kone saastunut

Discussion in 'Virukset ja haittaohjelmat - HijackThis -logit' started by blovz3r, Dec 3, 2007.

  1. blovz3r

    blovz3r Member

    Joined:
    Dec 3, 2007
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    täs ois hjt logi

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 7:00:33, on 3.12.2007
    Platform: Windows 2003 SP1 (WinNT 5.02.3790)
    Boot mode: Normal

    Running processes:
    G:\Program Files (x86)\Lavasoft\Ad-Aware 2007\aawservice.exe
    G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    G:\Program Files\Alwil Software\Avast4\ashServ.exe
    G:\Program Files (x86)\Logitech\G-series Software\Applets\LCDMedia.exe
    G:\Program Files (x86)\Skype\Phone\Skype.exe
    G:\WINDOWS\SysWOW64\ctfmon.exe
    G:\Program Files (x86)\Java\jre1.6.0_01\bin\jusched.exe
    G:\Program Files (x86)\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    G:\Program Files (x86)\Winamp\winampa.exe
    G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    G:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    G:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
    G:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
    G:\Program Files (x86)\Opera\Opera.exe
    G:\Program Files (x86)\MSN Messenger\msnmsgr.exe
    G:\Program Files (x86)\MSN Messenger\usnsvc.exe
    G:\Program Files (x86)\MSN Messenger\livecall.exe
    G:\Program Files (x86)\Internet Explorer\iexplore.exe
    G:\Documents and Settings\Administrator\Desktop\HiJackThis_v2.0.0.0.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    F2 - REG:system.ini: UserInit=userinit
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files (x86)\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Program Files (x86)\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] G:\Program Files (x86)\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
    O4 - HKLM\..\Run: [WinampAgent] "G:\Program Files (x86)\Winamp\winampa.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] "G:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [AdobeUpdater] G:\Program Files (x86)\Common Files\Adobe\Updater5\AdobeUpdater.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [PcSync] G:\Program Files (x86)\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [PcSync] G:\Program Files (x86)\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
    O4 - Global Startup: Logitech SetPoint.lnk = ?
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files (x86)\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files (x86)\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: avgwlx64 - G:\WINDOWS\
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - G:\WINDOWS\SysWOW64\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - G:\WINDOWS\SysWOW64\browseui.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - G:\Program Files (x86)\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - G:\WINDOWS\System32\dmadmin.exe (file missing)
    O23 - Service: Event Log (Eventlog) - Unknown owner - G:\WINDOWS\system32\services.exe (file missing)
    O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - G:\WINDOWS\System32\lsass.exe (file missing)
    O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - G:\WINDOWS\system32\imapi.exe (file missing)
    O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - G:\WINDOWS\system32\msdtc.exe (file missing)
    O23 - Service: Net Logon (Netlogon) - Unknown owner - G:\WINDOWS\system32\lsass.exe (file missing)
    O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - G:\WINDOWS\system32\lsass.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - G:\WINDOWS\system32\nvsvc64.exe (file missing)
    O23 - Service: Plug and Play (PlugPlay) - Unknown owner - G:\WINDOWS\system32\services.exe (file missing)
    O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - G:\WINDOWS\system32\lsass.exe (file missing)
    O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - G:\WINDOWS\system32\lsass.exe (file missing)
    O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - G:\WINDOWS\system32\sessmgr.exe (file missing)
    O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - G:\WINDOWS\system32\lsass.exe (file missing)
    O23 - Service: ServiceLayer - Nokia. - G:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: Virtual Disk Service (vds) - Unknown owner - G:\WINDOWS\System32\vds.exe (file missing)
    O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - G:\WINDOWS\System32\vssvc.exe (file missing)
    O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - G:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

    --
    End of file - 7323 bytes
     
    blovz3r, Dec 3, 2007
    #1
  2. kalminen

    kalminen Regular member

    Joined:
    May 4, 2007
    Messages:
    3,915
    Likes Received:
    0
    Trophy Points:
    46
    En tunnistanut palomuuria koneeltasi.
    Asennukset on syytä tehdä Järjestelmänvalvojan tunnuksilla
    Asenna koneellesi YKSI palomuuriohjelma NYT:

    1) ZoneAlarm
    2) Agnitum
    3) Sunbelt/Kerio
    4) Comodo

    Jos käytät sisäänrakennettua Windowsin palomuuria, se ei ole suositeltua sillä se ei estä koneelta ulosmeneviä yhteyksiä.
    Muista käyttää vain yhtä palomuuria kerrallaan.
    -----------------------------
    1. Käynnistä Spybot-S&D Edistyneessä tilassa
    2. Jos se ei ole Edistyneessä tilassa, mene Tila-valikkoon ja valitse Edistynyt tila
    3. Klikkaa vasemmalla Työkalut
    4. Klikkaa listassa Pysyvä suojaus
    5. Ota rasti pois kohdasta "Pysyvä TeaTimer" ja paina OK.
    6. Käynnistä kone uudelleen.
    ---------------------------
    Mene alapalkista käynnistävalikkoon ==> Suorita kenttään ==> kopioi rivi kerrallaan Avaa: laatikkoon
    sc stop "NVIDIA Display Driver Service" ja paina OK
    sc delete "NVIDIA Display Driver Service" ja paina OK

    Käynnistä kone vikasietotilaan => OHJE
    Laita piilotiedostot näkyviin =>vikasiedossa OHJE

    Poista seuraava tiedosto:
    G:\WINDOWS\system32\nvsvc64.exe
    Käynnistä kone normaalitilaan.
    ----------------------------
    Poista vanha HJT Lisää ja poista ohjelmalla:
    Lataa tästä HJTInstall.exe
    * Tallenna HJTInstall.exe työpöydällesi.
    * Tuplaklikkaa HJTInstall.exe-kuvaketta työpöydälläsi.
    * Oletuksena se asentaa itsensä hakemistoon C:\Program Files\Trend Micro\HijackThis.
    * Klikkaa Install.
    * Asennusohjelma luo HijackThis-kuvakkeen työpöydälle.
    * Kun asennus on valmis, se käynnistää HijackThisin.
    *** Älä scannaa vielä.
    * Klikkaa Do a system scan and save a logfile-painiketta. Ohjelma aloittaa skannauksen ja lokin pitäisi avautua Muistioon.
    * Klikkaa ensin "Muokkaa > Valitse kaikki" sitten "Muokkaa > Kopioi" kopioidaksesi koko lokin sisällön.
    * Liitä lokin sisältö seuraavaan vastaukseesi.
    * ÄLÄ käytä Analyse This-nappulaa, sen löydöt ovat vaarallisia väärinymmärrettyinä.
    * ÄLÄ fixaa HijackThis-ohjelmalla vielä mitään. Suurin osa sen löydöistä ovat joko harmittomia tai jopa tarpeellisia.
    ---------------------
    Sammuta selain ja muut ohjelmat Fixin ajaksi. (ei virustorjuntaa)
    Käynnistä HijackThis:Scan ja ruksaa seuraavat punaisella listatut tiedostot sekä poista ne.(fix Chekked)

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O20 - Winlogon Notify: avgwlx64 - G:\WINDOWS\
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - G:\WINDOWS\system32\nvsvc64.exe (file missing)

    Tyhjennä roskakori ja käynnistä koneesi uudelleen.

    Postita tänne seuraavat lokit:

    * Tuore HijackThis loki (Otetaan viimeisenä ennen postitusta)
    *
     
    kalminen, Dec 3, 2007
    #2
  3. blovz3r

    blovz3r Member

    Joined:
    Dec 3, 2007
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    kun asensin palomuurin tuli error "driver not found"
     
    blovz3r, Dec 3, 2007
    #3
  4. kalminen

    kalminen Regular member

    Joined:
    May 4, 2007
    Messages:
    3,915
    Likes Received:
    0
    Trophy Points:
    46
    Laita varmuudeksi Windowsin palomuuri päälle Ohjauspanelin => tietoturvakeskuksesta.
    Jatka ohjetta eteenpäin.
     
    kalminen, Dec 3, 2007
    #4
  5. blovz3r

    blovz3r Member

    Joined:
    Dec 3, 2007
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    iski errorit tossa suorita jutussa "[SC] OpenService Failed 1060:
    The specifield servise does not exist as an installed service.
     
    blovz3r, Dec 3, 2007
    #5
  6. kalminen

    kalminen Regular member

    Joined:
    May 4, 2007
    Messages:
    3,915
    Likes Received:
    0
    Trophy Points:
    46
    Hankala pöpö rrrrrrrrrrrrrrrrr
    Added by the W32/IRCBot-YK worm and IRC backdoor.
    -----------------------------
    1. Käynnistä Spybot-S&D Edistyneessä tilassa
    2. Jos se ei ole Edistyneessä tilassa, mene Tila-valikkoon ja valitse Edistynyt tila
    3. Klikkaa vasemmalla Työkalut
    4. Klikkaa listassa Pysyvä suojaus
    5. Ota rasti pois kohdasta "Pysyvä TeaTimer" ja paina OK.
    6. Käynnistä kone uudelleen.
    ---------------------------

    Ota ensin rekisteristä näin varmuuskopio:

    Alapalkista > Käynnistä > Suorita -> regedit -> ok.
    Klikkaa hiirellä omatietokone rivi aktiiviseksi.
    Sitten Tiedosto -> Vie. Kirjoita sille Roope Tiedoston nimi ja
    Tallennus Kohde sarakkeeseen valitset (G:) juureen. Vientialueeseen "täppi" kohtaan kaikki.
    Poistu Regeditistä.

    Sitten tallenna tämä alla oleva tekstinpätkä nimellä fix.reg Notepad muistiossa
    työpöydälle (tallennusmuoto kaikki tiedostot)

    Code:
    Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nVidia Display Driver"=-
    Tuplaklikkaa työpöydällä fix.reg ja paina kyllä ja ok.
    -------------------------
    Lataa Killbox Option^Explicitiltä.

    Huomaa: Jos sinulla on jo Killbox, tämä on uusi versio joka sinun tulee asentaa. Poista aikaisempi.

    * Tallenna työpöydällesi.
    * Tupla-klikkaa Killbox.exe ajaaksesi ohjelman.
    * Valitse:* Delete on Reboot* sitten klikkaa All Files valintaa.
    * Kopioi ja liitä alapuolella olevat tiedostopolut leikepöydälle mustaamalla KAIKKI ne ja painamalla CTRL + C (tai, mustaamisen jälkeen, oikea klikki hiirellä ja valitse kopioi):

    G:\WINDOWS\system32\nvsvc64.exe

    * Palaa Killboxiin, mene File valikkoon, ja valitse Paste from Clipboard.
    * Mene Options valikkoon laita ruxit kahteen ylimpään riviin.
    * Klikkaa puna-valkoista Delete File valintaa. Klikkaa Yes "Delete on Reboot" pyyntöön. Klikkaa OK mihin vain PendingFileRenameOperations pyyntöön (ja anna fixaajan tietää jos jokin tälläinen tulee!).[/list]
    Käynnistä koneesi itse jos se ei sitä automaattisesti tee.
    Jos saat tälläisen viestin: "Component 'MsComCtl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid." Kun yrität ajaa KillBoxia, klikkaa tätä ladataksesi ja ajaaksesi Missingfilessetup.exe;n. Sitten koita KillBoxia uudestaan.

    KillBoxin Tools välilehdeltä => Delete Temp Files => Delete Selected
    -------------------------
    Jatka ekaa ojetta niiltä osin jota et ole vielä tehnyt +logit
    LähetäAiemmin pyydettyjen lisäksi: G:\!KillBox\Logs\Kb.log tänne.
     
    kalminen, Dec 4, 2007
    #6
  7. blovz3r

    blovz3r Member

    Joined:
    Dec 3, 2007
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    PendingFileRenameOperations registery Removed by External process!
     
    blovz3r, Dec 4, 2007
    #7
  8. blovz3r

    blovz3r Member

    Joined:
    Dec 3, 2007
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    taidan formatoida.... kiitosny kuitenki avusta.
     
    blovz3r, Dec 4, 2007
    #8

Share This Page