HJT loki _suoritin huutaa100%

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:37:43, on 1.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\sygate_fw\2008_12\smc.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
D:\Program\AVG\AVG8\avgrsx.exe
D:\Program\AVG\AVG8\avgemc.exe
D:\Program\AVG\AVG8\avgnsx.exe
D:\Program\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\MXOALDR.EXE
D:\Program\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program\AVG\AVG8\avgui.exe
D:\Program\AVG\AVG8\avgscanx.exe
D:\Program\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\cclea\CCleaner\ccleaner.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
D:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\Program\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\Program\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [SmcService] D:\SYGATE~1\2008_12\smc.exe -startgui
O4 - HKLM\..\Run: [AVG8_TRAY] D:\Program\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - D:\Program\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\Program\AVG\AVG8\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\sygate_fw\2008_12\smc.exe

--
End of file - 4667 bytes

 

Lataa Malwarebytes' Anti-Malware työpöydällesi.

1. Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
2. Lopuksi varmistu, että seuraavat on valittu: Update Malwarebytes', Anti-Malwareja
Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaaFinish.
3. Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
4. Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
5. Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
6. Varmistu, että kaikki on merkitty ja klikkaa Remove Selected.
7. Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki
löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application
Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
8. Lähetä lokin sisältö seuraavassa viestissäsi

 

Malwarebytes' Anti-Malware 1.34
Tietokantaversio: 1813
Windows 5.1.2600 Service Pack 3

1.3.2009 19:42:21
mbam-log-2009-03-01 (19-42-21).txt

Tarkistustyyppi: Täysi tarkistus (C:\|D:\|F:\|)
Tarkistetut kohteet: 118057
Kulunut aika: 1 hour(s), 2 minute(s), 24 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 2
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 3
Saastuneita tiedostoja: 3

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Live_TV (Adware.Agent) -> Quarantined and deleted successfully.

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
C:\Documents and Settings\Omistaja\Local Settings\Application Data\Live_TV (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Omistaja\Local Settings\Application Data\Live_TV\RadioPlayer (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Omistaja\Local Settings\Application Data\Live_TV\rss (Adware.Agent) -> Quarantined and deleted successfully.

Saastuneita tiedostoja:
C:\Documents and Settings\Omistaja\Local Settings\Application Data\Live_TV\Error.Log (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Omistaja\Local Settings\Application Data\Live_TV\RadioPlayer\Predefined_Media_List.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Omistaja\Local Settings\Application Data\Live_TV\rss\http___www_fiweh_com_music_play_php_mode=radio&id=3.xml (Adware.Agent) -> Quarantined and deleted successfully.

 

1.Lataa Combofix.exe työpöydällesi yhdestä linkistä:
Combofix1
Combofix2

Älä asenna palautus consolia
2. Tuplaklikkaa Combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

 

ComboFix 09-02-28.01 - Omistaja 2009-03-01 22:14:23.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1035.18.479.245 [GMT 2:00]
Sijainti: c:\documents and settings\Omistaja\Omat tiedostot\combo\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)
FW: Sygate Personal Firewall *enabled*
* Uusi palautuspiste luotu

VAROITUS - PALAUTUSKONSOLIA EI OLE ASENNETTU !!
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Autorun.inf

.
((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-02-01 to 2009-03-01 )))))))))))))))))
.

2009-03-01 18:31 . 2009-03-01 18:31 <KANSIO> d-------- c:\documents and settings\Omistaja\Application Data\Malwarebytes
2009-03-01 18:31 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-01 18:30 . 2009-03-01 18:30 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-01 18:30 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-26 13:00 . 2009-02-26 13:00 1,320 --a------ c:\windows\system32\spupdsvc.inf
2009-02-12 14:13 . 2008-08-26 09:26 18,816 --a------ c:\windows\system32\drivers\pccsmcfd.sys
2009-02-10 01:10 . 2009-02-10 01:10 <KANSIO> d-------- c:\documents and settings\NetworkService\Application Data\AVGTOOLBAR
2009-02-06 12:35 . 2009-02-06 12:35 1,486,208 --a------ c:\windows\system32\SET103.tmp
2009-02-04 18:36 . 2009-02-04 18:36 <KANSIO> d-------- c:\program files\Java
2009-02-04 18:36 . 2009-02-04 18:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-04 00:33 . 2009-02-25 17:06 <KANSIO> d-------- c:\documents and settings\Omistaja\Application Data\skypePM
2009-02-04 00:33 . 2009-02-04 00:33 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-02-04 00:30 . 2009-02-25 22:27 <KANSIO> d-------- c:\documents and settings\Omistaja\Application Data\Skype
2009-02-04 00:29 . 2009-02-04 00:29 <KANSIO> dr------- c:\program files\Skype
2009-02-04 00:29 . 2009-02-04 00:29 <KANSIO> d-------- c:\program files\Common Files\Skype
2009-02-04 00:29 . 2009-02-04 00:29 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Skype
2009-02-04 00:20 . 2009-02-26 11:01 <KANSIO> d-------- c:\documents and settings\Omistaja\Application Data\vlc
2009-02-03 22:52 . 2009-02-03 22:52 <KANSIO> d-------- c:\program files\VideoLAN
2009-02-03 21:13 . 2009-02-10 13:43 325,128 --a------ c:\windows\system32\drivers\avgldx86.sys
2009-02-03 21:13 . 2009-02-10 13:43 107,272 --a------ c:\windows\system32\drivers\avgtdix.sys
2009-02-03 21:13 . 2009-02-10 13:43 10,520 --a------ c:\windows\system32\avgrsstx.dll
2009-02-03 21:12 . 2009-03-01 12:15 <KANSIO> d-------- c:\windows\system32\drivers\Avg
2009-02-03 21:12 . 2009-02-03 21:12 <KANSIO> d-------- c:\program files\AVG
2009-02-03 21:12 . 2009-02-03 22:48 <KANSIO> d-------- c:\documents and settings\Omistaja\Application Data\AVGTOOLBAR
2009-02-03 21:12 . 2009-02-11 10:32 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\avg8

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-27 23:31 --------- d-----w c:\program files\Common Files\Nokia
2009-02-26 15:35 --------- d-----w c:\documents and settings\Omistaja\Application Data\Microgaming
2009-02-26 09:01 --------- d-----w c:\documents and settings\Omistaja\Application Data\vlc
2009-02-25 02:40 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-12 12:12 --------- d-----w c:\program files\PC Connectivity Solution
2009-02-11 09:07 --------- d-----w c:\documents and settings\Omistaja\Application Data\dvdcss
2009-02-09 20:17 --------- d-----w c:\program files\Windows Live
2009-02-04 16:36 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-02-01 10:45 --------- d-----w c:\documents and settings\Omistaja\Application Data\Canon
2009-01-29 21:31 --------- d-----w c:\program files\Nokia
2009-01-21 21:24 --------- d-----w c:\documents and settings\Omistaja\Application Data\Nokia
2009-01-16 18:24 --------- d-----w c:\documents and settings\All Users\Application Data\Installations
2009-01-16 17:45 --------- d-----w c:\program files\DIFX
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2008-05-06 20:50 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
2008-05-06 20:50 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Sivuhistoria\History.IE5\index.dat
2008-05-06 20:50 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Sivuhistoria\History.IE5\MSHist012008050620080507\index.dat
2008-05-06 20:50 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-07-02 155648]
"MXO Auto Loader"="c:\windows\MXOALDR.EXE" [2003-04-07 118784]
"SmcService"="d:\sygate~1\2008_12\smc.exe" [2004-10-15 2577632]
"AVG8_TRAY"="d:\program\AVG\AVG8\avgtray.exe" [2009-02-10 1601304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-02-10 13:43 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WLSetupSvc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\pokerit\\Pokerihuone\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-02-03 325128]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-02-03 107272]
R2 avg8emc;AVG8 E-mail Scanner;d:\program\AVG\AVG8\avgemc.exe [2009-02-03 903960]
R2 avg8wd;AVG8 WatchDog;d:\program\AVG\AVG8\avgwdsvc.exe [2009-02-03 298264]
S2 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [2008-01-30 26144]
S3 PRISM_A00;PRISM 802.11 Driver;c:\windows\system32\drivers\PRISMA00.sys [2008-01-30 393280]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4611bc30-cf62-11dc-9b46-0040d06a75b4}]
\Shell\AutoRun\command - F:\setupSNK.exe
.
.
------- Täydentävä tarkistus -------
.
uStart Page = hxxp://www.google.fi/
uInternet Connection Wizard,ShellNext = iexplore
Trusted Zone: alastonsuomi.com
Trusted Zone: maxinetti.fi\pctv
Trusted Zone: paf.com\dicegames
Trusted Zone: pokernetwork.co.uk\www
Trusted Zone: veikkaus.fi\www
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-01 22:17:25
Windows 5.1.2600 Service Pack 3 NTFS

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- LUKITUT REKISTERIAVAIMET ---------------------

[HKEY_USERS\S-1-5-21-1708537768-1202660629-1343024091-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1708537768-1202660629-1343024091-1003_Classes\Software\Microsoft\MessengerService]
@Denied: (Full) (RestrictedCode)
@Denied: (Full) (LocalSystem)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\�•€|ÿÿÿÿ"•€|þ»Ów*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"
.
Valmistumisajankohta: 2009-03-01 22:20:28
ComboFix-quarantined-files.txt 2009-03-01 20:20:01

Ennen ajoa: 2 721 398 784 tavua vapaana
Ajon jälkeen: 2,727,399,424 tavua vapaana

132 --- E O F --- 2009-02-25 20:18:20

 

Kirjoita suorita luukkuun

ComboFix /u

Klikkaa Ok

==========

Lataa OTMoveIt
OTMoveIt ja tallenna se työpöydällesi.

Tuplaklikkaa OTMoveIt.exe.
Klikkaa CleanUp!.
Valitse Yes kun kysytään "Begin cleanup Process?".
Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse.

HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt yrittää päästä nettin, niin anna sen päästä sinne.

 

Kiitos avusta. Olisko vielä nopeaa tapaa ruuvata selaimen näennäismuistia, kun alkanut nyt usein herjaamaan ettei se riitä...

 

Paljos koneessa on sitä keskusmuistia.

===========

http://support.microsoft.com/kb/842988/fi

 

1.3 prossu ja käytössä 512 muistia, (mut onkohan se kaikki käytössä ja) kannattaisko muistia ostaa lisää muistaakseni gigaseksi saa nostettua, tosin aiemmin on toiminu tälläkin kokoomalla ihan hyvin.. kone koht 4v vanha Amilo läppäri

 

Kaikenlaisten ohjelma-ajojen jälkeen ja näennäismuistien säätelyiden jälkeen oivalsin kuinka saan koneen toimimaan ja nyt siis pelittää taas. Tämä on hyvä sivusto, jos osaa tutkailla muiden huolia ja ottaa vinkkejä siitä miten homma toimii ))))
Kiitokset kuitenkin avuista oli niistäkin varmasti hyötyä, että pääsin alkuun. Lisämuistia ei ainakaan vielä tarvinnut eli tämä vajaa 500mt riittää aivan hyvin edelleen
ps. se oli vain yksi virus joka oli koneessa, muttei löytynyt heti.