\lwemon.exe HKLM-Run-WinampAgent - C:\Program Files\HyötyOhjelmat\Winamp\winampa.exe HKLM-Run-DAEMON Tools - C:\Program Files\HyötyOhjelmat\DAEMON Tools\daemon.exe HKLM-Run-HP Software Update - C:\Program Files\HyötyOhjelmat\Hp-Photosmart\HP Software Update\HPWuSchd2.exe . ------- Täydentävä tarkistus ------- . R0 -: HKCU-Main,Start Page = www.telkku.com/ R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s O8 -: Vie Microsoft E&xceliin - C:\PROGRA~1\HYTYOH~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E} - hxxp://www.srtest.com/srl_bin/sysreqlab3.cab C:\WINDOWS\Downloaded Program Files\SysReqLab3.osd C:\WINDOWS\Downloaded Program Files\sysreqlab3.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-22 00:02:20 Windows 5.1.2600 Service Pack 3 NTFS tarkistaa piilotettuja prosesseja ... tarkistaa piilotettuja käynnistysarvoja ... tarkistaa piilotettuja tiedostoja ... tarkistus on valmis piilotetut tiedostot: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\vsdatant] "ImagePath"="" . Valmistumisajankohta: 2008-09-22 0:06:17 ComboFix-quarantined-files.txt 2008-09-21 21:05:54 Ennen ajoa: 14ÿ047ÿ199ÿ232 tavua vapaana Ajon jälkeen: 14,122,242,048 tavua vapaana 203 --- E O F --- 2008-09-10 22:22:37
Lataa OTMoveIt OTMoveIt ja tallenna se työpöydällesi. Tuplaklikkaa OTMoveIt.exe. Klikkaa CleanUp!. Valitse Yes kun kysytään "Begin cleanup Process?". Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse. HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt yrittää päästä nettin, niin anna sen päästä sinne. ====== Lataa Tästä Ccleaner CCleaner v 2.11.636.- Standard Build, ÄLÄ aseenna Yahoo toolbaria! Asennuksessa poista merkki/rasti kohdasta "asenna Yahoo! toolbar/työkalupalkki". Asennuksen jälkeen aukaise CCleaner. Valitse vasemmalta pystyrivistä Options. Valitse viereisestä pystyrivistä Settings. Language kohtaan valitse Suomi. Puhdistaja Valitse vasemmalta pystyrivistä Puhdistaja. Paina alhaalta Tutki. Nyt CCleaner tutkii, mitä voidaan poistaa (tempit, cookiessit jne.). Kun tutkiminen on valmis, paina Aja CCleaner. Nyt CCleaner poistaa löydetyt tempit, cookiessit jne. Rekisterin virheiden korjaus Valitse vasemmalta pystyrivistä Rekisteri. Paina alhaalta Etsi rekisterin virheitä. Kun etsintä on valmis ja olet varma, että haluat korjata ne rivit jotka ovat merkattuja, niin paina Korjaa valitut rekisterin virheet. Sinulta kysytään "haluatko varmuuskopioida muutokset rekisteriin", paina Kyllä. Tallenna varmuuskopio vaikka "Omat tiedostot" -kansioon. Klikkaa uudesta aukeavasta ikkunasta Korjaa kaikki valitut virheet. Saat vielä varmistus kysymyksen, paina Ok. Kun virheet on korjattu, paina Sulje. Nyt voit sulkea CCleanerin painamalla oikealta ylhäältä punaista rastia.
Kone toimii omasta mielestäni ihan hyvin ja nettikin myös, ei heitä minne sattuu... ilmottelen kyllä sitten jos huomaan jotain Kantsiikos poistaa tuolta Malwaren karanteenista noi tiedostot? Ettei joku muu ohjelma esim SPyBot tai Avast löydä niitä ja alkaa herjaamaan niist?
Juu poista vain sieltä. karanteeneistä ja poista roskat ============== Lataa OTMoveIt OTMoveIt ja tallenna se työpöydällesi. Tuplaklikkaa OTMoveIt.exe. Klikkaa CleanUp!. Valitse Yes kun kysytään "Begin cleanup Process?". Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse. HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt yrittää päästä nettin, niin anna sen päästä sinne.
