Onko kyseessä tietokonevirus?

MrGibss · Mar 16, 2008

Hei!

Tapaus on kutakuinkin tämä:
Lataan internetinstä tiedostoa, normaalin oloiselta sivustolta olevaa .zip-pakettia. Kun lataussivu näyttää 99 %, kone sammuu. Sitten tulee tämä ruutu, että Windowsia ei ole sammutettu oikein ja haluaisinko käynnistää koneen vikasietotilassa. Valitsen siitä jonkun vikasietotilan ja siinä tilassa suoritan nopean virusskannauksen avast-ohjelmalla ja nopean haittaohjelmaskannauksen Windows Defender -ohjelmalla. Mitään ei löydy, joten käynnistän koneen uudestaan. Nyt kun kone käynnistyy, ensiksi Windows Defender ilmoittaa, että ongelma on estänyt sitä toimimasta. Sitten avast ilmoittaa, ettei se ole kelvollinen Win-32 -sovellus. Ajattelen, että asennan avastin uudelleen. Kone ei reagoi mitenkään avastin poistamiseen, missä yleensä se alkaisi valittamaan siitä, että tietokoneen tietoturva on uhattuna. Asennan avastin uudelleen, mutta sekin valittaa sitä, että ei ole kelvollinen Win-32 -sovellus.

Mikä voisi aiheuttaa tällaista? Miten minun tulisi toimia? Olen avuton.

Kiitos neuvoista!

MrGibss

tomato71 · Mar 16, 2008

vaikuttaa kyllä pahalta

Lataa tästä HJTInstall.exe
*Tallenna HJTInstall.exe työpöydällesi.
*Tuplaklikkaa HJTInstall.exe-kuvaketta työpöydälläsi.
*Oletuksena se asentaa itsensä hakemistoon C:\Program Files\Trend Micro\HijackThis.
*Klikkaa Install.
*Asennusohjelma luo HijackThis-kuvakkeen työpöydälle.
*Kun asennus on valmis, se käynnistää HijackThisin.
*Klikkaa Do a system scan and save a logfile-painiketta. Ohjelma aloittaa skannauksen ja lokin pitäisi avautua Muistioon.
*Klikkaa ensin "Muokkaa > Valitse kaikki" sitten "Muokkaa > Kopioi" kopioidaksesi koko lokin sisällön.
*Liitä lokin sisältö seuraavaan vastaukseesi.
*ÄLÄ käytä Analyse This-nappulaa, sen löydöt ovat vaarallisia väärinymmärrettyinä.
*ÄLÄ fixaa HijackThis-ohjelmalla vielä mitään. Suurin osa sen löydöistä ovat joko harmittomia tai jopa tarpeellisia.

Ja loki --> Tänne

MrGibss · Mar 16, 2008

Saan tämän ohjelman ladattua ja asennetta, mutta vaikka odotan asennuksen jälkeen ohjelman käynnistymistä, mitään ei tapahdu. Odotin noin 10 minuuttia. Sitten tuplaklikkasin työpöydälle ilmestynyttä HijackThis -pikakuvaketta, jolloin järjestelmä ilmoitti, että HijackThis.exe ei ole kelvollinen Win32-sovellus.

Mitäs nyt???

Mr Gibss

tomato71 · Mar 16, 2008

kokeile tämä
http://koti.mbnet.fi/pattaya1/lataus/hijackthis_self.exe

MrGibss · Mar 16, 2008

Kaksoisklikkaan ladattua tiedostoa ja painan Suorita. Sitrten ok ohjeistukselle ja sitten koskematta mihinkään Unzip.
KOne ilmoittaa, että: "1 file(s) unzipped successfully". Painan ok. Sitten tulee ilmoitus: "Error 5 running command ./Hijack This.exe". Painan ok. Mitään ei ole avautunut, odotan hetken, menen c:/HJT kansioon ja kaksoisklikkaan Hijack This sovellusta. Sama juttu, ei ole kelvollinen Win32-sovellus.

MrGibss

tomato71 · Mar 16, 2008

jotkut virukset estää tuon hijakin käyttöä

kannattais varmaan poistaa (yrittää) pahimmat ensin

* Lataa Dr.Web Cureit työpöydällesi: Dr.Web

Tupla klikkaa drweb-cureit.exe ja anna ohjelman tehdä *muistin- /koneen pikatarkistus.
(tämä on vain lyhyt tarkistus)

Kun tarkistus on valmis, pistä ruksi kohtaan *Complete scan*.

Klikkaa vihreää nuolta Dr.Web:in logon alta ,jotta tarkistus käynnistyy.

Kun tarkistus on loppu. Paina *select all*-nappia. Sen jälkeen paina *move*-nappia.

Kohteet siirtyvät karanteeniin seuraavaan %userprofile%\DoctorWeb\quarantine-hakemistoon.

Avaa Dr.Webin työkalurivistä *file* ja paina *Save report list*

Tallenna raportti työpöydälle.Tallenna se nimellä *DrWeb*.

Sulje Dr.web.

Käynnistä kone uudelleen!!Jotta valitut tiedostot poistetaan/siirretään käynnistyksen yhteydessä, karanteeniin.

Kun olet uudelleen käynnistänyt tietokoneesesi, liitä Dr.Web-lokin, sisältö seuraavaan vastaukseesi.

MrGibss · Mar 16, 2008

Hei!

En tiedä teinkö kaikki oikein, mtta kaksi sovellusta tuolta löytyi. Avast tai defender ei suostu vieläkään käynnistyä. Tässä kuitenkin se loki:

wintems.exe;c:\windows\system32;Win32.HLLM.Beagle;Will be cured after reboot.;
mdelk.exe;C:\Windows\System32;Win32.HLLM.Beagle;Will be cured after reboot.;

Saako tuosta jotain irti? Teinkö jotain väärin?

Mr Gibss

tomato71 · Mar 16, 2008

jos käynnistit koneene skannin jälkeen niin meni ok
lataa ja aja tämä
http://www.f-secure.com/tools/f-bagle.exe

MrGibss · Mar 16, 2008

Tilanne komentorivissä:
Otsikko: C:\Users\Janne\Desktop\f-bagle.exe

W32/Bagle Removal Tool ver 1.00.12
Copyright (c) 2004, F-Secure Corporation. All rights reserved.

Infected process was not found in memory
Scan hard drives and remove all infected files. Please wait.

Odotan vain...

Mr Gibss

MrGibss · Mar 16, 2008

W32/Bagle Removal Tool ver 1.00.12
Copyright (c) 2004, F-Secure Corporation. All rights reserved.

Infected process was not found in memory
Scan hard drives and remove all infected files. Please wait.

No infection found
press any key to exit ...

Painan enteriä ja ohjelma sulkeutuu.

Mr Gibss

Ps. Ajan tuon Dr.Webin uudelleen ja tällä kertaa valitsen tuon 'move' -vaihtoehdon.

MrGibss · Mar 16, 2008

Tällä kertaa Dr.Webin loki tällainen:

wintems.exe;c:\windows\system32;Win32.HLLM.Beagle;Will be moved after reboot.;

Käynnistin koneeni uudestaan.

Ajoin tuon f-baglen, josta tuli samanlainen kuin edellisestä.

Mitäs nyt, olenko tuhoon tuomittu?

MrGibss

tomato71 · Mar 16, 2008

ei vielä

kokeile jos saat hjt:n toimii

MrGibss · Mar 16, 2008

Ei kumpikaan noista lähettämistäsi linkeistä toimi. Sama juttu jälleen.

Mr Gibss

tomato71 · Mar 16, 2008

kokeile tämä

1. Lataa combofix.exe työpöydällesi mistä tahansa alla olevasta linkistä:
Linkki 1
Linkki 2
Linkki 3

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. (C:\ComboFix.txt) Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

MrGibss · Mar 16, 2008

Hei!

Latasin tiedoston, mutta jouduin muuttamaan sen tiedostonimeä, jotta koneeni olisi hyväksynyt sen. Suoritin sen ja kone käynnistyi uudestaan. Tälläinen log avautui:

ComboFix 08-03-14.4 - Janne 2008-03-16 19:30:25.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1035.18.1262 [GMT 2:00]
Running from: C:\Users\Janne\Desktop\Muu.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\drivers\down
C:\Windows\system32\drivers\down\143224.exe
C:\Windows\system32\drivers\down\144394.exe
C:\Windows\system32\drivers\down\151976.exe
C:\Windows\system32\drivers\down\152974.exe
C:\Windows\system32\drivers\down\168293.exe
C:\Windows\system32\drivers\down\168683.exe
C:\Windows\system32\drivers\down\169042.exe
C:\Windows\system32\drivers\down\170306.exe
C:\Windows\system32\drivers\down\170743.exe
C:\Windows\system32\drivers\down\171757.exe
C:\Windows\system32\drivers\down\172802.exe
C:\Windows\system32\drivers\down\174986.exe
C:\Windows\system32\drivers\down\177482.exe
C:\Windows\system32\drivers\down\179073.exe
C:\Windows\system32\drivers\down\180165.exe
C:\Windows\system32\drivers\down\184845.exe
C:\Windows\system32\drivers\down\196888.exe
C:\Windows\system32\drivers\down\197731.exe
C:\Windows\system32\drivers\down\198105.exe
C:\Windows\system32\drivers\down\200695.exe
C:\Windows\system32\drivers\down\201974.exe
C:\Windows\system32\drivers\down\202801.exe
C:\Windows\system32\drivers\down\205094.exe
C:\Windows\system32\drivers\down\205312.exe
C:\Windows\system32\drivers\down\205422.exe
C:\Windows\system32\drivers\down\205765.exe
C:\Windows\system32\drivers\down\207403.exe
C:\Windows\system32\drivers\down\207715.exe
C:\Windows\system32\drivers\down\209712.exe
C:\Windows\system32\drivers\down\210164.exe
C:\Windows\system32\drivers\down\210538.exe
C:\Windows\system32\drivers\down\211786.exe
C:\Windows\system32\drivers\down\212941.exe
C:\Windows\system32\drivers\down\215499.exe
C:\Windows\system32\drivers\down\220710.exe
C:\Windows\system32\drivers\down\224641.exe
C:\Windows\system32\drivers\down\225327.exe
C:\Windows\system32\drivers\down\225780.exe
C:\Windows\system32\drivers\down\226170.exe
C:\Windows\system32\drivers\down\226825.exe
C:\Windows\system32\drivers\down\228385.exe
C:\Windows\system32\drivers\down\229337.exe
C:\Windows\system32\drivers\down\231583.exe
C:\Windows\system32\drivers\down\232285.exe
C:\Windows\system32\drivers\down\232831.exe
C:\Windows\system32\drivers\down\235343.exe
C:\Windows\system32\drivers\down\235483.exe
C:\Windows\system32\drivers\down\236887.exe
C:\Windows\system32\drivers\down\238634.exe
C:\Windows\system32\drivers\down\244032.exe
C:\Windows\system32\drivers\down\245919.exe
C:\Windows\system32\drivers\down\246746.exe
C:\Windows\system32\drivers\down\248821.exe
C:\Windows\system32\drivers\down\249726.exe
C:\Windows\system32\drivers\down\251614.exe
C:\Windows\system32\drivers\down\254874.exe
C:\Windows\system32\drivers\down\262424.exe
C:\Windows\system32\drivers\down\263610.exe
C:\Windows\system32\drivers\down\264811.exe
C:\Windows\system32\drivers\down\265638.exe
C:\Windows\system32\drivers\down\266387.exe
C:\Windows\system32\drivers\down\266777.exe
C:\Windows\system32\drivers\down\270240.exe
C:\Windows\system32\drivers\down\270880.exe
C:\Windows\system32\drivers\down\272315.exe
C:\Windows\system32\drivers\down\272720.exe
C:\Windows\system32\drivers\down\274967.exe
C:\Windows\system32\drivers\down\278071.exe
C:\Windows\system32\drivers\down\281394.exe
C:\Windows\system32\drivers\down\282751.exe
C:\Windows\system32\drivers\down\283017.exe
C:\Windows\system32\drivers\down\283563.exe
C:\Windows\system32\drivers\down\283765.exe
C:\Windows\system32\drivers\down\284124.exe
C:\Windows\system32\drivers\down\284280.exe
C:\Windows\system32\drivers\down\286698.exe
C:\Windows\system32\drivers\down\287775.exe
C:\Windows\system32\drivers\down\294592.exe
C:\Windows\system32\drivers\down\310114.exe
C:\Windows\system32\drivers\down\316744.exe
C:\Windows\system32\drivers\down\321018.exe
C:\Windows\system32\drivers\down\321845.exe
C:\Windows\system32\drivers\down\326026.exe
C:\Windows\system32\drivers\down\326884.exe
C:\Windows\system32\drivers\down\599995.exe
C:\Windows\system32\drivers\down\600775.exe
C:\Windows\system32\drivers\down\605065.exe
C:\Windows\system32\drivers\down\606251.exe
C:\Windows\system32\drivers\down\608825.exe
C:\Windows\system32\drivers\down\612350.exe
C:\Windows\system32\drivers\down\615611.exe
C:\Windows\system32\drivers\down\636031.exe
C:\Windows\system32\drivers\down\641538.exe
C:\Windows\system32\drivers\down\644096.exe
C:\Windows\system32\drivers\down\646187.exe
C:\Windows\system32\drivers\down\672442.exe
C:\Windows\system32\drivers\down\676997.exe
C:\Windows\system32\drivers\down\680179.exe
C:\Windows\system32\drivers\down\683892.exe
C:\Windows\system32\drivers\down\686607.exe
C:\Windows\system32\drivers\down\731894.exe
C:\Windows\system32\drivers\down\738992.exe
C:\Windows\system32\drivers\hldrrr.exe
C:\Windows\system32\drivers\srosa.sys
C:\Windows\system32\mdelk.exe
C:\Windows\system32\wintems.exe
C:\Windows\system32\x64

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\LEGACY_SROSA

((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2008-02-16 to 2008-03-16 )))))))))))))))))
.

2008-03-16 15:48 . 2008-03-16 15:48 29 --a------ C:\Windows\.wb4
2008-03-16 15:48 . 2008-03-16 15:48 0 --------- C:\Windows\WB.ini
2008-03-16 15:47 . 2008-03-16 08:03 <KANSIO> d-------- C:\Program Files\Stardock
2008-03-16 15:47 . 2007-09-12 18:58 58,792 --------- C:\Windows\System32\wbload.dll
2008-03-16 15:47 . 2007-07-11 15:06 42,672 --------- C:\Windows\System32\wbsys.dll
2008-03-16 14:05 . 2008-03-16 17:39 <KANSIO> d-------- C:\Users\Janne\DoctorWeb
2008-03-16 10:58 . 2008-03-16 10:58 <KANSIO> d-------- C:\Program Files\IObit
2008-03-16 09:54 . 2008-03-16 09:54 <KANSIO> d-------- C:\Program Files\Google
2008-03-16 09:38 . 2007-12-04 15:04 837,496 --a------ C:\Windows\System32\aswBoot.exe
2008-03-16 09:38 . 2004-01-09 11:13 380,928 --a------ C:\Windows\System32\actskin4.ocx
2008-03-16 09:38 . 2007-12-04 14:54 95,608 --a------ C:\Windows\System32\AvastSS.scr
2008-03-16 09:38 . 2007-12-04 16:52 45,648 --a------ C:\Windows\System32\drivers\aswMonFlt.sys
2008-03-16 09:38 . 2007-12-04 16:51 42,912 --a------ C:\Windows\System32\drivers\aswTdi.sys
2008-03-16 09:38 . 2007-12-04 16:53 23,152 --a------ C:\Windows\System32\drivers\aswRdr.sys
2008-03-16 09:30 . 2008-03-16 09:30 <KANSIO> d-------- C:\fsaua.data
2008-03-16 09:26 . 1996-02-08 10:53 283,136 --a------ C:\Windows\unin040b.exe
2008-03-16 09:16 . 2008-03-16 09:16 54,156 --ah----- C:\Windows\QTFont.qfn
2008-03-16 09:16 . 2008-03-16 09:16 1,409 --a------ C:\Windows\QTFont.for
2008-03-16 09:07 . 2008-03-16 09:07 9,856 --a------ C:\Windows\System32\drivers\pfc.sys
2008-03-16 08:42 . 2008-03-16 08:46 <KANSIO> d-------- C:\Program Files\OpenOffice.org 2.3
2008-03-13 19:55 . 2007-12-17 00:50 1,060,920 --a------ C:\Windows\System32\drivers\ntfs.sys
2008-03-13 19:55 . 2007-12-16 11:56 41,984 --a------ C:\Windows\System32\drivers\monitor.sys
2008-03-13 19:46 . 2008-03-15 18:36 <KANSIO> d-------- C:\Users\Janne\AppData\Roaming\U3
2008-03-11 17:39 . 2008-03-11 17:39 390 --a------ C:\Windows\ODBC.INI
2008-03-11 17:38 . 2007-04-09 13:23 28,040 --a------ C:\Windows\System32\mdimon.dll
2008-03-05 15:33 . 2008-03-16 18:07 <KANSIO> d-------- C:\Users\Janne\AppData\Roaming\skypePM
2008-03-05 15:33 . 2008-03-05 15:33 32 --a------ C:\Users\All Users\ezsid.dat
2008-03-05 15:33 . 2008-03-05 15:33 32 --a------ C:\ProgramData\ezsid.dat
2008-03-05 15:21 . 2008-03-16 18:08 <KANSIO> d-------- C:\Users\Janne\AppData\Roaming\Skype
2008-03-05 15:20 . 2008-03-05 15:20 <KANSIO> d-------- C:\Program Files\Skype
2008-03-05 15:20 . 2008-03-05 15:20 <KANSIO> d-------- C:\Program Files\Common Files\Skype
2008-03-05 15:19 . 2008-03-05 15:20 <KANSIO> d-------- C:\Users\All Users\Skype
2008-03-05 15:19 . 2008-03-05 15:20 <KANSIO> d-------- C:\ProgramData\Skype
2008-03-04 17:12 . 2008-03-15 16:47 <KANSIO> d-------- C:\Program Files\Java
2008-03-04 17:10 . 2008-03-04 17:10 <KANSIO> d-------- C:\Program Files\Common Files\Java
2008-03-03 19:44 . 2008-01-02 16:37 176,128 --a------ C:\Windows\System32\igfxres.dll
2008-03-03 19:00 . 2008-03-03 19:00 <KANSIO> d-------- C:\Users\Janne\AppData\Roaming\Apple Computer
2008-03-03 19:00 . 2008-03-03 19:00 <KANSIO> d-------- C:\Program Files\iTunes
2008-03-03 19:00 . 2008-03-03 19:00 <KANSIO> d-------- C:\Program Files\iPod
2008-03-03 18:59 . 2008-03-03 18:59 <KANSIO> d-------- C:\Program Files\Bonjour
2008-03-03 18:57 . 2008-03-03 19:00 <KANSIO> d-------- C:\Users\All Users\Apple Computer
2008-03-03 18:57 . 2008-03-03 19:00 <KANSIO> d-------- C:\ProgramData\Apple Computer
2008-03-03 18:57 . 2008-03-03 18:59 <KANSIO> d-------- C:\Program Files\QuickTime
2008-03-03 18:57 . 2008-03-03 18:57 <KANSIO> d-------- C:\Program Files\Apple Software Update
2008-03-03 18:56 . 2008-03-03 18:56 <KANSIO> d-------- C:\Program Files\Common Files\Apple
2008-03-03 18:55 . 2008-03-03 18:55 <KANSIO> d-------- C:\Users\All Users\Apple
2008-03-03 18:55 . 2008-03-03 18:55 <KANSIO> d-------- C:\ProgramData\Apple
2008-03-03 18:44 . 2008-03-03 18:44 <KANSIO> d-------- C:\HiTRUSTDrive
2008-03-03 16:44 . 2008-03-03 16:54 <KANSIO> d-------- C:\Users\Janne\AppData\Roaming\ShredderChess
2008-03-03 15:53 . 2008-03-03 15:53 <KANSIO> d-------- C:\Users\All Users\Media Center Programs
2008-03-03 15:53 . 2008-03-03 15:53 <KANSIO> d-------- C:\ProgramData\Media Center Programs
2008-03-03 15:49 . 2005-05-26 15:34 2,297,552 --a------ C:\Windows\System32\d3dx9_26.dll
2008-03-03 15:08 . 2008-03-03 15:09 <KANSIO> d-------- C:\Program Files\Ubisoft
2008-03-03 14:53 . 2008-03-03 14:53 <KANSIO> d-------- C:\Users\All Users\WLInstaller
2008-03-03 14:53 . 2008-03-03 14:53 <KANSIO> d-------- C:\ProgramData\WLInstaller
2008-03-03 14:53 . 2008-03-16 09:12 <KANSIO> d-------- C:\Program Files\Windows Live
2008-03-03 14:53 . 2008-03-03 14:59 <KANSIO> d--hsc--- C:\Program Files\Common Files\WindowsLiveInstaller
2008-03-03 14:33 . 2008-03-16 17:48 <KANSIO> d-------- C:\Users\Janne\AppData\Roaming\OpenOffice.org2
2008-03-01 17:19 . 2008-03-01 17:19 <KANSIO> d-------- C:\Users\Janne\NTI-Shadow
2008-03-01 16:55 . 2008-03-01 16:55 694,784 --a------ C:\Windows\System32\localspl.dll
2008-03-01 16:54 . 2008-03-01 16:54 194,560 --a------ C:\Windows\System32\WebClnt.dll
2008-03-01 16:54 . 2008-03-01 16:54 110,080 --a------ C:\Windows\System32\drivers\mrxdav.sys
2008-03-01 16:52 . 2008-03-01 16:52 595,456 --a------ C:\Windows\System32\schedsvc.dll
2008-03-01 16:52 . 2008-03-01 16:52 115,200 --a------ C:\Windows\System32\loadperf.dll
2008-03-01 16:52 . 2008-03-01 16:52 39,424 --a------ C:\Windows\System32\lodctr.exe
2008-03-01 16:52 . 2008-03-01 16:52 32,256 --a------ C:\Windows\System32\unlodctr.exe
2008-03-01 16:52 . 2008-03-01 16:52 17,408 --a------ C:\Windows\System32\prflbmsg.dll
2008-03-01 16:48 . 2008-03-01 16:48 803,328 --a------ C:\Windows\System32\drivers\tcpip.sys
2008-03-01 16:48 . 2008-03-01 16:48 216,632 --a------ C:\Windows\System32\drivers\netio.sys
2008-03-01 16:48 . 2008-03-01 16:48 167,424 --a------ C:\Windows\System32\tcpipcfg.dll
2008-03-01 16:48 . 2008-03-01 16:48 24,064 --a------ C:\Windows\System32\netcfg.exe
2008-03-01 16:48 . 2008-03-01 16:48 22,016 --a------ C:\Windows\System32\netiougc.exe
2008-03-01 16:47 . 2008-03-01 16:47 1,327,104 --a------ C:\Windows\System32\quartz.dll
2008-03-01 16:47 . 2008-03-01 16:47 223,232 --a------ C:\Windows\System32\WMASF.DLL
2008-03-01 16:47 . 2008-03-01 16:47 9,728 --a------ C:\Windows\System32\LAPRXY.DLL
2008-03-01 16:47 . 2008-03-01 16:47 2,048 --a------ C:\Windows\System32\asferror.dll
2008-03-01 16:44 . 2008-03-01 16:44 737,792 --a------ C:\Windows\System32\inetcomm.dll
2008-03-01 16:44 . 2008-03-01 16:44 84,480 --a------ C:\Windows\System32\INETRES.dll
2008-03-01 16:44 . 2008-03-01 16:44 11,776 --a------ C:\Windows\System32\sbunattend.exe
2008-03-01 16:43 . 2008-03-01 16:43 788,992 --a------ C:\Windows\System32\rpcrt4.dll
2008-03-01 16:43 . 2008-03-01 16:43 130,048 --a------ C:\Windows\System32\drivers\srv2.sys
2008-03-01 16:43 . 2008-03-01 16:43 101,888 --a------ C:\Windows\System32\drivers\mrxsmb.sys
2008-03-01 16:43 . 2008-03-01 16:43 84,992 --a------ C:\Windows\System32\drivers\srvnet.sys
2008-03-01 16:43 . 2008-03-01 16:43 58,368 --a------ C:\Windows\System32\drivers\mrxsmb20.sys
2008-03-01 16:42 . 2008-03-01 16:42 2,048 --a------ C:\Windows\System32\tzres.dll
2008-03-01 16:40 . 2008-03-01 16:40 750,080 --a------ C:\Windows\System32\qmgr.dll
2008-03-01 16:39 . 2008-03-01 16:39 1,244,672 --a------ C:\Windows\System32\mcmde.dll
2008-03-01 16:17 . 2008-03-16 09:03 <KANSIO> d-------- C:\Program Files\Arena
2008-03-01 16:14 . 2008-03-01 16:14 <KANSIO> d-------- C:\Program Files\7-Zip
2008-03-01 16:10 . 2008-03-01 16:10 <KANSIO> d-------- C:\Program Files\CCleaner
2008-03-01 16:09 . 2008-03-01 16:09 <KANSIO> d-------- C:\Program Files\Alwil Software
2008-03-01 15:30 . 2008-03-01 15:30 <KANSIO> d-------- C:\Users\Janne\AppData\Roaming\CyberLink
2008-03-01 15:27 . 2008-03-01 15:30 <KANSIO> d-------- C:\Users\All Users\CyberLink
2008-03-01 15:27 . 2008-03-01 15:30 <KANSIO> d-------- C:\ProgramData\CyberLink
2008-03-01 07:06 . 2007-03-02 18:19 76,584 --a------ C:\Windows\System32\drivers\int15.sys
2008-03-01 07:06 . 2007-03-02 18:19 15,656 --a------ C:\Windows\System32\drivers\int15_64.sys
2008-03-01 07:06 . 2007-03-02 18:19 14,544 --a------ C:\Windows\System32\drivers\TVicPort.sys
2008-03-01 07:06 . 2007-03-12 16:30 13,096 --a------ C:\Windows\System32\drivers\zntport64.sys
2008-03-01 07:06 . 2007-03-02 18:19 8,704 --a------ C:\Windows\System32\drivers\TVicPort64.sys
2008-03-01 07:06 . 2007-03-02 18:19 6,080 --a------ C:\Windows\System32\drivers\zntport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-15 15:10 --------- d-----w C:\Program Files\Microsoft.NET
2008-03-13 18:30 --------- d-----w C:\Program Files\Windows Mail
2008-03-03 17:21 --------- d-----w C:\Program Files\Microsoft SQL Server
2008-03-03 13:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-01 15:02 174 --sha-w C:\Program Files\desktop.ini
2008-03-01 14:57 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-01 14:57 --------- d-----w C:\Program Files\Windows Calendar
2008-03-01 14:53 943,800 ----a-w C:\Windows\System32\winload.exe
2008-03-01 14:50 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-01 14:50 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-01 14:50 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-03-01 14:50 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-01 14:50 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-01 14:50 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-03-01 14:50 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-03-01 14:50 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys
2008-03-01 14:50 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-03-01 14:50 17,976 ----a-w C:\Windows\system32\drivers\intelide.sys
2008-03-01 14:50 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-03-01 14:50 110,136 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-03-01 14:41 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-03-01 14:41 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-03-01 14:41 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-03-01 14:41 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-03-01 14:26 --------- d-----w C:\ProgramData\Microsoft Help
2008-03-01 14:02 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-03-01 14:00 --------- d-----w C:\ProgramData\Symantec
2008-03-01 04:56 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-02-29 20:19 --------- d-----w C:\Program Files\Common Files\Adobe
2008-02-29 11:40 53,760 ----a-w C:\Windows\system32\drivers\hdaudbus.sys
2008-02-29 11:40 13,312 ------w C:\Windows\system32\drivers\sffdisk.sys
2008-02-29 11:40 12,800 ------w C:\Windows\system32\drivers\sffp_sd.sys
2008-02-29 11:40 12,800 ------w C:\Windows\system32\drivers\sffp_mmc.sys
2008-02-29 11:39 86,016 ----a-w C:\Windows\System32\icfupgd.dll
2008-02-29 11:39 63,488 ----a-w C:\Windows\system32\drivers\mpsdrv.sys
2008-02-29 11:39 61,952 ----a-w C:\Windows\System32\cmifw.dll
2008-02-29 11:39 396,800 ----a-w C:\Windows\System32\MPSSVC.dll
2008-02-29 11:39 392,192 ----a-w C:\Windows\System32\FirewallAPI.dll
2008-02-29 11:39 374,456 ----a-w C:\Windows\System32\mcupdate_GenuineIntel.dll
2008-02-29 11:39 23,040 ----a-w C:\Windows\system32\drivers\tunnel.sys
2008-02-29 11:39 178,688 ----a-w C:\Windows\System32\iphlpsvc.dll
2008-02-29 11:39 16,896 ----a-w C:\Windows\System32\wfapigp.dll
2008-02-29 11:39 15,360 ----a-w C:\Windows\system32\drivers\TUNMP.SYS
2008-02-29 01:16 --------- d-----w C:\Program Files\Intel
2008-02-29 01:04 --------- d-sh--w C:\ProgramData\Työpöytä
2008-02-29 01:04 --------- d-sh--w C:\ProgramData\Tiedostot
2008-02-29 01:04 --------- d-sh--w C:\ProgramData\Suosikit
2008-02-29 01:04 --------- d-sh--w C:\ProgramData\Mallit
2008-02-29 01:04 --------- d-sh--w C:\ProgramData\Käynnistä-valikko
2008-01-02 15:07 256,536 ----a-w C:\Windows\System32\igfxsrvc.exe
2008-01-02 15:07 170,520 ----a-w C:\Windows\System32\igfxzoom.exe
2008-01-02 15:07 141,848 ----a-w C:\Windows\System32\igfxtray.exe
2008-01-02 15:07 133,656 ----a-w C:\Windows\System32\igfxpers.exe
2008-01-02 15:06 530,968 ----a-w C:\Windows\System32\igfxcfg.exe
2008-01-02 15:06 170,520 ----a-w C:\Windows\System32\igfxext.exe
2008-01-02 15:06 166,424 ----a-w C:\Windows\System32\hkcmd.exe
2008-01-02 14:57 147,456 ----a-w C:\Windows\System32\igfxCoIn_v1409.dll
2008-01-02 14:48 2,580,480 ----a-w C:\Windows\System32\igdumd32.dll
2008-01-02 14:47 104,636 ----a-w C:\Windows\System32\igmedcompkrn.dll
2008-01-02 14:47 1,953,696 ----a-w C:\Windows\System32\igklg400.dll
2008-01-02 14:47 1,533,360 ----a-w C:\Windows\System32\igklg450.dll
2008-01-02 14:42 1,658,880 ----a-w C:\Windows\System32\ig4dev32.dll
2008-01-02 14:41 2,416,640 ----a-w C:\Windows\System32\ig4icd32.dll
2008-01-02 14:34 69,632 ----a-w C:\Windows\System32\oemdspif.dll
2008-01-02 14:34 48,128 ----a-w C:\Windows\System32\igfxsrvc.dll
2008-01-02 14:34 241,664 ----a-w C:\Windows\System32\igfxTMM.dll
2008-01-02 14:34 24,576 ----a-w C:\Windows\System32\igfxexps.dll
2008-01-02 14:34 204,800 ----a-w C:\Windows\System32\igfxpph.dll
2008-01-02 14:33 3,293,184 ----a-w C:\Windows\System32\igfxress.dll
2008-01-02 14:33 200,704 ----a-w C:\Windows\System32\igfxdev.dll
2008-01-02 14:33 135,168 ----a-w C:\Windows\System32\igfxdo.dll
2008-01-02 14:33 102,400 ----a-w C:\Windows\System32\hccutils.dll
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-07-20 11:47 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-29 02:29 4472832 C:\Windows\RtHDVCpl.exe]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 21:00 815104]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-07-12 16:36 178712]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 21:01 71216]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 16:21 54832]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 16:33 457216]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2007-10-17 20:59 858632]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 21:48 57344]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2008-01-02 17:07 141848]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2008-01-02 17:06 166424]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2008-01-02 17:07 133656]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-16 19:31 79224]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2007-07-20 12:24:30 535336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1801739684-83578424-1861860745-1003]
"EnableNotificationsRef"=dword:00000003

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{E11AAFE2-7307-491E-A08A-4DEF0C9A73C9}"= C:\Program Files\CyberLink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"TCP Query User{085889CB-25C3-42A3-8C34-B101C22586B2}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{BA4DA7A6-A6F0-4CF0-8600-55D5BBE3D602}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"{3944475E-6290-4890-A21B-936F768E05F8}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{022B293E-B760-4D65-8B04-357D97D61C18}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{8BE87C44-FFE1-4374-B79C-0370155AA898}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{3542642C-0E0C-4D47-8519-FAFF4BF8BBC3}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{A262FA2C-9DE3-404D-903E-00EE4B0B842C}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"TCP Query User{4B57E853-A65C-4FE9-8707-A7F6BD69DFD0}C:\\program files\\ibm\\lotus\\symphony\\framework\\rcp\\eclipse\\plugins\\com.ibm.rcp.jcl.desktop.win32.x86_6.2.0.200801251400\\jre\\bin\\expeditorw.exe"= UDP:C:\program files\ibm\lotus\symphony\framework\rcp\eclipse\plugins\com.ibm.rcp.jcl.desktop.win32.x86_6.2.0.200801251400\jre\bin\expeditorw.exe:Lotus Expeditor
"UDP Query User{DD7E5A50-0C65-4863-9505-FDACFB1BBDC7}C:\\program files\\ibm\\lotus\\symphony\\framework\\rcp\\eclipse\\plugins\\com.ibm.rcp.jcl.desktop.win32.x86_6.2.0.200801251400\\jre\\bin\\expeditorw.exe"= TCP:C:\program files\ibm\lotus\symphony\framework\rcp\eclipse\plugins\com.ibm.rcp.jcl.desktop.win32.x86_6.2.0.200801251400\jre\bin\expeditorw.exe:Lotus Expeditor
"TCP Query User{701761DD-84BA-4382-A91F-1527708CB7D1}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{A83440C1-94BC-4E85-B335-E0856E604CD2}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Acer\\Empowering Technology\\eDataSecurity\\eDSfsu.exe"= C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe:*:Enabled:eDSfsu
"C:\\Acer\\Empowering Technology\\eDataSecurity\\encryption.exe"= C:\Acer\Empowering Technology\eDataSecurity\encryption.exe:*:Enabled:encryption
"C:\\Acer\\Empowering Technology\\eDataSecurity\\decryption.exe"= C:\Acer\Empowering Technology\eDataSecurity\decryption.exe:*:Enabled:decryption

R0 PSDFilter;PSDFilter;C:\Windows\system32\DRIVERS\psdfilter.sys [2007-04-25 16:34]
R0 PSDNServ;PSDNSERVER;C:\Windows\system32\drivers\PSDNServ.sys [2007-04-25 16:34]
R0 psdvdisk;psdvdisk;C:\Windows\system32\drivers\psdvdisk.sys [2007-04-25 16:34]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2006-11-02 16:51]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2007-12-04 16:52]
R2 eDataSecurity Service;eDSService.exe;"C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe" [2007-04-25 16:34]
R2 eNet Service;eNet Service;C:\Acer\Empowering Technology\eNet\eNet Service.exe [2007-06-13 16:54]
R2 eSettingsService;eSettings Service;C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe [2007-06-28 18:50]
R2 MobilityService;MobilityService;C:\Acer\Mobility Center\MobilityService.exe [2006-11-24 12:57]
R2 WMIService;ePower Service;C:\Acer\Empowering Technology\ePower\ePowerSvc.exe [2007-06-13 11:23]
R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2006-11-29 02:44]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-02-09 00:03]
R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2008-01-02 16:48]
S2 SQLWriter;SQL Server VSS Writer;"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2007-02-10 05:29]
S3 athr;Atheros Extensible Wireless LAN device driver;C:\Windows\system32\DRIVERS\athr.sys [2006-11-02 09:30]
S3 BCM43XV;Broadcom Extensible 802.11 Network Adapter Driver;C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-12-19 22:18]

.
'Ajoitetut tehtävät'-kansion sisältö
"2008-03-16 17:17:33 C:\Windows\Tasks\User_Feed_Synchronization-{F6D946A5-1D80-4781-9D35-591234109CCC}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-16 19:37:47
Windows 6.0.6000 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\conime.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Users\Janne\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Completion time: 2008-03-16 19:38:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-16 17:38:53
.
2008-03-15 14:48:44 --- E O F ---

Aikas paljon tekstiä... No kuitenkin.

Mr Gibss

tomato71 · Mar 16, 2008

onko muutoksia koneen toiminnassa ?

Lataa Malwarebytes' Anti-Malware työpöydällesi.

Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.

Lopuksi varmistu, että seuraavat on valittu: Update Malwarebytes' Anti-Malware ja Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Finish.

Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.

Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.

Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.

Varmistu, että kaikki on merkitty ja klikkaa Remove Selected.

Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt

Lähetä lokin sisältö seuraavassa viestissäsi.

Lataa SmitfraudFix (by S!Ri) työpöydällesi.

Tuplaklikkaa tiedostoa SmitfraudFix.exe

Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi.

**Jos työkalu ei käynnisty työpöydältä niin siirrä SmitfraudFix.exe suoraan järjestelmäaseman juureen (yleensä C:). Kokeile sitten käynnistää ohjelma uudestaan sieltä.

Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
http://www.beyondlogic.org/consulting/processutil/processutil.htm

Lähetä malware-loki ja simtfraud-loki

MrGibss · Mar 16, 2008

Tietokoneen toiminnassa ei ole tapahtunut muutoksia.

Tein juuri niin kuin kirjoitit ja tässä on lokitiedostot:

MBAM
Malwarebytes' Anti-Malware 1.08
Tietokantaversio: 497

Tarkistustyyppi: Täysi tarkistus (C:\|D:\|)
Tarkistetut kohteet: 108744
Kulunut aika: 12 minute(s), 32 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 0

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
(Haitallisia kohteita ei löydetty)

SmitfraudFix
SmitFraudFix v2.305

Scan done at 21:09:51,68, su 16.03.2008
Run from C:\Users\Janne\Desktop\SmitfraudFix
OS: Microsoft Windows [versio 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Acer\Mobility Center\MobilityService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\Janne\AppData\Local\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9e.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Janne

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Janne\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Janne\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetLink (TM) Gigabit Ethernet
DNS Server Search Order: 193.229.0.40
DNS Server Search Order: 193.229.0.42

HKLM\SYSTEM\CCS\Services\Tcpip\..\{56DD1A89-E996-44B2-9D4B-0CDB38641D96}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AA964CB9-B73F-45BD-B692-D502ABDDDD13}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{56DD1A89-E996-44B2-9D4B-0CDB38641D96}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AA964CB9-B73F-45BD-B692-D502ABDDDD13}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{56DD1A89-E996-44B2-9D4B-0CDB38641D96}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AA964CB9-B73F-45BD-B692-D502ABDDDD13}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Toivotavasti näistä on jotain apua. Mitäs nytten. Voinko poistaa jo näitä ohjelmia, vai säilytänkö jotkut?

Mr Gibss

tomato71 · Mar 16, 2008

ne poistetaan sitten kaikki yhelläkerralla,se on selanen poistoohjelma
tulee vähän skanneri skannerin perää,pakko ettiä onko sielä mitään vielä
eli avasti ei toimi vieläkään

Lataa Atribunen ATF Cleaner

Ohjeet;
Sammuta firefox ennen ohjelman käyttöä
Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman.
Main:n alla valitse: Select All
Klikkaa Empty Selected valintaa.

Jos käytät FireFoxia selaimenasiKlikkaa Firefox yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.

Jos käytät Operaa selaimenasi
Klikkaa Opera yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa taas.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Klikkaa Exit päävalikosta sulkeaksesi ohjelman.
Teknistä tukea tulee jos tupla-klikkaat sähköpostiosoitetta joka sijaitsee jokaisen menun alapuolella kyseisessä työkalussa. (Huomatkaa että se tuki on sitten englanniksi)

Lataa ja tallenna Blacklight työpöydällesi;

Tupla-klikkaa fsbl.exe, hyväksy sopimus, klikkaa > Scan, sitten > Next

Näet listan kaikesta mitä löytyi. Työpöydällesi myös ilmestyy loki jonka nimi on fsbl.xxxxxxx.log (xxxxxxx;n tilalla on luultavimmin numeroita).

Kopioi ja liitä tämä loki seuraavaan vastaukseesi. Älä valitse "Rename" optiota vielä! Haluamme nähdä login ensin, koska hyviä tiedostoja saattaa olla mukana, kuten "wbemtest.exe".

Tarkista koneesi F-Securen online skannerilla

Huom, skanneri toimii vain Internet Explorer selaimella

* Lue sivun ohjeet huolella läpi
* Klikkaa Start scanning
* Mikäli saat Internet Explorer -suojausvaroituksen, klikkaa Asenna
* Klikkaa Accept
* Klikkaa Custom Scan
* Säädä asetukset seuraavasti

o "Virus Scan Option" kohdasta valitse Scan whole system
o "Other Scan Option" kohdasta valitse Scan All Files
o Valitse Scan whole system for rootkits
o Valitse Scan whole system for spyware
o Laita ruksi kohtaan Scan inside archives
o Varmista että Use advanced heuristics on valittuna

* Klikkaa Start
* Skannaus käynnistyy kun tarvittavat tiedostot/päivitykset on ladattu
* Odota kärsivällisesti
* Kun sakannaus on suoritettu, klikkaa Automatic cleaning
* Klikkaa Show Report
* Raportti aukeaa selaimessa, kopioi teksti kokonaan
* Liitä kopioitu teksti esim. muistioon tai Wordiin ja tallenna työpöydälle
* Voit sulkea skannerin
* Lähetä raportti viestiketjuusi

MrGibss · Mar 17, 2008

Hei!

Mikään Avast tai Windows Defender ei vieläkään toimi.

ATF-Cleaner
Poisti noin 30 MB turhia tiedostoja. Selaimena vain tämä Exploler.

Blacklight
Ei löytänyt mitään. Tässä loki:

03/17/08 07:36:27 [Info]: BlackLight Engine 1.0.67 initialized
03/17/08 07:36:27 [Info]: OS: 6.0 build 6000 ()
03/17/08 07:36:27 [Note]: 7019 4
03/17/08 07:36:27 [Note]: 7005 0
03/17/08 07:36:38 [Note]: 7006 0
03/17/08 07:36:38 [Note]: 7027 0
03/17/08 07:36:38 [Note]: 7026 0
03/17/08 07:36:38 [Note]: 7026 0
03/17/08 07:36:40 [Note]: FSRAW library version 1.7.1024
03/17/08 07:40:00 [Note]: 7007 0

F-Secure Online
Siinä se skannaili noin tunnin, oli löytänyt yhden Spywaren. Kuitenkaan skanni ei päässyt loppuun saakka, kun se alkoi valittamaan muistin puutteesta, ja kehotti aloittamaan uudestaan. Sillä hetkellä minulla ei ollut muita avoimia ohjelmia joten luovutin.

Mr Gibss

Ps. Latasin netistä AVG-ohjelman ja skannasin koneen. Tällainen loki:

General properties
Report name Complete Test
Start time 17.3.2008 9:24:07
End time 17.3.2008 15:34:49 (total: 6:10:40.5 hrs)
Launch method Scanning launched manually
Scanning result Threats found
Report status Scanning completed successfully

Object summary
Scanned 71478
Threats Found 9
Cleaned 0
Moved to vault 1
Deleted 2
Errors 0

C:\QooBox\Quarantine\catchme2008-03-16_193712.99.zip:\wintems.exe Virus identified I-Worm/Bagle.AIQ Infected, Embedded object, Deleted
C:\QooBox\Quarantine\catchme2008-03-16_193712.99.zip:\hldrrr.exe Trojan horse Downloader.Generic7.AAA Infected, Embedded object, Deleted
C:\QooBox\Quarantine\C\Windows\System32\drivers\down\169042.exe.vir Virus identified I-Worm/Bagle.AIQ Infected
C:\QooBox\Quarantine\C\Windows\System32\drivers\down\171757.exe.vir Virus identified I-Worm/Bagle.AIQ Infected
C:\QooBox\Quarantine\C\Windows\System32\drivers\down\197731.exe.vir Virus identified I-Worm/Bagle.AIQ Infected
C:\QooBox\Quarantine\C\Windows\System32\drivers\down\201974.exe.vir Virus identified I-Worm/Bagle.AIQ Infected
C:\QooBox\Quarantine\C\Windows\System32\drivers\down\606251.exe.vir Virus identified I-Worm/Bagle.AIQ Infected
C:\Acer\AcerTour\Reminder.exe Deleted
C:\QooBox\Quarantine\catchme2008-03-16_193712.99.zip Moved to Vault, Archive
C:\Users\Janne\DoctorWeb\Quarantine\wintems.exe Deleted

2Ps. Koneen toiminnassa ei muutoksia.

tomato71 · Mar 17, 2008

ok
nuo löydökset oli combofixin ja drwebin karanteenist
ja sitten tuo avg:llä oli yksi väärä tunnnistus
Ootko kokeillu asentaa avastin uudelleen

postetaan turhat ohjelmat

Seuraavaksi poistamme kaikki käytetyt työkalut.

Lataa OTMoveIt2 ja tallenna se työpöydällesi.

TuplaklikkaaOTMoveIt2.exe.

Klikkaa CleanUp!.

Valitse Yes kun kysytään "Begin cleanup Process?".

Jos pyydetään, että saako koneen käynnistää uudelleen, valitse Yes.

OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse.

HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt2 yrittää päästä nettin, niin anna sen päästä sinne.

kokeillaan vielä tämä

Skannaa koneesi Kaspersky Online Skannerilla
Käytä Internet Explorer
Sinulta kysytään sallitko ActiveX -komponentin asentamisen Kasperskyltä, klikkaa Kyllä.

Ohjelma käynnistyy ja aloittaa viimeisimpien tunnistetiedostojen lataamisen.

Kun skanneri on asennettu ja tunnistetiedot ladattu, klikkaa Next.

Klikkaa nyt asetuksia, Scan Settings

Tarkista asetuksista, että seuraavat ovat valittuina:

o Scan using the following Anti-Virus database:

+ Extended (Jos valittavissa, muuten valitse Standard)

o Scan Options:

+ Scan Archives
+ Scan Mail Bases

Klikkaa OK

Nyt valitse "select a target to scan" otsikon alta Oma Tietokone, My Computer

Skannaus vie aikaa, joten ole kärsivällinen. Kun skannaus on valmis saat ilmoituksen, jos koneesi on saastunut.

Klikkaa nyt Save as Text-painiketta.

Tallenna tiedosto työpöydällesi.

Kopioi ja Liitä tiedoston sisältö seuraavaan vastaukseesi.

Log in or Sign up

Onko kyseessä tietokonevirus?

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

MrGibss Member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

Share This Page

Log in or Sign up

Onko kyseessä tietokonevirus?

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

MrGibss Member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

MrGibss Member

tomato71 Regular member

Share This Page

Useful Searches