Järjestelmänvalvoja on poistanut Tehtävienhallinnan käytöstä.

Eli ongelma on ilmeisesti joku troijalainen. HJT logi ja Malwarebytes' Anti-Malware logi alempana. Ajoin malwarebytesin läpi, mutta se ei saanut poistettua kaikkia saastuneita tiedostoja. Combofix ei suostunut toimimaan normaali tilassa, mutta en ole kokeillut vielä vikasietotilassa.

HJT ----------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55, on 2009-02-18
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\OPOY Tietoturvapalvelu\Common\FSM32.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
C:\Program Files\OPOY Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
C:\Program Files\OPOY Tietoturvapalvelu\Anti-Virus\FSGK32.EXE
C:\Program Files\OPOY Tietoturvapalvelu\Common\FSMA32.EXE
C:\Program Files\OPOY Tietoturvapalvelu\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\OPOY Tietoturvapalvelu\Common\FCH32.EXE
C:\Program Files\OPOY Tietoturvapalvelu\Anti-Virus\fsqh.exe
C:\Program Files\OPOY Tietoturvapalvelu\Common\FAMEH32.EXE
C:\Program Files\OPOY Tietoturvapalvelu\FSGUI\fsguidll.exe
C:\Program Files\OPOY Tietoturvapalvelu\FSAUA\program\fsaua.exe
C:\Program Files\OPOY Tietoturvapalvelu\Anti-Virus\fssm32.exe
C:\Program Files\OPOY Tietoturvapalvelu\FWES\Program\fsdfwd.exe
C:\Program Files\OPOY Tietoturvapalvelu\Anti-Virus\fsav32.exe
C:\Program Files\OPOY Tietoturvapalvelu\FSAUA\program\fsus.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tekniikkatalous.fi/ict/article130363.ece
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\OPOY Tietoturvapalvelu\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\OPOY Tietoturvapalvelu\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.google.fi
O15 - Trusted Zone: *.sampopankki.fi
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Basics Service - Seagate Technology LLC - C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corporation - C:\Program Files\OPOY Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\OPOY Tietoturvapalvelu\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\OPOY Tietoturvapalvelu\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\OPOY Tietoturvapalvelu\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--
End of file - 6063 bytes

Malwarebytes--------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.34
Tietokantaversio: 1773
Windows 5.1.2600 Service Pack 3

2009-02-18 11:49:23
mbam-log-2009-02-18 (11-49-23).txt

Tarkistustyyppi: Täysi tarkistus (C:\|L:\|)
Tarkistetut kohteet: 197176
Kulunut aika: 1 hour(s), 7 minute(s), 9 second(s)

Saastuneita muistiprosesseja: 1
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 7
Saastuneita rekisteriarvoja: 1
Saastuneita rekisterikohteita: 2
Saastuneita hakemistoja: 1
Saastuneita tiedostoja: 3

Saastuneita muistiprosesseja:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
HKEY_CLASSES_ROOT\wingdiapp.wingdi (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{8a10fc9b-8d76-4e95-a9be-acda2f665c30} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{967a494a-6aec-4555-9caf-fa6eb00acf91} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9692be2f-eb8f-49d9-a11c-c24c1ef734d5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{12c7290a-157b-4f43-b109-97e792c598ed} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{12c7290a-157b-4f43-b109-97e792c598ed} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wingdiapp.wingdi.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Saastuneita rekisteriarvoja:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Saastuneita rekisterikohteita:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Saastuneita hakemistoja:
C:\Program Files\XPPoliceAntivirus (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.

Saastuneita tiedostoja:
C:\WINDOWS\iehost.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\XPPoliceAntivirus\setup.dat (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.

 

1.Lataa Combofix.exe työpöydällesi yhdestä linkistä:
Combofix1
Combofix2

älä asenna palautus consolia
2. Tuplaklikkaa Combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

==============

Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi.

Käynnistä koneesi vikasietotilaan:

sammuta ja käynnistä
käynnistyksen yhteydessä hakkaa F8 nappia
valitse nuolinäppäimellä vikasietotila
paina enter ja enter
valitse käyttäjätilisi
paina kyllä

Jossakin koneissa hakataan F8:sin sijasta F5:tä

" Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
" Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
" Paina Y käynnistääksesi skriptin.
" Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
" Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
" Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
" Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
" Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
" Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis:n lokin kera.

 

Combofix hoiti asian. Kiitoksia erittäin nopeasta vastauksesta!

ComboFix 09-02-17.01 - Xxxxxx 2009-02-18 12:26:36.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1035.18.2047.1547 [GMT 2:00]
Sijainti: c:\documents and settings\Pertti\Työpöytä\ComboFix.exe
AV: dna Nettiturva 7.03 *On-access scanning disabled* (Updated)
FW: dna Nettiturva 7.03 *disabled*
* Uusi palautuspiste luotu

VAROITUS - PALAUTUSKONSOLIA EI OLE ASENNETTU !!
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\a3kebook.ini
c:\windows\akebook.ini
c:\windows\ANS2000.INI
c:\windows\system32\404Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
L:\Autorun.inf

.
((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-01-18 to 2009-02-18 )))))))))))))))))
.

2009-02-18 10:38 . 2009-02-18 10:38 <KANSIO> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-18 10:38 . 2009-02-18 10:38 <KANSIO> d-------- c:\documents and settings\Pertti\Application Data\Malwarebytes
2009-02-18 10:38 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 10:38 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-16 20:25 . 2009-02-17 18:33 53,010 --a------ c:\windows\Sysvxd.exe
2009-02-08 18:32 . 2009-02-08 18:33 <KANSIO> d-------- c:\program files\Microsoft Games for Windows - LIVE

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 10:24 --------- d-----w c:\documents and settings\Pertti\Application Data\foobar2000
2009-02-17 20:05 --------- d-----w c:\documents and settings\Pertti\Application Data\uTorrent
2009-02-17 20:04 --------- d-----w c:\program files\OPOY Tietoturvapalvelu
2009-02-17 17:51 --------- d-----w c:\program files\Steam
2009-02-17 17:25 --------- d-----w c:\program files\Bethesda Softworks
2009-02-15 15:31 32,904 ----a-w c:\documents and settings\Pertti\Application Data\wklnhst.dat
2009-02-08 17:04 --------- d-----w c:\program files\DC++0.699
2009-02-07 08:20 --------- d-----w c:\documents and settings\All Users\Application Data\Test Drive Unlimited
2009-02-05 13:42 --------- d-----w c:\program files\ATI Technologies
2009-01-30 11:21 --------- d-----w c:\documents and settings\Pertti\Application Data\Canon
2009-01-28 09:51 --------- d-----w c:\documents and settings\Pertti\Application Data\dvdcss
2009-01-17 21:56 --------- d-----w c:\program files\mIRC
2009-01-13 18:10 58,984 ----a-w c:\documents and settings\Pertti\Application Data\GDIPFONTCACHEV1.DAT
2009-01-06 15:14 --------- d-----w c:\program files\Unlocker
2008-12-26 13:35 --------- d-----w c:\program files\DivX
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2008-11-21 21:47 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-11-21 21:47 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-11-21 21:46 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-21 21:46 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-21 21:44 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-11-21 21:44 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-11-03 10:43 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Sivuhistoria\History.IE5\MSHist012008110320081104\index.dat
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"AtiTrayTools"="c:\program files\Ray Adams\ATI Tray Tools\atitray.exe" [2007-05-22 521128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="c:\program files\OPOY Tietoturvapalvelu\Common\FSM32.EXE" [2008-02-13 184800]
"F-Secure TNB"="c:\program files\OPOY Tietoturvapalvelu\FSGUI\TNBUtil.exe" [2008-02-13 741800]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-10-08 221184]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\K„ynnist„-valikko\Ohjelmat\K„ynnistys\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-11-22 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\program files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Käynnistä-valikko^Ohjelmat^Käynnistys^Adobe Gamma Loader.exe.lnk]
path=c:\documents and settings\All Users\Käynnistä-valikko\Ohjelmat\Käynnistys\Adobe Gamma Loader.exe.lnk
backup=c:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Käynnistä-valikko^Ohjelmat^Käynnistys^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Käynnistä-valikko\Ohjelmat\Käynnistys\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Käynnistä-valikko^Ohjelmat^Käynnistys^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Käynnistä-valikko\Ohjelmat\Käynnistys\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\basicsmssmenu]
--a------ 2007-10-09 16:21 169328 c:\program files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 12:49 153136 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
--a------ 2004-08-22 17:05 81920 c:\program files\D-Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\News Service]
--a------ 2005-05-31 14:45 356352 c:\program files\OPOY Tietoturvapalvelu\FSGUI\ispnews.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
--a------ 2003-05-08 11:00 49152 c:\program files\ScanSoft\OmniPageSE2.0\opwareSE2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2008-01-20 09:05 217088 c:\program files\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-10-18 13:26 1410296 c:\program files\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 00:11 132496 c:\program files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2008-02-29 03:12 76304 c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2005-07-22 15:00 81920 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LBTServ"=3 (0x3)
"Fax"=2 (0x2)
"FastUserSwitchingCompatibility"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Steam\\SteamApps\\janomaanjohtaja\\counter-strike source\\hl2.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Steam\\SteamApps\\janomaanjohtaja\\day of defeat source\\hl2.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\DC++0.699\\DCPlusPlus.exe"=
"c:\\Program Files\\Steam\\SteamApps\\janomaanjohtaja\\insurgency\\hl2.exe"=
"c:\\Program Files\\Steam\\steamapps\\janomaanjohtaja\\diprip warm up\\hl2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\OIsKU\\TDU-game\\TestDriveUnlimited.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2412:TCP"= 2412:TCPC++TCP
"1412:UDP"= 1412:UDPC++UDP

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2005-10-24 51072]
R1 atitray;atitray;c:\program files\Ray Adams\ATI Tray Tools\atitray.sys [2007-05-22 18088]
R1 F-Secure HIPS;F-Secure HIPS;c:\program files\OPOY Tietoturvapalvelu\HIPS\fshs.sys [2008-04-14 41184]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\OPOY Tietoturvapalvelu\Anti-Virus\minifilter\fsgk.sys [2006-10-06 63912]
S3 bdacap;%BdaSWCapture.DeviceDesc%;c:\windows\system32\drivers\bdacap.sys [2007-01-27 218624]
S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\drivers\GLKbFilter.sys [2007-01-29 11264]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\OPOY Tietoturvapalvelu\Anti-Virus\win2k\fsfilter.sys [2005-10-24 41640]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\OPOY Tietoturvapalvelu\Anti-Virus\win2k\fsrec.sys [2005-10-24 27048]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0c1a2c33-fb8e-11db-a2f1-0013d47b4e86}]
\Shell\AutoRun\command - K:\LaunchU3.exe -a
.
'Ajoitetut tehtävät'-kansion sisältö

2009-02-18 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\OPOYTI~1\ANTI-V~1\fsav.exe [2008-02-13 12:38]

2009-02-17 c:\windows\Tasks\Uniblue SpeedUpMyPC Nag.job
- c:\program files\SpeedUpMyPC\SpeedUpMyPC.exe []

2008-04-23 c:\windows\Tasks\Uniblue SpeedUpMyPC.job
- c:\program files\SpeedUpMyPC\SpeedUpMyPC.exe []
.
- - - - POISTETUT JÄMÄRIVIT - - - -

MSConfigStartUp-Creative Detector - c:\program files\Creative\MediaSource\Detector\CTDetect.exe
MSConfigStartUp-LogitechSoftwareUpdate - c:\program files\Logitech\Video\ManifestEngine.exe
MSConfigStartUp-LogitechVideoRepair - c:\program files\Logitech\Video\ISStart.exe
MSConfigStartUp-LogitechVideoTray - c:\program files\Logitech\Video\LogiTray.exe
MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe


.
------- Täydentävä tarkistus -------
.
uStart Page = hxxp://www.tekniikkatalous.fi/ict/article130363.ece
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
LSP: c:\program files\OPOY Tietoturvapalvelu\FSPS\program\fslsp.dll
Trusted Zone: google.fi\www
Trusted Zone: sampopankki.fi
FF - ProfilePath - c:\documents and settings\Pertti\Application Data\Mozilla\Firefox\Profiles\ahwx76m6.Brappex\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-18 12:28:46
Windows 5.1.2600 Service Pack 3 NTFS

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************
.
--------------------- LUKITUT REKISTERIAVAIMET ---------------------

[HKEY_USERS\S-1-5-21-3834423969-2606917571-3206816050-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-3834423969-2606917571-3206816050-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6ED45212-4C88-7A7A-C44B-DFC6776C123C}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-3834423969-2606917571-3206816050-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:93,0e,86,8a,f8,dc,ae,44,5e,9b,0e,bf,3f,d8,59,a3,a2,35,8c,b7,6a,db,f6,
eb,bb,c2,07,8c,e8,a9,83,4d,d2,07,a2,a9,c6,79,b8,02,aa,e4,63,73,bd,17,d9,06,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\�•€|ÿÿÿÿ"•€|ù•Ów*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\�•€|ÿÿÿÿ"•€|þ»Ów*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"
.
--------------------- Prosesseihin ladatut DLLt ---------------------

- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\Ati2evxx.dll
c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll
c:\program files\common files\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'lsass.exe'(852)
c:\program files\OPOY Tietoturvapalvelu\FSPS\program\fslsp.dll

- - - - - - - > 'explorer.exe'(1876)
c:\program files\Ray Adams\ATI Tray Tools\raphook.dll
c:\program files\Logitech\SetPoint\GameHook.dll
c:\program files\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
.
Valmistumisajankohta: 2009-02-18 12:30:55
ComboFix-quarantined-files.txt 2009-02-18 10:30:23

Ennen ajoa: 49,091,579,904 tavua vapaana
Ajon jälkeen: 49,074,991,104 tavua vapaana

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4
229 --- E O F --- 2009-02-11 20:46:22

 

sdfix

 

Aivan, anteeksi unohdin koko SDFixin.


SDFix: Version 1.240
Run by Pertti on ke 18.02.2009 at 17:37

Microsoft Windows XP [versio 5.1.2600]
Running From: C:\Documents and Settings\Pertti\Työpöytä\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-18 17:49:00
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]
"khjeh"=hex:20,02,00,00,17,37,6b,3d,e3,e3,dc,be,da,c8,32,40,a5,82,73,bf,a4,..
"hj34z0"=hex:4c,70,fa,d0,6d,03,02,3a,6d,2c,68,6b,52,3d,13,6b,d2,c7,57,9a,f1,..
"hj34z1"=hex:f6,70,fa,d0,15,03,02,3a,6c,2c,69,6b,53,3d,13,6b,d2,c7,57,9a,c1,..
"hj34z2"=hex:f6,70,fa,d0,15,03,02,3a,6c,2c,69,6b,53,3d,13,6b,d2,c7,57,9a,c1,..
"hj34z3"=hex:f6,70,fa,d0,15,03,02,3a,6c,2c,69,6b,53,3d,13,6b,d2,c7,57,9a,c1,..
"hj34z4"=hex:f6,70,fa,d0,15,03,02,3a,6c,2c,69,6b,53,3d,13,6b,d2,c7,57,9a,c1,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41]
"khjeh"=hex:20,02,00,00,a9,de,03,e0,89,90,a7,ba,38,4f,24,77,7b,05,2c,ab,f2,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42]
"khjeh"=hex:20,02,00,00,77,4e,80,31,c3,9f,a1,20,ba,26,67,3e,85,09,1a,0d,04,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43]
"khjeh"=hex:20,02,00,00,4e,b1,b7,af,48,43,7d,6c,4b,0f,13,5e,82,6b,94,27,cd,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:ca02a172
"s1"=dword:c3d84cb4
"s2"=dword:17d84f0b

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6ED45212-4C88-7A7A-C44B-DFC6776C123C}]

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*isabled:Windows Messenger"
"C:\\Program Files\\Steam\\SteamApps\\janomaanjohtaja\\counter-strike source\\hl2.exe"="C:\\Program Files\\Steam\\SteamApps\\janomaanjohtaja\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*isabled:VLC media player"
"C:\\Program Files\\mIRC\\mirc.exe"="C:\\Program Files\\mIRC\\mirc.exe:*isabled:mIRC"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"="C:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe:*:Enabled:Nero ProductSetup"
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Program Files\\Steam\\SteamApps\\janomaanjohtaja\\day of defeat source\\hl2.exe"="C:\\Program Files\\Steam\\SteamApps\\janomaanjohtaja\\day of defeat source\\hl2.exe:*:Enabled:hl2"
"C:\\Program Files\\Steam\\Steam.exe"="C:\\Program Files\\Steam\\Steam.exe:*:Enabled:Steam"
"C:\\Program Files\\DC++0.699\\DCPlusPlus.exe"="C:\\Program Files\\DC++0.699\\DCPlusPlus.exe:*:EnabledC++"
"C:\\Program Files\\Steam\\SteamApps\\janomaanjohtaja\\insurgency\\hl2.exe"="C:\\Program Files\\Steam\\SteamApps\\janomaanjohtaja\\insurgency\\hl2.exe:*:Enabled:hl2"
"C:\\Program Files\\Steam\\steamapps\\janomaanjohtaja\\diprip warm up\\hl2.exe"="C:\\Program Files\\Steam\\steamapps\\janomaanjohtaja\\diprip warm up\\hl2.exe:*:Enabled:hl2"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"C:\\OIsKU\\TDU-game\\TestDriveUnlimited.exe"="C:\\OIsKU\\TDU-game\\TestDriveUnlimited.exe:*:Enabled:Test Drive Unlimited"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Sun 23 Apr 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 12 Jul 2004 122,880 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\EulaRegn.dll"
Mon 6 Sep 2004 1,949,696 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\launcher.exe"
Mon 6 Sep 2004 53,760 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\mnyinsta.dll"
Mon 6 Sep 2004 94,208 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\RmvSuite.exe"
Mon 6 Sep 2004 35,328 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\setuplng.dll"
Mon 6 Sep 2004 20,480 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\unregwtr.exe"
Thu 19 Aug 2004 13,824 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\wkernlng.dll"
Wed 10 Oct 2007 1,024 A..H. --- "C:\System Volume Information\_restore{6CC45CBA-CF91-4A16-ADB0-1739A112D9C0}\RP1113\A0454343.sys"
Fri 16 Feb 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 13 May 2008 14,289 ...HR --- "C:\Documents and Settings\Pertti\Application Data\SecuROM\UserData\securom_v7_01.bak"

Finished!

Eli puhdasta tuli. Kiitokset avusta Hujo!

 

Kirjoita suorita luukkuun

ComboFix /u



Klikkaa OK

==============

Lataa OTMoveIt
OTMoveIt ja tallenna se työpöydällesi.

Tuplaklikkaa OTMoveIt.exe.
Klikkaa CleanUp!.
Valitse Yes kun kysytään "Begin cleanup Process?".
Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse.

HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt yrittää päästä nettin, niin anna sen päästä sinne.

 

ComboFix poistettu ja MoveIT ajettu.
Olikos se sitten siinä?

 

jokos on tehtävienhallinta käytössä.

 

Kyllä, ComboFixin ajaminen sai sen toimimaan. Osaatko sanoa, miksi minun viirustorjuntani, DNA nettiturva (eli F-Securen jonkin näköinen väännös), väittää Fallout 3:sen launcheria troijalaiseksi?

 

Missäs tuo sijaitsee mitä se noin väittää

Onko se noin lyhyt polku
n:\Falloutlauncher.exe

 

Tiedosto sijaitsee levyllä
Ja pelin asennettua "nettiturva" haluaa välttämättä poistaa sen myös pelin asennus kansiosta. Launcheriahan ei varsinaisesti tarvitse pelin pelaamiseen, mutta sen kautta aktivoidaan käynnissä olevat modit, kuten level capin poisto jonka haluaisin päälle.

 

n:\Falloutlauncher.exe
niin onko se tuolainen polku

 

Kyllä vain.

 

No tarkistuta se tuolla

Lähetetääni tiedosto Virustotaliin
virustotal

1 Klikkaa Selaa... nappia
2 Selaa sitten siihen tämä tiedosto: n:\Falloutlauncher.exe
3 Klikkaa Avaa nappia
4 Klikkaa Send nappia
5 Sivusto scannaa tiedostoa hetken, tallenna sitten tulokset jotka saat vaikka muistioon.

Jos tuo ei pelaa niin tuolla
Jotti

 

En pystynyt edes lähettämään tiedostoa viirusten torjunta päällä. DNA nettiturva siis estää tiedoston käsittelyn kokonaan.

Lähetin launcherin molemmille sivustoille (kokoa 17,6 Mt), mutta kumpikaan sivustoista ei tunnu tekevän mitään. Virustotal näyttää vain tyhjää valkoista sivua ja Online malware scan sanoo "Ready for scan" en kuitenkaan löydä mistään mitään scannaus nappia.

 

tee se että pistät sen f-securessa ohitus listalle

 

Tätä vaihtoehtoa ei anneta
Hmm. no taistelen sen kanssa ja lisätään koko falloutin asennus kansio ohitettaviin tiedostoihin niin eiköhän tässä johonkin suuntaan edetä.

Vielä kerran suuret kiitokset erittäin nopeista vastauksista!

Edit: Ja omituistahan tässä on tosiaan se ettei F-secure ennen tuosta tiedostosta ole valittanut.. Joku päivitys vissiin mennyt vain huonompaan suuntaan.