Kone sekoilee, HJT logista apua?

Eli kone on viime aikoina käyttäytynyt monellakin tapaa epänormaalilla ja rasittavalla tavalla, tässä muutama esimerkki:
-selain kaatuilee jatkuvasti (Firefox) ja ainakin tietyt sivut selaimen kuin selaimen
-selaimeen aukeaa välillä itsestään mainossivuja, esim. pokerstrategy.com (tai jotain sinne päin)
-tänään katosivat alapalkin pikakäynnistyskuvakkeet ja windowsin käynnistyessä käyttöjärjestelmä herjasi parin .dll tiedoston puuttumisesta

Tässä logitiedosto, toivottavasti joku voisi auttaa. Kiitos!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:56, on 31.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iltalehti.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: 0 www.adonnetwork.com
O1 - Hosts: 0 http://www.adonnetwork.com
O1 - Hosts: 0 transition.adtrgt.com/inter/fs.jsp?
O1 - Hosts: 0 transition.adtrgt.com/inter/fs.jsp?
O1 - Hosts: 0 transition.adtrgt.com
O1 - Hosts: 0 www.adtrgt.com
O1 - Hosts: 0 adhoster.net
O1 - Hosts: 0 www.adhoster.net
O1 - Hosts: 0 spe.adtrgt.com
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [882f8a95] rundll32.exe "C:\WINDOWS\system32\akescydj.dll",b
O4 - HKLM\..\Run: [BM8b1cb909] Rundll32.exe "C:\WINDOWS\system32\mtuixbop.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Avaa uuteen etuvälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/230?af87f05c1f5041b3bcb6fc491b5bebfe
O8 - Extra context menu item: Avaa uuteen taustavälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/229?af87f05c1f5041b3bcb6fc491b5bebfe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1009842639359
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7862 bytes

 

Lataa SmitfraudFix (by S!Ri) työpöydällesi.

Tuplaklikkaa tiedostoa SmitfraudFix.exe

Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi.

**Jos työkalu ei käynnisty työpöydältä niin siirrä SmitfraudFix.exe suoraan järjestelmäaseman juureen (yleensä C:). Kokeile sitten käynnistää ohjelma uudestaan sieltä.

Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
http://www.beyondlogic.org/consulting/processutil/processutil.htm

 

Mind -- opettele asia ennenkuin neuvot.

Hypod, sulla ei ole anti-virusta koneellasi.

Asenna koneelles tuosta yks anti-virus... Ja vain yksi. Useampi samanaikainen tuottaa konflikteja.

1) Antivir PersonalEdition Classic- Ilmainen anti-virus Windowsille. Ilmainen tuki.
2) avast! 4 Home Edition - Ilmainen anti-virus Windowsin kotikäyttäjille.
3) AVG Anti-Virus Free Edition - Ilmainen anti-virus Windowsin kotikäyttäjille.

------

Sittenkun olet asentanut,

Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
combofix.exe
combofix.exe

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. (C:\ComboFix.txt) Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

 

Noniin, tehty on. Tuo logi muuten tuli ainakin minulla kansioon C:\ComboFix eikä C:n juureen, heh. Mutta tässäpä logi.

Koneessa huomasin sellaista sekoilua viime aikoina että selaimet eivät suostuneet avaamaan kaikkia www-sivuja, ja esimerkiksi googleen selain kyllä meni, mutta kun sillä yritti jotain hakea, niin ei vastausta... Jäi vaan siihen junnaamaan. Tuota oli nyt jatkunut ehkä parin viikon ajan, kunnes otin AVG:n virusohjelman joka poisti ainakin jotain troijalaisia, ja ongelma on nyt ainakin toistaiseksi kadonnut. Mutta tässä tuo ComboFixin tuottama logi, jos siitä vielä löytyy jotain epäilyttävää?:

ComboFix 08-04-13.3 - Atte-setae 2008-04-14 21:16:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1176 [GMT 3:00]
Running from: C:\Documents and Settings\Atte-setae\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Temporary
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\pqtwa.ini
C:\WINDOWS\system32\pqtwa.ini2
C:\WINDOWS\system32\srutv.ini
C:\WINDOWS\system32\srutv.ini2

.
((((((((((((((((((((((((( Files Created from 2008-03-14 to 2008-04-14 )))))))))))))))))))))))))))))))
.

2008-04-13 21:22 . 2008-04-13 21:22 <DIR> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2008-04-13 21:22 . 2008-04-14 16:05 <DIR> d-------- C:\Documents and Settings\Atte-setae\Application Data\AVG7
2008-04-13 21:22 . 2008-04-13 21:22 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-04-13 20:10 . 2008-04-13 20:10 1,494 --ahs---- C:\WINDOWS\system32\eshjohyd.ini
2008-04-12 20:07 . 2008-04-13 20:08 1,434 --ahs---- C:\WINDOWS\system32\uyprwcaj.ini
2008-04-11 20:08 . 2008-04-12 12:44 1,314 --ahs---- C:\WINDOWS\system32\wfymqlyw.ini
2008-04-10 20:10 . 2008-04-11 16:24 1,194 --ahs---- C:\WINDOWS\system32\yuecrpgo.ini
2008-04-09 20:14 . 2008-04-10 16:01 1,014 --ahs---- C:\WINDOWS\system32\ocycuspn.ini
2008-04-08 20:07 . 2008-04-09 20:07 894 --ahs---- C:\WINDOWS\system32\yfdsmjht.ini
2008-04-07 19:43 . 2008-04-08 20:01 774 --ahs---- C:\WINDOWS\system32\cotseckk.ini
2008-04-06 19:38 . 2008-04-07 19:38 594 --ahs---- C:\WINDOWS\system32\llfsssmy.ini
2008-04-05 19:39 . 2008-04-06 13:41 474 --ahs---- C:\WINDOWS\system32\lecovsqp.ini
2008-04-04 19:37 . 2008-04-05 19:37 354 --ahs---- C:\WINDOWS\system32\vwftlywj.ini
2008-04-03 19:34 . 2008-04-04 19:34 774 --ahs---- C:\WINDOWS\system32\sjmpgpyv.ini
2008-04-02 14:49 . 2008-04-02 14:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-04-01 18:25 . 2008-04-03 19:31 654 --ahs---- C:\WINDOWS\system32\limmqpbi.ini
2008-03-31 18:28 . 2008-03-31 18:28 <DIR> d-------- C:\Program Files\Trend Micro
2008-03-31 18:18 . 2008-04-01 17:25 354 --ahs---- C:\WINDOWS\system32\jdycseka.ini
2008-03-31 18:17 . 266,752 C:\WINDOWS\system32\vturs.dll_old
2008-03-30 21:38 . 2008-03-31 16:36 3,632 --ahs---- C:\WINDOWS\system32\glsistyp.ini
2008-03-29 21:39 . 2008-03-30 16:50 3,512 --ahs---- C:\WINDOWS\system32\rldhfurh.ini
2008-03-29 20:37 . 2008-03-29 20:37 3,392 --ahs---- C:\WINDOWS\system32\vdefawny.ini
2008-03-27 19:43 . 2008-03-29 20:34 3,332 --ahs---- C:\WINDOWS\system32\toifymrw.ini
2008-03-26 22:42 . 2008-03-26 22:40 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-03-26 22:40 . 2008-03-26 22:45 <DIR> d-------- C:\Documents and Settings\Atte-setae\.housecall6.6
2008-03-26 19:42 . 2008-03-27 19:42 3,092 --ahs---- C:\WINDOWS\system32\jpnrnubx.ini
2008-03-25 16:49 . 2008-03-26 19:36 2,972 --ahs---- C:\WINDOWS\system32\jjatqhlm.ini
2008-03-24 15:32 . 2008-03-25 16:46 2,852 --ahs---- C:\WINDOWS\system32\adewsmpm.ini
2008-03-23 15:34 . 2008-03-24 14:35 2,612 --ahs---- C:\WINDOWS\system32\kklmjqgo.ini
2008-03-22 15:35 . 2008-03-23 14:17 2,492 --ahs---- C:\WINDOWS\system32\gjieippr.ini
2008-03-21 15:34 . 2008-03-22 15:35 2,372 --ahs---- C:\WINDOWS\system32\krjjlfvb.ini
2008-03-20 15:28 . 2008-03-21 15:28 2,252 --ahs---- C:\WINDOWS\system32\xrndrdxs.ini
2008-03-18 16:41 . 2008-03-20 15:22 2,132 --ahs---- C:\WINDOWS\system32\spewjwcl.ini
2008-03-17 16:18 . 2008-03-18 16:38 1,952 --ahs---- C:\WINDOWS\system32\exggwxqo.ini
2008-03-15 01:31 . 2008-03-17 16:15 1,772 --ahs---- C:\WINDOWS\system32\pvcsjvya.ini

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-14 13:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avg7
2008-04-13 16:22 --------- d-----w C:\Documents and Settings\Atte-setae\Application Data\uTorrent
2008-04-07 20:56 17,144 ----a-w C:\Documents and Settings\Atte-setae\Application Data\GDIPFONTCACHEV1.DAT
2008-04-02 12:21 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-02 12:20 --------- d-----w C:\Program Files\anysee
2008-03-29 19:35 --------- d-----w C:\Documents and Settings\Atte-setae\Application Data\dvdcss
2008-03-17 16:00 --------- d-----w C:\Program Files\Java
2008-03-11 11:20 --------- d-----w C:\Program Files\FrostWire
2008-03-11 11:16 --------- d-----w C:\Documents and Settings\Atte-setae\Application Data\FrostWire
2008-03-03 19:28 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-03-03 19:28 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS
2007-12-01 17:27 22,328 ----a-w C:\Documents and Settings\Atte-setae\Application Data\PnkBstrK.sys
.

------- Sigcheck -------

2006-04-20 15:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 19:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2004-08-04 15:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 14:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-03-03 22:28 360064 8283a4d489b207991efdc8328733d0bc C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-03-03 22:28 360064 8283a4d489b207991efdc8328733d0bc C:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D334EE9C-06E9-4354-8BA5-80DE8F19D2FD}]
C:\WINDOWS\system32\vturs.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EA1226A5-8CD6-42E1-BF6B-DFE11891D1F8}]
C:\WINDOWS\system32\awtqp.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{edd4e840-af41-4727-b744-88252eaa3222}]
C:\WINDOWS\system32\gseorfqr.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-09-20 15:35 202024]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00 15360]
"AdobeUpdater"="C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 00:06 2321600]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-10-18 21:05 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 02:07 8491008]
"nwiz"="nwiz.exe" [2007-09-17 02:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 02:07 81920]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-20 15:38 16384512 C:\WINDOWS\RTHDCPL.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"CanonSolutionMenu"="C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 19:01 644696]
"CanonMyPrinter"="C:\Program Files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 19:50 1603152]
"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 10:03 210472]
"OpwareSE4"="C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 13:02 79400]
"882f8a95"="C:\WINDOWS\system32\dyhojhse.dll" [ ]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-13 21:22 579072]
"BM8b1cb909"="C:\WINDOWS\system32\ryhhhxru.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-04-13 21:22 219136]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
BlueSoleil.lnk - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2008-02-03 23:12:17 1048576]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 12:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbefrqhz]
cbefrqhz.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrspmk]
rqrspmk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\anysee_TR]
C:\Program Files\anysee\anysee-E30\anysee_TR.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\PELIT\\Steam\\Steam.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"E:\\PELIT\\World in Conflict\\wic.exe"=
"E:\\PELIT\\World in Conflict\\wic_online.exe"=
"E:\\PELIT\\World in Conflict\\wic_ds.exe"=
"E:\\PELIT\\stranglehold\\Binaries\\Retail-Stranglehold.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Pelit\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\FrostWire\\FrostWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=

R3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2006-08-24 14:44]
S1 AMTBDA_P861F;anysee Capture Service;C:\WINDOWS\system32\DRIVERS\anyseeTU.SYS []
S3 NRKCTL32;NRKCTL32;C:\Documents and Settings\Atte-setae\Desktop\wcpuid\NRKCTL32.SYS []

.
Contents of the 'Scheduled Tasks' folder
"2008-04-14 17:56:00 C:\WINDOWS\Tasks\Tarkistetaan Windows Live -työkalurivin päivitykset.job"

 

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

Uudelleen nimeäminen

1. Klikkaa hiiren oikealla painikkeella HijackThis ikonia.


2. Valitse Uudelleennineä/ Rename.

3. Kirjoita scanner.exe


===========

Lataa TÄSTÄ VundoFix.exe työpöydällesi.

Tupla-klikkaa VundoFix.exe ajaaksesi sen.
Klikkaa Scan for Vundo valintaa.
Kun skannaus on valmis, klikkaa Remove Vundo valintaa.
Sinulta kysytään haluatko poistaa filut - klikkaa YES.
Kun olet klikannut yes, työpöytäsi tyhjenee kun se alkaa poistamaan Vundoa.
Kun se on valmis, fiksi ilmoittaa käynnistäväsi koneesi uudelleen, klikkaa OK.
Postita C:\vundofix.txt lokin sekä tuoreen HijackThis lokin sisältö.

Huomaa: Se on mahdollista että VundoFix löysi tiedoston jota se ei pystynyt poistamaan.
Tässä tilanteessa, VundoFix ajaa itsensä rebootissa, seuraa vain yläpuolelle olevia ohjeita alkaen kohdasta "Klikkaa Scan for Vundo valintaa." kun VundoFix ilmaantuu uudelleenkäynnistyksen yhteydessä.