Keksittekö tästä lokista jotain.

Discussion in 'Virukset ja haittaohjelmat - HijackThis -logit' started by BforeDusk, Mar 23, 2008.

  1. BforeDusk

    BforeDusk Senior member

    Joined:
    Sep 15, 2006
    Messages:
    6,570
    Likes Received:
    7
    Trophy Points:
    118
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 0:31:17, on 29.3.8200
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Logitech\Gaming Software\LWEMon.exe
    C:\WINDOWS\system32\ctfmon.exe
    d:\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
    O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
    O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DAEMON Tools] "D:\Progut\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: License Management Service SON - e-sonopress - C:\Program Files\Common Files\esonopress Shared\Service\Licence Manager SON.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 2345 bytes
     
    BforeDusk, Mar 23, 2008
    #1
  2. mind92

    mind92 Regular member

    Joined:
    Feb 2, 2008
    Messages:
    188
    Likes Received:
    0
    Trophy Points:
    26

    Lataa SmitfraudFix (by S!Ri) työpöydällesi.

    Tuplaklikkaa tiedostoa SmitfraudFix.exe

    Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
    Postita tämän tekstitiedoston sisältö viestiketjuusi.

    **Jos työkalu ei käynnisty työpöydältä niin siirrä SmitfraudFix.exe suoraan järjestelmäaseman juureen (yleensä C:). Kokeile sitten käynnistää ohjelma uudestaan sieltä.

    Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
    http://www.beyondlogic.org/consulting/processutil/processutil.htm
    -------------
    sanoppa kärsiikö kone mistään vaivasta esim ylenpalttisesta hitaudesta yms.:)
     
    mind92, Mar 23, 2008
    #2
  3. Hujo

    Hujo Guest

    BforeDusk

    missä on virustorjunta ja palomuuri

    turhaa tommosta edes aloittaa putsaileen.
    Jos ei koneella ole edes perusasioita kunnossa.
     
    Last edited by a moderator: Mar 23, 2008
    Hujo, Mar 23, 2008
    #3
  4. BforeDusk

    BforeDusk Senior member

    Joined:
    Sep 15, 2006
    Messages:
    6,570
    Likes Received:
    7
    Trophy Points:
    118
    Virustorjunta toisissa koneissa, joissa skannataan ennen siirtoa.
    (saastunut, tunnistamaton siirtoväline on mahdollista)

    Ei mitään verkkoyhteyttä, niin miksi palomuuriakaan.

    Service: License Management Service SON - e-sonopress
    Tuo oli viimeisimmän peliasennuksen (d: osioon, alle viikko sitten) myötä ja heivasin pois, uninstall.
    c:\program files\common files alle jäi pari, jotka sieltä erikseen toinen uninstall tiedosto.

    Viat:
    Daemontools lopetti toimintansa 'bla bla laittoman...lopetetaan' ilmoa winukan käynnistyksessä.
    Viikko sitten asennettu ja toimiva peli lopetti myös toimintansa.
    sfc /scannow komento satakunta kertaa jouduin klikkaamaan Uudelleen Että tilapalkki loppuun asti meni. (Herjasi mahdollisesti eri version cd tai asema rikki) Ei mitään ilmoja, kun lopetti.
    HjT:n ajoin. Yks kaks huomasin sen vikan pelin kansion päiväys väärä. Poistin.
    Huomasin kellosta, näkyy lokissa, päivä ja vuosiluku.
    Bios kello näytti 03/29/1901
    Muutin oikean ajan -> Daemontools tulee kellon viereen. Peli ei toiminut. Poistin sen, uninstall. Tikussa sattui olemaan kokeesi asennettu kansio. (On skannattu eikä mitään löydy) Toimii tuossakin koneessa taas kovolle kopsattuna
    (osa ohjelmista toimii ilman mitään merkintöjä rekisterissä, vaikka ne pitääkin alunperin instaloida).

    Bios patteria täytyy tietenkin tarkkailla, jos se sai kellon sekoamaan. Mieleen tuli, että on viruksia, jotka sotkevat biosin. Emossa kun ei taida olla bios-kirjoitussuoja päällä.
    Selviääkö semmoiset näillä ohjelmilla?

    Jos bios on pilattu, niin toimiiko ja korjaako disketiltä bios päivitys? Vaikkei uudempaa versiota olisi julkaistu. Eli sama uudestaan.

    Mitään paniikkia ei ole. Nyt on hyvää aikaa tutkia kaikki mahdolliset öttiäisten tekoset.
    Format c: ja uudelleen asennus myöhemmin ei ole mikään ongelma.

    msconfigilla ensin muutama ja Tietokoneen hallinassa on tarpeettomia palveluita poistettu. Ne eivät ongelmia ole tehneet. (vain msconfig:in ikkuna aina ilmoittamassa muutoksista. Ei ole rassannut Peruuta painaminen.

    Vanha dvd jossa toi SON - e-sonopress:in tuonnut asennus on, ajantasalla oleva avast tai AVG ei haittaa löydä.

    avast ja AVG, OK tolle SmitfraudFix
    Paan tuloksia kun on testattu.

    Tässä tulos: (editoin vähän vähemmäksi tyhjiä rivejä)
    SmitFraudFix v2.307

    Scan done at 1:28:39,31, ma 24.03.2008
    Run from C:\Documents and Settings\Valvoja\Ty”p”yt„\SmitfraudFix
    OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» Process
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Logitech\Gaming Software\LWEMon.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Progut\DAEMON Tools\daemon.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts
    »»»»»»»»»»»»»»»»»»»»»»»» C:\
    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Valvoja
    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Valvoja\Application Data
    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu
    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Valvoja\Suosikit
    »»»»»»»»»»»»»»»»»»»»»»»» Desktop
    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Nykyinen kotisivu"

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, following keys are not inevitably infected!!!
    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, following keys are not inevitably infected!!!
    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!
    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, following keys are not inevitably infected!!!
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock
    »»»»»»»»»»»»»»»»»»»»»»»» DNS
    »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
    »»»»»»»»»»»»»»»»»»»»»»»» End

     
    Last edited: Mar 24, 2008
    BforeDusk, Mar 23, 2008
    #4

Share This Page