Koneella virus joka ei suostu poistumaan...

Elikkäs koneellani on 2 virusta joita en saa poistettua. Olen yrittänyt mennä manuaalisesti kansioon jossa Avast!:n mukaan on virus, mutta ei sitä siellä ainakaan enää silloin näy (Olen laittanut asetuksista piilotiedostot näkyviin). Avast! poistaa virusta, mutta huutaa tovin kuluttua uudelleen samaa asiaa.

Avast! näyttää tällaiset tiedot viruksista

Tiedosto: C:\Program Files\Common Files\Microsoft Shared\Speech\Wab64.dll
Haittaohjelman nimi: Win32:Trojan-gen {Other}
Haittaohjelman tyyppi: Virus/Mato

Tiedosto: C:\DOCUME~1\Omistaja\LOCALS~1\Temp\lwmtubgq.dll
Haittaohjelman nimi: Win32:TratBHO [Trj]
Haittaohjelman tyyppi: Troijalainen



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:36:32, on 11.2.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Hamachi\hamachi.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\BitLord\BitLord.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mspaint.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe
O4 - Global Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\Free Online Games.com\FOG Console\GameConsoleService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6360 bytes

 

Lataa VundoFix.exe työpöydällesi.

Tupla-klikkaa VundoFix.exe ajaaksesi sen.
Klikkaa Scan for Vundo valintaa.
Kun skannaus on valmis, klikkaa Remove Vundo valintaa.
Sinulta kysytään haluatko poistaa filut - klikkaa YES.
Kun olet klikannut yes, työpöytäsi tyhjenee kun se alkaa poistamaan Vundoa.
Kun se on valmis, fiksi ilmoittaa käynnistäväsi koneesi uudelleen, klikkaa OK.
Postita C:\vundofix.txt lokin sekä tuoreen HijackThis lokin sisältö.

Huomaa: Se on mahdollista että VundoFix löysi tiedoston jota se ei pystynyt poistamaan.
Tässä tilanteessa, VundoFix ajaa itsensä rebootissa, seuraa vain yläpuolelle olevia ohjeita alkaen kohdasta "Klikkaa Scan for Vundo valintaa." kun VundoFix ilmaantuu uudelleenkäynnistyksen yhteydessä.

============

1.Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
combofix1
combofix2

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

 

Juu näin käy ja kun kone käynnistyy normaalisti niin näyttö jää pimeäksi. Eikä mitään tapahdu. Olen kokeillut useaan kertaan, mutta joka kerta kun kone käynnistyy uudelleen VundoFix:in toimesta niin näyttö jää pimeäksi aivan kuin kone olisi edelleen pois päältä.
Ja virus varoitukset pompahtaa ruudulle edelleen.

 

saatko ajettua combofixsin

 

Combofix tekee saman, mutta nyt huomasin C:lle tulleen tekstitiedoston VundoFix:ltä:


VundoFix V6.7.8

Checking Java version...

Scan started at 23:10:26 11.2.2007

Listing files found while scanning....

C:\WINDOWS\system32\awtqqqo.dll
C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini2
C:\WINDOWS\system32\ssqpn.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtqqqo.dll
C:\WINDOWS\system32\awtqqqo.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\npqss.ini2
C:\WINDOWS\system32\npqss.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\ssqpn.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Scan started at 23:45:33 11.2.2007

Listing files found while scanning....


VundoFix V6.7.8

Checking Java version...

Scan started at 15:53:13 12.2.2007

Listing files found while scanning....

C:\WINDOWS\system32\awtqqqo.dll
C:\WINDOWS\system32\cqppcjar.dll
C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini2
C:\WINDOWS\system32\rffbsvpp.dll
C:\WINDOWS\system32\ssqpn.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtqqqo.dll
C:\WINDOWS\system32\awtqqqo.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\cqppcjar.dll
C:\WINDOWS\system32\cqppcjar.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\npqss.ini2
C:\WINDOWS\system32\npqss.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\rffbsvpp.dll
C:\WINDOWS\system32\rffbsvpp.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\ssqpn.dll Has been deleted!

Performing Repairs to the registry.
Done!

Jos oikein tuon ymmärsin niin se toimi kuten pitikin, mutta virukset eivät ole edelleenkään kadonneet. Ja kun suoritin Vundon useaan kertaan niin se löysi joka kerta uudelleen (ehkä samat) korjattavaa.

Niin ja mihin ComboFix:in loki tallentuu?

 

C:/combofix.txt

=========

Nimeä tuo uudelleen

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe <-- laita skanneri

 

Nimetty:
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
Nyt:
C:\Program Files\Trend Micro\HijackThis\HjT.exe

Kokeilen laittaa ComboFixin uudelleen...

Edit:
Nyt kun käynnistin koneen uudelleen otin netin irti ja suljin kaikki ohjelmat mitä pystyin ja ajoin ComboFixin niin se meni läpi joten tässä loki:

ComboFix 08-02-12.3 - Omistaja 2008-02-13 17:34:05.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1035.18.675 [GMT 2:00]
Running from: C:\Documents and Settings\Omistaja\Työpöytä\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2008-01-13 to 2008-02-13 )))))))))))))))))
.

2008-02-12 16:34 . 2008-02-12 16:55 60,416 --a------ C:\WINDOWS\system32\drivers\ComboFix.sys
2008-02-05 17:57 . 2008-02-05 17:57 <KANSIO> d-------- C:\Program Files\Hamachi
2008-02-05 16:35 . 2008-02-05 16:35 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Trymedia
2008-02-05 16:32 . 2008-02-05 16:36 <KANSIO> d-------- C:\Program Files\Virtual Villagers
2008-02-05 16:28 . 2008-02-05 16:28 <KANSIO> d-------- C:\Program Files\LEGO Builder Bots
2008-02-05 16:28 . 2008-02-05 16:28 <KANSIO> d-------- C:\Program Files\BFG
2008-02-05 16:26 . 2008-02-05 17:15 <KANSIO> d-------- C:\Program Files\Jets N Guns
2008-02-04 16:23 . 2008-02-04 16:23 1 --a------ C:\WINDOWS\system32\SI.bin
2008-02-04 16:19 . 2008-02-04 16:19 <KANSIO> d-------- C:\Program Files\UltraISO
2008-02-04 16:19 . 2008-02-04 16:19 <KANSIO> d-------- C:\Program Files\Common Files\EZB Systems
2008-02-03 19:47 . 2008-02-03 19:47 1,594,545 --a------ C:\WINDOWS\WANEUninstaller.exe
2008-02-03 19:44 . 2008-02-03 19:44 <KANSIO> d-------- C:\Games
2008-02-03 19:37 . 2008-02-03 19:37 <KANSIO> d-------- C:\Program Files\ReflexiveArcade
2008-02-03 19:37 . 2008-02-04 17:58 <KANSIO> d-------- C:\Program Files\Lemonade Tycoon 2
2008-02-03 18:47 . 2007-02-09 21:19 <KANSIO> d-------- C:\Documents and Settings\Omistaja\Application Data\PlayFirst
2008-02-03 18:47 . 2007-02-09 21:19 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\PlayFirst
2008-02-03 18:30 . 2008-02-03 18:30 <KANSIO> d-------- C:\Documents and Settings\Omistaja\Application Data\Talkback
2008-02-03 18:09 . 2008-02-03 18:09 <KANSIO> d-------- C:\Documents and Settings\Omistaja\Application Data\WildTangent
2008-02-03 18:08 . 2008-02-03 18:56 <KANSIO> d-------- C:\Program Files\Free Online Games.com
2008-02-03 18:08 . 2008-02-03 18:09 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\WildTangent
2008-02-03 12:52 . 2008-02-03 12:52 <KANSIO> d-------- C:\Program Files\Common Files\Adobe
2008-02-02 14:11 . 2008-02-02 14:11 <KANSIO> d-------- C:\Program Files\MSECache
2008-02-02 00:45 . 2008-02-02 00:45 <KANSIO> d-------- C:\Program Files\EA GAMES
2008-02-02 00:18 . 2008-02-02 00:18 <KANSIO> d--h----- C:\WINDOWS\PIF
2008-02-02 00:13 . 2008-02-02 00:24 <KANSIO> d-------- C:\Program Files\Counter-Strike Source
2008-01-31 23:13 . 2008-01-31 23:13 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-01-31 23:13 . 2008-01-31 23:13 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-01-31 21:46 . 2008-01-31 21:46 <KANSIO> d-------- C:\Program Files\K-Lite Codec Pack
2008-01-31 21:32 . 2008-01-31 21:46 <KANSIO> d-------- C:\Program Files\Sims2_EroDreams
2008-01-31 04:02 . 2008-01-31 04:02 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-01-30 21:20 . 2008-01-30 21:20 <KANSIO> d-------- C:\Program Files\Common Files\DirectX
2008-01-30 21:13 . 2008-01-30 21:13 <KANSIO> d-------- C:\Program Files\Alcohol Soft
2008-01-30 20:49 . 2008-01-30 20:49 <KANSIO> d-------- C:\Program Files\Codemasters
2008-01-29 20:04 . 2008-01-29 20:07 <KANSIO> d-------- C:\Program Files\SMAC
2008-01-29 20:04 . 2002-12-20 12:02 1,077,336 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX
2008-01-29 20:04 . 1996-11-08 02:48 368,912 --a------ C:\WINDOWS\system32\vbar332.dll
2008-01-29 20:04 . 2001-03-13 14:49 140,288 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-01-29 20:04 . 1999-12-07 07:00 61,491 --a------ C:\WINDOWS\system32\wbemdisp.TLB
2008-01-29 19:59 . 2008-02-13 00:01 <KANSIO> d-------- C:\Documents and Settings\Omistaja\Application Data\skypePM
2008-01-29 19:59 . 2008-01-29 19:59 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-01-29 19:58 . 2008-02-12 23:54 <KANSIO> d-------- C:\Documents and Settings\Omistaja\Application Data\Skype
2008-01-29 19:48 . 2008-01-29 19:48 <KANSIO> d-------- C:\Program Files\Skype
2008-01-29 19:48 . 2008-01-29 19:48 <KANSIO> d-------- C:\Program Files\Common Files\Skype
2008-01-29 19:48 . 2008-01-29 19:48 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Skype
2008-01-29 19:47 . 2008-02-13 17:31 <KANSIO> d-------- C:\Documents and Settings\Omistaja\Application Data\Hamachi
2008-01-29 19:46 . 2008-02-05 17:57 17,480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-01-29 19:40 . 2008-01-29 19:40 <KANSIO> d-------- C:\WINDOWS\Sun
2008-01-29 07:42 . 2008-01-29 07:42 <KANSIO> d-------- C:\Program Files\ffdshow
2008-01-29 07:42 . 2008-01-29 07:42 <KANSIO> d-------- C:\Program Files\AliveMedia
2008-01-28 15:18 . 2008-01-28 15:18 <KANSIO> d-------- C:\WINDOWS\PreInstall
2008-01-28 07:20 . 2008-01-28 07:20 <KANSIO> d-------- C:\Program Files\MSXML 6.0
2008-01-27 13:31 . 2008-01-27 13:31 <KANSIO> d-------- C:\Documents and Settings\Omistaja\Application Data\ATI
2008-01-27 13:31 . 2008-01-27 13:31 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\ATI
2008-01-27 00:56 . 2006-08-01 15:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe
2008-01-27 00:55 . 2008-01-27 00:55 <KANSIO> d-------- C:\Program Files\Realtek AC97
2008-01-27 00:55 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2008-01-27 00:55 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\Alcrmv.exe
2008-01-26 23:59 . 2008-02-13 17:37 8,224,800 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-26 23:59 . 2008-02-13 17:27 98,288 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-26 23:53 . 2008-01-26 23:53 <KANSIO> d-------- C:\Program Files\MSBuild
2008-01-26 23:50 . 2008-01-26 23:50 <KANSIO> d-------- C:\WINDOWS\system32\XPSViewer
2008-01-26 23:50 . 2008-01-26 23:50 <KANSIO> d-------- C:\Program Files\Reference Assemblies
2008-01-26 23:50 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-01-26 23:40 . 2007-12-20 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-01-26 23:29 . 2008-02-04 16:28 <KANSIO> d-------- C:\Program Files\UBISOFT
2008-01-26 23:11 . 2008-01-26 23:11 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-01-26 23:11 . 2007-11-14 16:05 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-01-26 23:11 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-01-26 23:11 . 2008-01-26 23:12 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-26 23:10 . 2008-01-26 23:10 <KANSIO> d-------- C:\Program Files\Zone Labs
2008-01-26 23:04 . 2008-02-13 17:25 <KANSIO> d-------- C:\WINDOWS\Internet Logs
2008-01-26 23:01 . 2008-01-26 23:01 319 --a------ C:\WINDOWS\game.ini
2008-01-26 22:57 . 2008-01-26 22:57 <KANSIO> d-------- C:\Program Files\Activision
2008-01-26 00:19 . 2007-02-11 22:05 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-25 15:58 . 2008-01-25 15:58 <KANSIO> d-------- C:\WINDOWS\system32\AGEIA
2008-01-25 15:58 . 2008-01-25 15:58 <KANSIO> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-01-25 15:58 . 2008-01-25 15:58 <KANSIO> d-------- C:\Program Files\AGEIA Technologies
2008-01-25 13:46 . 2008-01-25 19:58 <KANSIO> d-------- C:\Program Files\Fury
2008-01-24 20:30 . 2008-01-24 20:30 <KANSIO> dr-h----- C:\Documents and Settings\Omistaja\Application Data\SecuROM
2008-01-24 20:30 . 2008-01-24 20:30 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-01-24 19:03 . 2004-05-14 17:12 1,916,928 --------- C:\WINDOWS\UNNVEContent.exe
2008-01-24 19:03 . 2004-11-30 19:14 67,990 --------- C:\WINDOWS\UNNVEContent.cfg
2008-01-24 18:59 . 2001-07-09 11:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-01-24 18:58 . 2008-01-24 18:58 <KANSIO> d-------- C:\Program Files\Common Files\Nero
2008-01-24 18:58 . 2008-01-24 18:58 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Ahead
2008-01-24 18:58 . 2005-08-09 16:34 3,006,464 --------- C:\WINDOWS\UNNeroVision.exe
2008-01-24 18:58 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-01-24 18:58 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-01-24 18:58 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-01-24 18:58 . 2004-07-09 09:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2008-01-24 18:58 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-01-24 18:58 . 2005-08-19 10:57 119,326 --------- C:\WINDOWS\UNNeroVision.cfg
2008-01-24 18:58 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-01-24 18:58 . 2001-06-26 08:15 38,912 --------- C:\WINDOWS\system32\picn20.dll
2008-01-24 18:58 . 2001-03-08 19:30 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-01-24 18:57 . 2008-01-24 18:57 <KANSIO> d-------- C:\Program Files\Common Files\Ahead
2008-01-24 18:57 . 2008-01-24 18:59 <KANSIO> d-------- C:\Program Files\Ahead
2008-01-24 18:08 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2008-01-24 18:08 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2008-01-24 18:08 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-13 15:37 53,248 ----a-w C:\WINDOWS\PSEXESVC.EXE
2008-02-13 15:30 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-02-13 15:11 --------- d-----w C:\Program Files\Warcraft III
2008-02-05 14:36 --------- d-----w C:\Program Files\Virtual Villagers
2008-01-29 19:01 1,385,984 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-01-26 22:13 --------- d-----w C:\Program Files\ATI Technologies
2008-01-22 21:29 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-01-22 17:21 --------- d-----w C:\Program Files\microsoft frontpage
2008-01-22 17:21 --------- d-----w C:\Program Files\Common Files\Java
2007-12-21 03:53 2,843,136 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-12-21 03:09 368,640 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-12-21 03:08 272,384 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-12-21 03:02 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2007-12-21 02:59 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-12-21 02:59 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-12-21 02:59 147,456 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-12-21 02:59 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-12-21 02:58 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-12-21 02:57 512,000 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-12-21 02:56 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-12-21 02:53 9,826,304 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-12-21 02:47 3,120,640 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-12-21 02:36 1,661,696 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-12-21 02:24 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2007-12-21 02:20 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-12-21 02:20 385,024 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-12-21 02:18 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-12-21 02:17 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2007-12-21 02:15 159,744 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2007-12-21 02:11 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys
2007-12-07 02:14 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-11-14 14:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-02-12 14:09 1,584,640 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-02-07 13:57 1,539,584 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3109B81-51A7-423D-9084-7667566B3509}]
C:\WINDOWS\system32\ssqpn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-09-15 14:00 15360]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-01-17 18:51 486856]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 09:23 221568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-07 21:05 344064]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-01-22 23:14 185896]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-11-14 16:05 919016]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-31 23:13 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-09-15 14:00 15360]

C:\Documents and Settings\Omistaja\K„ynnist„-valikko\Ohjelmat\K„ynnistys\
Xfire.lnk - C:\Program Files\Xfire\xfire.exe [2008-01-31 04:02:36 2880336]

C:\Documents and Settings\All Users\K„ynnist„-valikko\Ohjelmat\K„ynnistys\
hamachi.lnk - C:\Program Files\Hamachi\hamachi.exe [2008-02-05 17:57:02 599592]

S2 NetCM;Network Connection Manager;C:\Program Files\Common Files\Microsoft Shared\Speech\svchost.exe [2002-02-05 20:21]
S3 GameConsoleService;GameConsoleService;"C:\Program Files\Free Online Games.com\FOG Console\GameConsoleService.exe" [2007-12-11 23:50]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-13 17:37:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-02-13 17:38:27
.
2008-02-13 15:27:02 --- E O F ---


Virus on edelleen koneella, mutta nyt tulee vain yksi ilmoitus käynnistyksen yhteydessä (aluksi taisi olla 3)

 

Escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.

Laita virus log tänne.

 

Eipähän muuta näyttänyt löytyvän kuin VundoFixin backuppeja

File C:\VundoFix Backups\awtqqqo.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.
File C:\VundoFix Backups\cqppcjar.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.
File C:\VundoFix Backups\rffbsvpp.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.
File C:\VundoFix Backups\ssqpn.dll.bad tagged as not-a-virus:AdWare.Win32.Virtumonde.imh. No Action Taken.

 

Eipä niin muuta.

1) Lataa VirtumundoBegone
2) Tallenna VirtumundoBeGone.exe työpöydällesi.
3) Aja VirtumundoBeGone.exe ja seuraa ohjeita. Älä huoli jos näet sinisen ruudun "Fatal Error" viestin, tämä on normaalia.
4) Kun työkalu on valmis, käynnistä kone uudelleen

 

Täytyypä tehdä, mutta nyt en voi kun näytönohjain on rikki ja jos sammutan koneeni niin näyttö ei tahdo käynnistyä enää uudelleen. (Sama vika ollut aikaisemmin) Koneessa vielä takuuta jäljellä joten takuu huoltoon menossa lähiaikoina.

 

Ok tekninenvika

 

Noniin tulihan se kone (vihdoinkin) sieltä huollosta ja nyt taas pelittää, joten suoritin tuon virtumundon ja tässä raportti:

[03/03/2008, 21:21:31] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Omistaja\Työpöytä\VirtumundoBeGone.exe" )
[03/03/2008, 21:21:41] - Detected System Information:
[03/03/2008, 21:21:41] - Windows Version: 5.1.2600, Service Pack 2
[03/03/2008, 21:21:41] - Current Username: Omistaja (Admin)
[03/03/2008, 21:21:41] - Windows is in NORMAL mode.
[03/03/2008, 21:21:41] - Searching for Browser Helper Objects:
[03/03/2008, 21:21:41] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader -linkkiavustaja)
[03/03/2008, 21:21:41] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[03/03/2008, 21:21:41] - BHO 3: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Liven kirjautumisapuohjelma)
[03/03/2008, 21:21:41] - Finished Searching Browser Helper Objects
[03/03/2008, 21:21:41] - Finishing up...
[03/03/2008, 21:21:41] - Nothing found! Exiting...

Ei ole enää virus varoituksia/ilmoituksiakaan ruudulle lennelly, joten kiitos erittäin paljon!

Edit:
Laitoin tän viestin vain ettei kukaan turhaa seuraisi ketjua ja odottaisi, että pääsisi neuvomaan

 

ok .. hyvä et kunnossa