HJT-logi

Noose666 · Apr 9, 2006

Logfile of HijackThis v1.99.1
Scan saved at 18:59:06, on 9.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\PROGRA~1\HITWAR~1\HITWAR~1.EXE
C:\Program Files\EQBranch\EQBranch.exe
C:\WINDOWS\F?nts\r?ndll32.exe
C:\Program Files\CASIO\Photo Loader\Plauto.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\fswsclds.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Vuorenpää\Työpöytä\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Elisa Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;<local>;localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: (no name) - _{02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [SurfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad9.exe
O4 - HKLM\..\Run: [PrevxOne] C:\Program Files\Prevx1\PXConsole.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pshower] C:\WINDOWS\system32\pshwr.exe
O4 - HKCU\..\Run: [CMAPP] "C:\Program Files\CMAPP\Client\cmappclient.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [irssyncd] C:\WINDOWS\system32\irssyncd.exe
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe
O4 - HKCU\..\Run: [HitwarePKLite] C:\PROGRA~1\HITWAR~1\HITWAR~1.EXE
O4 - HKCU\..\Run: [EQBranch] "C:\Program Files\EQBranch\EQBranch.exe"
O4 - HKCU\..\Run: [Maea] "C:\PROGRA~1\YMANTE~1\attrib.exe" -vt ndrv
O4 - HKCU\..\Run: [Tsoomsx] C:\WINDOWS\F?nts\r?ndll32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Photo Loader supervisory.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: >>> FREE PORN GALLERIES <<< - javascript:{document.location='http://sexmaxx.com/freegalleries.htm';}
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\program files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\program files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: NordicBet Poker - {E6073F93-9541-4be4-9800-109D378EB99B} - C:\Program Files\nordicbetMPP\MPPoker.exe
O9 - Extra button: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Käynnistä-valikko\Ohjelmat\Absolute Poker\Absolute Poker.lnk
O9 - Extra 'Tools' menuitem: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Käynnistä-valikko\Ohjelmat\Absolute Poker\Absolute Poker.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: SMS-viesti - {18824440-C712-4071-AAA9-D45E15CA1F74} - http://sms.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: Palvelut - {DCF63719-BB48-4785-8DFB-EA417E7E388C} - http://service.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: Tuki - {DF779D14-EA6C-4D69-B186-574E2AFDF234} - http://tuki.elisa.net/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://elisa.net/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1108119165603
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/s...ownload/2006/cabs/ErrorSafeFreeInstall_fi.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/s...ownload/2006/cabs/ErrorSafeFreeInstall_fi.cab
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\j4l4le3q1h.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Internet Security 2004 (BackWeb Client - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\fswsclds.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. -

Onko siellä "örkkejä"?

Jurppis · Apr 9, 2006

Lataa tuosta Look2Me-Destroyer.exe työpöydällesi.
http://www.atribune.org/ccount/click.php?id=7

TÄRKEÄÄ: Ennen fixin jatkamista, sinun täytyy tehdä seuraavat:

* Tulosta tämä, tai tallenna tekstitiedostona sopivaan sijaintiin.
* Klikkaa käynnistä -> Suorita ja kirjoita: services.msc
* Klikkaa OK.
* Tarkista että tämä palvelu on käynnissä tai sen käynnistymistapa on automaattinen:
* Toissijainen kirjautuminen
* Seuraavaksi tietokoneesi on oltava offlinessa, vedä nettipiuha seinästä jos tarpeen.
* Virustorjuntasi, ja kaikkien muiden turvaohjelmistojen TÄYTYY olla suljettuja.

Jatka fixiä:

* Sulje ikkunat jatkaaksesi.
* Tupla-klikkaa Look2Me-Destroyer.exe filua ajaaksesi sen.
* Rastita Run this program as a task.
* Saat viestin joka sanoo "Look2Me-Destroyer will close and re-open in approximately 1 minute". Klikkaa OK
* Kun se avautuu uudestaan, klikkaa Scan for L2M valintaa, pikakuvakkeesi katoavat; tämä on normaalia.
* Kun skannaus on valmis, klikkaa Remove L2M.
* Saat Done Scanning viestin, klikkaa OK.
* Kun valmis, saat tämän viestin: Done removing infected files! Look2Me-Destroyer will now shutdown your computer, klikkaa OK.
* Koneesi sammuu.
* Käynnistä se uudelleen.
* Postita C:\Look2Me-Destroyer.txt lokin sisältö seuraavaan viestiisi.

Jos Look2Me-Destroyer ei aukea automaattisesi, käynnistä tietokoneesi uudestaan ja koita uudelleen.

Laita nettipiuha takaisin seinään ja laita tietoturvaohjelmat takaisin päälle.

Lataa Brute Force Uninstaller työpöydällesi.
http://www.merijn.org/files/bfu.zip

* Oikea-klikkaa BFU zippiä työpöydälläsi, ja valitse Pura kaikki.
* Klikkaa "Seuraava"
* Valikossa jossa valita mihin tiedostot puretaan,
* Klikkaa "Selaa"
* Klikkaa + merkkiä "Oman tietokoneen" vieressä.
* Klikkaa Local Disk ( C: )
* Klikkaa "Tee uusi kansio"
* Kirjoita BFU
* Klikkaa "Seuraava", ja poista rasti "Näytä puretut tiedostot" valinnasta ja sitten klikkaa "Valmis".

Oikea-klikkaa tästä linkistä -> http://metallica.geekstogo.com/alcanshorty.bfu <- ja valitse "Save As" (IE:ssä "Save Target As") ladataksesi Alcra PLUS Poistajan.
Tallenna se kansioon jonka teit aiemmin (c:\BFU).

Oikea-klikkaa tästä linkistä -> http://downloads.subratam.org/Lon/sidekickFix.bat <- ja valitse "Save As" (IE:ssä "Save Target As") ladataksesi SideKickFix.batin.
Tallenna se kansioon jonka teit aiemmin (c:\BFU).

Nyt sulje KAIKKI muut avoimet ikkunat, mukaanlukien explorerin kansiot. Tupla-klikkaa sidekickFix.bat.
Klikkaa YES ja seuraa ohjeita, kun tietokone pyydetään käynnistämään uudelleen, tee niin.

Jätä tuo toinen lataamasi tiedosto vielä toistaiseksi rauhaan:

Seuraava vaihe:
Poista ohjauspaneelin lisää / poista sovellukislla seuraavat:

VBouncer
CMAPP
EQBranch
YMANTE~1 <- Alkaa Ymante ja jatkuu vielä jotenkin
Network Monitor

Seuraavaksi avaa HijackThis, paina do a system scan only ja merkkaa nämä:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R3 - URLSearchHook: (no name) - _{02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad9.exe
O4 - HKLM\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [pshower] C:\WINDOWS\system32\pshwr.exe
O4 - HKCU\..\Run: [CMAPP] "C:\Program Files\CMAPP\Client\cmappclient.exe"
O4 - HKCU\..\Run: [irssyncd] C:\WINDOWS\system32\irssyncd.exe
O4 - HKCU\..\Run: [EQBranch] "C:\Program Files\EQBranch\EQBranch.exe"
O4 - HKCU\..\Run: [Maea] "C:\PROGRA~1\YMANTE~1\attrib.exe" -vt ndrv
O4 - HKCU\..\Run: [Tsoomsx] C:\WINDOWS\F?nts\r?ndll32.exe
O8 - Extra context menu item: >>> FREE PORN GALLERIES <<< - javascript:{document.location='http://sexmaxx.com/freegalleries.htm';}
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/downloa...
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/downloa...
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

Sulje kaikki ikkunat ja paina fix cheked ja sulje HijackTHis

Tämän jälkeen paina vasemmalta alhaalta käynnistä -> suorita -> kirjoita services.msc
Etsi valikosta Network Monitor ja tuplaklikkaa sitä. Valitse sen käynnistystavaksi ei käytössä ja paina ok.
Sulje ikkuna ja jatka ohjeita

Seuraavaksi käynnistä koneesi vikasietotilaan näpyttämällä F8:a käynnistyksen yhteydessä.

Siellä:
# Käynnistä Brute Force Uninstaller tupla-klikkaamalla BFU.exe (C:\BFU)
# Scriptline to execute kentässä kirjoita tai liitä c:\bfu\alcanshorty.bfu
# Klikkaa Execute ja anna sen tehdä työnsä. (Sinun pitäisi nähdä edistyspalkki jos teit tämän oikein.)
# Odota Complete script execution boksia ja klikkaa OK.
# Klikkaa exit lopettaaksesi Brute Force Uninstallerin.

Laita tämän jälkeen piilotiedostot näkyviin

* Klikkaa Käynnistä.
* Avaa Oma Tietokone.
* Valitse Työkalut ylämenusta ja klikkaa Kansion asetukset.
* Valitse Näytä välilehti.
* Piilotiedostot/kansiot kohdalla valitse Näytä piilotetut tiedostot ja kansiot.
* Poista rasti ruudusta -> Piilota suojatut käyttöjärjestelmätiedostot
* Klikkaa Kyllä varmistaaksesi muutokset.
* Klikkaa OK.

Ja seuraavaksi poista seuraavat tiedostot tai kansiot:

C:\WINDOWS\system32\->irasyncd.exe
C:\PROGRA~1\->VBouncer
C:\Program Files\->CMAPP
C:\WINDOWS\system32\->pshwr.exe
C:\WINDOWS\system32\->irssyncd.exe
C:\Program Files\->EQBranch
C:\PROGRA~1\->YMANTE~1
C:\WINDOWS\->F?nts <- kysymysmerkki on tuntematon merkki, tuskin on mikään Fonts tai sinneppäin
C:\Program Files\->Network Monitor

Aja veilä vikasietotilassa ewidolla full system scan ja tallenna sen raportti.

Nyt käynnistä koneesi uudelleen jotta pääsisit takaisin normaalitilaan. Normaalitilassa avaa HijackThis, paina open misc tools section ja valitse sieltä delete an NT service.
Kopioi tämä sinne: -> Network Monitor ja paina ok
Tämän jälkeen lähetä uusi HijackTHis loki, ewidon raportti sekä C:\Look2Me-Destroyer.txt sisältö.

Jurppis · Apr 9, 2006

Tuli vähän sekanen ohje, mut kysy sit jos jäi jotain epäselväksi.

Noose666 · Apr 9, 2006

Tässäpä olisi ne raportit...

Logfile of HijackThis v1.99.1
Scan saved at 22:50:16, on 9.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\PROGRA~1\HITWAR~1\HITWAR~1.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\CASIO\Photo Loader\Plauto.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\fswsclds.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Vuorenpää\Työpöytä\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Elisa Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;<local>;localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [HitwarePKLite] C:\PROGRA~1\HITWAR~1\HITWAR~1.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Photo Loader supervisory.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\program files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\program files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: NordicBet Poker - {E6073F93-9541-4be4-9800-109D378EB99B} - C:\Program Files\nordicbetMPP\MPPoker.exe
O9 - Extra button: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Käynnistä-valikko\Ohjelmat\Absolute Poker\Absolute Poker.lnk
O9 - Extra 'Tools' menuitem: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Käynnistä-valikko\Ohjelmat\Absolute Poker\Absolute Poker.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: SMS-viesti - {18824440-C712-4071-AAA9-D45E15CA1F74} - http://sms.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: Palvelut - {DCF63719-BB48-4785-8DFB-EA417E7E388C} - http://service.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: Tuki - {DF779D14-EA6C-4D69-B186-574E2AFDF234} - http://tuki.elisa.net/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://elisa.net/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1108119165603
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Internet Security 2004 (BackWeb Client - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\fswsclds.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 9.4.2006 20:14:01

Infected! C:\WINDOWS\system32\j4l4le3q1h.dll
Infected! C:\System Volume Information\_restore{051C92A8-831F-433D-9D10-2190913F8D67}\RP404\A0056988.dll
Infected! C:\System Volume Information\_restore{051C92A8-831F-433D-9D10-2190913F8D67}\RP404\A0057057.dll
Infected! C:\System Volume Information\_restore{051C92A8-831F-433D-9D10-2190913F8D67}\RP404\A0057069.dll
Infected! C:\WINDOWS\system32\dn6201joe.dll
Infected! C:\WINDOWS\system32\hr2q05f5e.dll
Infected! C:\WINDOWS\system32\j4l4le3q1h.dll
Infected! C:\WINDOWS\system32\mndmo.dll
Infected! C:\WINDOWS\system32\wjd_ci.dll

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\j4l4le3q1h.dll
C:\WINDOWS\system32\j4l4le3q1h.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{051C92A8-831F-433D-9D10-2190913F8D67}\RP404\A0056988.dll
C:\System Volume Information\_restore{051C92A8-831F-433D-9D10-2190913F8D67}\RP404\A0056988.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{051C92A8-831F-433D-9D10-2190913F8D67}\RP404\A0057057.dll
C:\System Volume Information\_restore{051C92A8-831F-433D-9D10-2190913F8D67}\RP404\A0057057.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{051C92A8-831F-433D-9D10-2190913F8D67}\RP404\A0057069.dll
C:\System Volume Information\_restore{051C92A8-831F-433D-9D10-2190913F8D67}\RP404\A0057069.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\dn6201joe.dll
C:\WINDOWS\system32\dn6201joe.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\hr2q05f5e.dll
C:\WINDOWS\system32\hr2q05f5e.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\j4l4le3q1h.dll
C:\WINDOWS\system32\j4l4le3q1h.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\mndmo.dll
C:\WINDOWS\system32\mndmo.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\wjd_ci.dll
C:\WINDOWS\system32\wjd_ci.dll Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DateTime

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{339F76F6-F68B-4090-BDED-5F374100910F}"
HKCR\Clsid\{339F76F6-F68B-4090-BDED-5F374100910F}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{D5D44264-AF2A-4AE3-8DA0-7242BD0C90AD}"
HKCR\Clsid\{D5D44264-AF2A-4AE3-8DA0-7242BD0C90AD}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{1290E088-8506-4173-A16B-FA0D9D7C38B0}"
HKCR\Clsid\{1290E088-8506-4173-A16B-FA0D9D7C38B0}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{40015F16-BBF6-415A-8E63-707ACED6B89F}"
HKCR\Clsid\{40015F16-BBF6-415A-8E63-707ACED6B89F}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file

Restoring SeDebugPrivilege for Järjestelmänvalvojat - Succeeded

---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------

+ Created on: 22:45:01, 9.4.2006
+ Report-Checksum: 7BC1DC37

+ Scan result:

:mozilla.6:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.7:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.8:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.14:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.15:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.16:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.17:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.18:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.20:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.21:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.22:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.23:C:\Documents and Settings\Vuorenpää\Application Data\Mozilla\Firefox\Profiles\qz0rezs4.Oletuskäyttäjä\cookies.txt -> TrackingCookie.Cpvfeed : Cleaned with backup
C:\Documents and Settings\Vuorenpää\Local Settings\Temp\!update.exe -> Downloader.PurityScan.w : Cleaned with backup
C:\Documents and Settings\Vuorenpää\Local Settings\Temporary Internet Files\Content.IE5\C1E34HU7\!update-3635[1].0000 -> Downloader.PurityScan.w : Cleaned with backup
C:\Documents and Settings\Vuorenpää\Local Settings\Temporary Internet Files\Content.IE5\YNU48OY5\!update-3595[1].0000 -> Downloader.PurityScan.bw : Cleaned with backup
C:\Program Files\Ѕymantec\attrib.exe -> Downloader.PurityScan.w : Cleaned with backup

::Report End

Jurppis · Apr 10, 2006

Joo, se meni hienosti, mutta pari juttua vielä:

Lataa Aproposkorjaus seuraavasta linkistä;

http://swandog46.geekstogo.com/aproposfix.exe

Tallenna se työpöydällesi mutta älä tee sillä mitään vielä.

Käynnistä kone vikasietotilassa;

1) Käynnistä uudelleen
2) Hakkaa F8;a ennen kuin Windowsin latauskuva tulee.
3) Pitäisi ilmestyä valikko
4) Valitse ensimmäinen optio; käynnistä Vikasietotilassa

Tuplaklikkaa aproposfix.exe ja unzippaa se työpöydälle. Avaa AproposFix kansio työpöydältäsi ja käynnistä RunThis.bat. Seuraa ohjeita.

Kun se on valmis, boottaa normaalisti Windowsiin, ja postita sisältö log.txt filusta AproposFix kansion sisältä.

Koneellasi on myös jonkun verran pokerinpeluu ohjelmia, jos et ole its e tahallisesti hommannut niitä tai haluat muuten vaan niistä eroon, niin ne lähtee poistamalla nämä sovellukset:

PartyPoker
Absolute Poker
Nordicbet

blade81 · Apr 12, 2006

Javan päivittäminen on myös aiheellista. Ohjetta:

Javan päivitys ja välimuistin tyhjennys

1. Klikkaa Käynnistä > Ohjauspaneeli ja tupla-klikkaa Java kuvaketta (kahvikuppi) Ohjauspaneelissa.
2. Mene "Update" -välilehteen Java asetusikkunassasi. Päivitä Javasi klikkaamalla "Update Now" ja sitten käynnistä uudelleen.
3. Jos et pysty päivittämään automaattisesti, hae manuaalisesti täältä:

http://www.java.com/en/download/manual.jsp

4. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja siitä Java asetuksiisi.
5. Temporary Internet Files -osion alla, klikkaa Delete Files nappia.
6. Varmista että kaikki kolme valintaa ovat rastitettuja:

Downloaded Applets
Downloaded Applications
Other Files

7. Klikkaa OK "Delete Temporary Internet Files" -ikkunassasi.
Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.
8. Klikkaa OK jättääksesi Java asetusikkunasi.

Log in or Sign up

HJT-logi

Noose666 Member

Jurppis Regular member

Jurppis Regular member

Noose666 Member

Jurppis Regular member

blade81 Active member

Share This Page

Log in or Sign up

HJT-logi

Noose666 Member

Jurppis Regular member

Jurppis Regular member

Noose666 Member

Jurppis Regular member

blade81 Active member

Share This Page

Useful Searches