HJT Lokitiedosto tarkastettavaksi

Moro
Voisikohan joku viisaampi vastata että mitä ylimääräistä tästä kaverin koneen logista löytyy. Koneen olen skannannut ensin Adawarella ja sen jälkeen Ewidolla, mutta silti aina kun käynnistaän netin muutama popoup ikkuna aukeaa

 

Loki ei ole läheskään kokonainen.

Loki alkaa sanoilla "Logfile of HijackThis v1.99.1" ja viimeiset rivit alkavat O23.

Lähetä se uudestaan ja nyt kokonaisena.

 

Amis moka sorry
Nyt sain kaverilta uuden lokin ja se olisi tässä

 

Aloitetaan tällä:

Poista ohjauspaneelista:

MailSkinner
MessengerPlus !3

Fixaa HjT:llä (do a system scan only, merkkaa ja paina fix checked):

O2 - BHO: (no name) - {0C3F5F11-57C0-0F10-A70F-0693AC288EB1} - C:\DOCUME~1\HP_OMI~1\APPLIC~1\GLUEDE~1\kind wait.exe (file missing)
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [pzwhduyl] c:\windows\system32\pzwhduyl.exe pzwhduyl
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [liognt] c:\windows\system32\liognt.exe liognt
O4 - HKLM\..\Run: [zjnpig] c:\windows\system32\zjnpig.exe zjnpig
O4 - HKLM\..\Run: [cgivfpujkm] c:\windows\system32\cgivfpujkm.exe cgivfpujkm
O4 - HKLM\..\Run: [jryetzas] c:\windows\system32\jryetzas.exe jryetzas
O4 - HKLM\..\Run: [zmukylbqnc] c:\windows\system32\zmukylbqnc.exe zmukylbqnc
O4 - HKLM\..\Run: [opaihtqvj] c:\windows\system32\opaihtqvj.exe opaihtqvj
O4 - HKLM\..\Run: [ctahuyql] c:\windows\system32\ctahuyql.exe ctahuyql
O4 - HKLM\..\Run: [jcmhdvq] c:\windows\system32\jcmhdvq.exe jcmhdvq
O4 - HKLM\..\Run: [ajiknwtrxp] c:\windows\system32\ajiknwtrxp.exe ajiknwtrxp
O4 - HKLM\..\Run: [nplvyb] c:\windows\system32\nplvyb.exe nplvyb
O4 - HKLM\..\Run: [xziaegqys] c:\windows\system32\xziaegqys.exe xziaegqys
O4 - HKLM\..\Run: [upisaxvm] c:\windows\system32\upisaxvm.exe upisaxvm
O4 - HKLM\..\Run: [janlcb] c:\windows\system32\janlcb.exe janlcb
O4 - HKLM\..\Run: [wsaufno] c:\windows\system32\wsaufno.exe wsaufno
O4 - HKLM\..\Run: [sjfoptq] c:\windows\system32\sjfoptq.exe sjfoptq
O4 - HKLM\..\Run: [jxdlvgyqok] c:\windows\system32\jxdlvgyqok.exe jxdlvgyqok
O4 - HKLM\..\Run: [xuhraevb] c:\windows\system32\xuhraevb.exe xuhraevb
O4 - HKLM\..\Run: [jahqzsf] c:\windows\system32\jahqzsf.exe jahqzsf
O4 - HKLM\..\Run: [vfnxtjdpih] c:\windows\system32\vfnxtjdpih.exe vfnxtjdpih
O4 - HKLM\..\Run: [opgtbixw] c:\windows\system32\opgtbixw.exe opgtbixw
O4 - HKLM\..\Run: [ghtnka] c:\windows\system32\ghtnka.exe ghtnka
O4 - HKLM\..\Run: [xybaulq] c:\windows\system32\xybaulq.exe xybaulq
O4 - HKLM\..\Run: [ytkdsqfr] c:\windows\system32\ytkdsqfr.exe ytkdsqfr
O4 - HKLM\..\Run: [wlemobqsn] c:\windows\system32\wlemobqsn.exe wlemobqsn
O4 - HKLM\..\Run: [oxgnupsbhk] c:\windows\system32\oxgnupsbhk.exe oxgnupsbhk
O4 - HKLM\..\Run: [ulfxdzkcvm] c:\windows\system32\ulfxdzkcvm.exe ulfxdzkcvm
O4 - HKLM\..\Run: [xlryashg] c:\windows\system32\xlryashg.exe xlryashg
O4 - HKLM\..\Run: [aukqntm] c:\windows\system32\aukqntm.exe aukqntm
O4 - HKLM\..\Run: [sejwmh] c:\windows\system32\sejwmh.exe sejwmh
O4 - HKLM\..\Run: [naczbfu] c:\windows\system32\naczbfu.exe naczbfu
O4 - HKLM\..\Run: [seruiab] c:\windows\system32\seruiab.exe seruiab
O4 - HKLM\..\Run: [cijktum] c:\windows\system32\cijktum.exe cijktum
O4 - HKLM\..\Run: [kmhinyxd] c:\windows\system32\kmhinyxd.exe kmhinyxd
O4 - HKLM\..\Run: [gfduvlbm] c:\windows\system32\gfduvlbm.exe gfduvlbm
O4 - HKLM\..\Run: [dhslzx] c:\windows\system32\dhslzx.exe dhslzx
O4 - HKLM\..\Run: [mlsqko] c:\windows\system32\mlsqko.exe mlsqko
O4 - HKLM\..\Run: [nadsvwibcr] c:\windows\system32\nadsvwibcr.exe nadsvwibcr
O4 - HKLM\..\Run: [pjifen] c:\windows\system32\pjifen.exe pjifen
O4 - HKLM\..\Run: [View Internet Sixth Regs] C:\Documents and Settings\All Users\Application Data\First Audio View Internet\The bold.exe
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1049.dll,InstantAccess
O4 - HKCU\..\Run: [for online] C:\DOCUME~1\HP_OMI~1\APPLIC~1\FIVEMO~1\user once.exe
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab
O16 - DPF: {04CCFF26-7D52-4E42-BF6A-F8ECE0896EB7} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1071_XP.cab
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
O16 - DPF: {0D1011B3-89C8-4F8E-8693-BB970E2E81E0} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1069_A...
O16 - DPF: {11F1D260-129E-4EB7-B37E-57E3D97A3DF1} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1044_EN_XP.cab
O16 - DPF: {3616F4B5-F6AD-4E67-966A-C218673648A0} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1070_A...
O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1049_EN_XP.cab
O16 - DPF: {3DAD912E-D2B9-4323-B7C9-7F2C5CC0C57B} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1070_XP.cab
O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_AS...
O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/sysiasvc32_EN_XP.cab
O16 - DPF: {78F584DF-BBF5-4296-839C-31DE60914DBC} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1071_A...
O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - http://scripts.downloadv3.com/binaries/IA/syswbsvc32_EN_XP.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_EN_XP.cab
O16 - DPF: {BA749BC1-143E-430D-B1DA-1D2AF67A3658} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1069_XP.cab
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_EN_XP.cab
O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1045_EN_XP.cab
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_EN_XP.cab
O16 - DPF: {D8B94E9A-A34B-4253-BF48-C7CB7F2CFDB0} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1046_EN_XP.cab
O16 - DPF: {E7AE1661-EBEB-492B-AE0D-860DF24174C6} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_AS...
O16 - DPF: {EF4DCD99-D26B-44A4-BA77-CFDCC97E7291} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1062_XP.cab[/b]

Hae Brute force uninstaller täältä -> http://www.merijn.org/files/bfu.zip
Pura zippi omaan kansioonsa (c:\BFU)

Klikkaa tuota -> http://metallica.geekstogo.com/EGDACCESS.bfu hiiren oikella napilla ja valitse "tallenna (kohde)nimellä" imuroidaksesi EGDACCESS Removerin. Tallenna samaan kansioon (c:\BFU)

Tuplaklikkaa BFU.exe

Kohtaan scriptline to execute kopioi/liitä c:\bfu\EGDACCESS.bfu
Paina execute ja anna sen tehä hommat

Odota, että complete script execution-laatikko pomppaa ja paina OK.
Paina exit, jotta ohjelma sulkeutuu

Käynnistä vikasietotilaan.

Poista, jos löytyy:

C:\DOCUME~1\HP_OMI~1\APPLIC~1\GLUEDE~1
c:\windows\system32\pzwhduyl.exe
c:\windows\system32\liognt.exe
c:\windows\system32\zjnpig.exe
c:\windows\system32\cgivfpujkm.exe
c:\windows\system32\jryetzas.exe
c:\windows\system32\zmukylbqnc.exe
c:\windows\system32\opaihtqvj.exe
c:\windows\system32\ctahuyql.exe
c:\windows\system32\jcmhdvq.exe
c:\windows\system32\ajiknwtrxp.exe
c:\windows\system32\nplvyb.exe
c:\windows\system32\xziaegqys.exe
c:\windows\system32\upisaxvm.exe
c:\windows\system32\janlcb.exe
c:\windows\system32\wsaufno.exe
c:\windows\system32\sjfoptq.exe
c:\windows\system32\jxdlvgyqok.exe
c:\windows\system32\xuhraevb.exe
c:\windows\system32\jahqzsf.exe
c:\windows\system32\vfnxtjdpih.exe
c:\windows\system32\opgtbixw.exe
c:\windows\system32\ghtnka.exe
c:\windows\system32\xybaulq.exe
c:\windows\system32\ytkdsqfr.exe
c:\windows\system32\wlemobqsn.exe
c:\windows\system32\oxgnupsbhk.exe
c:\windows\system32\ulfxdzkcvm.exe
c:\windows\system32\xlryashg.exe
c:\windows\system32\aukqntm.exe
c:\windows\system32\sejwmh.exe
c:\windows\system32\naczbfu.exe
c:\windows\system32\seruiab.exe
c:\windows\system32\cijktum.exe
c:\windows\system32\kmhinyxd.exe
c:\windows\system32\gfduvlbm.exe
c:\windows\system32\dhslzx.exe
c:\windows\system32\mlsqko.exe
c:\windows\system32\nadsvwibcr.exe
c:\windows\system32\pjifen.exe
C:\Documents and Settings\All Users\Application Data\First Audio View Internet
c:\program files\mailskinner
C:\DOCUME~1\HP_OMI~1\APPLIC~1\FIVEMO~1

Käynnistä uudelleen

Lataa ja tallenna http://www.f-secure.com/blacklight/try.shtml Blacklight työpöydällesi;

Tupla-klikkaa blbeta.exe, hyväksy sopimus, klikkaa > Scan, sitten > Next

Näet listan kaikesta mitä löytyi. Työpöydällesi myös ilmestyy loki jonka nimi on fsbl.xxxxxxx.log (xxxxxxx;n tilalla on luultavimmin numeroita).

Kopioi ja liitä tämä loki seuraavaan vastaukseesi. Älä valitse "Rename" optiota vielä! Haluamme nähdä login ensin, koska hyviä tiedostoja saattaa olla mukana, kuten "wbemtest.exe".Hae findlop ->
http://metallica.geekstogo.com/findlop.zip

Pura ja tuplaklikkaa findlop.bat
Logi löytyy tuolta C:\findlop.txt

Lähetä uusi HjT-lokia, blacklightin loki ja C:\findlop.txt-tiedoston sisältö.