Sitkeä rootkit, millä eroon?

Discussion in 'Virukset ja haittaohjelmat' started by Janne75, Sep 8, 2009.

  1. Janne75

    Janne75 Member

    Joined:
    Nov 26, 2005
    Messages:
    27
    Likes Received:
    0
    Trophy Points:
    11
    Malwarebytes Anti-Malware löytää joka kerta skannauksessa tietyn rootkitin ja vaikka poistan sen ja käynnistän koneen uudelleen, ko. rootkit löytyy jälleen. System restore on pois päältä. Anti-Malware-logi

    Malwarebytes' Anti-Malware 1.40
    Database version: 2758
    Windows 5.1.2600 Service Pack 3

    8.9.2009 19:40:04
    mbam-log-2009-09-08 (19-40-04).txt

    Scan type: Full Scan (C:\|D:\|)
    Objects scanned: 138330
    Time elapsed: 13 minute(s), 59 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 1
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 1

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbiwkmmltxubrq (Rootkit.TDSS) -> Quarantined and deleted successfully.

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Delete on reboot.
     
    Janne75, Sep 8, 2009
    #1
  2. warwas

    warwas Guest

    Toi takaisin päälle ja heti

    Aloitetaas
    ---------------------------------------------------------------

    Ole hyvä ja lataa Combofix yhdestä alla olevista linkeistä:

    Linkki 1
    Linkki 2
    Linkki 3

    * TÄRKEÄÄ !!! Tallenna ComboFix.exe työpöydällesi
    • Sulje/ota pois päältä kaikki virustorjunta- ja haittaohjelmien poisto-ohjelmat, jotta ne eivät häiritse ComboFixin ajoa.
    • Tuplaklikkaa Combofix.exe ja noudata ohjeita.
    • Osana skannausta Combofix tarkistaa onko palautuskonsoli asennettuna. Nykypäivän haittaohjelmien takia on erittäin suositeltua olla asennettuna palautuskonsoli ennen haittaohjelmien poistoa. Windowsin palautuskonsoli mahdollistaa käynnistyksen erityiseen palautustilaan. Palautuskonsolin kautta voimme auttaa sinua helpommin mikäli haittaohjelmien poiston yhteydessä ilmenee ongelmia.
    • Seuraa ohjeita ja salli Combofixin ladata ja asentaa Microsoftin palautuskonsoli, ja kun pyydetään, hyväksy ohjelman takuuehdot asentaaksesi palautuskonsolin.
    **Huomaa: Jos palautuskonsoli on jo asennettuna, Combofix jatkaa eteenpäin.

    [​IMG]

    Kun Microsoftin palautuskonsoli on asennettu, sinun pitäisi nähdä seuraava viesti:

    [​IMG]

    Klikkaa Kyllä jatkaaksesi skannausta.

    Kun ComboFix on valmis, se luo raportin. Ole hyvä ja kopioi/liitä seuraavat raportit vastaukseesi:
    C:\ComboFix.txt
    Uusi HijackThis-loki


    Varoitus: ÄLÄ aja ComboFixia ilman valvontaa. Se ei ole lelu ja sitä ei tule käyttää rutiininomaisesti päivittäin.

    Jos tarvitset apua, katso yksityiskohtaisempi ohje:
    http://www.bleepingcomputer.com/combofix/fi/combofixin-kayttoohje

    ------------------------------------------------------------------

    * Lataa tästä HJTInstall.exe
    * Tallenna HJTInstall.exe työpöydällesi.
    * Tuplaklikkaa HJTInstall.exe-kuvaketta työpöydälläsi.
    * Oletuksena se asentaa itsensä hakemistoon C:\Program Files\Trend Micro\HijackThis.
    * Klikkaa Install.
    * Asennusohjelma luo HijackThis-kuvakkeen työpöydälle.
    * Kun asennus on valmis, se käynnistää HijackThisin.
    * Klikkaa Do a system scan and save a logfile-painiketta.
    * Ohjelma aloittaa skannauksen ja lokin pitäisi avautua Muistioon.
    * Klikkaa ensin "Muokkaa > Valitse kaikki" sitten "Muokkaa > Kopioi" kopioidaksesi koko lokin sisällön.
    * Liitä lokin sisältö seuraavaan vastaukseesi.
    * ÄLÄ käytä Analyse This-nappulaa, sen löydöt ovat vaarallisia väärinymmärrettyinä.

    * ÄLÄ     fixaa HijackThis-ohjelmalla vielä mitään. Suurin osa sen löydöistä ovat joko harmittomia tai jopa tarpeellisia.

    Lähetätkö seuraavat lokit
    ComboFix:n ComboFix.txt
    HJT:n loki
     
    warwas, Sep 12, 2009
    #2
  3. Janne75

    Janne75 Member

    Joined:
    Nov 26, 2005
    Messages:
    27
    Likes Received:
    0
    Trophy Points:
    11
    Combofix-logi:

    ComboFix 09-09-12.A0 - XXXXXXXXX 13.09.2009 18:43.2.2 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.3.1252.358.1033.18.2046.1591 [GMT 3:00]
    Sijainti: c:\documents and settings\XXXXXXXXX\Desktop\ComboFix.exe
    AV: avast! antivirus 4.8.1351 [VPS 090912-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

    VAROITUS - PALAUTUSKONSOLIA EI OLE ASENNETTU !!
    .

    ((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-08-13 to 2009-09-13 )))))))))))))))))
    .

    2009-09-08 17:53 . 2009-09-08 17:53 2 --shatr- c:\windows\winstart.bat
    2009-09-08 17:52 . 2009-09-08 18:57 -------- d-----w- c:\program files\UnHackMe
    2009-09-08 17:47 . 2009-09-08 17:47 0 ----a-w- C:\settings.dat
    2009-09-08 15:55 . 2009-09-08 15:55 -------- d-----w- c:\documents and settings\All Users\Application Data\F-Secure
    2009-09-03 11:54 . 2009-08-17 16:04 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2009-09-03 11:54 . 2009-08-17 16:04 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2009-09-03 11:54 . 2009-08-17 16:03 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2009-09-03 11:54 . 2009-08-17 16:02 97480 ----a-w- c:\windows\system32\AvastSS.scr
    2009-09-03 11:54 . 2009-08-17 16:06 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2009-09-03 11:54 . 2009-08-17 16:06 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2009-09-03 11:54 . 2009-08-17 16:05 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2009-09-03 11:54 . 2009-08-17 16:05 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2009-09-03 11:54 . 2009-08-17 16:10 1279456 ----a-w- c:\windows\system32\aswBoot.exe
    2009-09-03 11:54 . 2009-09-03 11:54 -------- d-----w- c:\program files\Alwil Software
    2009-09-01 10:43 . 2009-09-01 10:43 -------- d-----w- c:\program files\On2 Technologies
    2009-08-29 10:33 . 2009-08-29 10:37 -------- d-----w- c:\documents and settings\XXXXXXXXX\Application Data\BSplayer Pro
    2009-08-25 10:46 . 2009-08-25 10:46 -------- d--h--r- c:\documents and settings\XXXXXXXXX\Application Data\SecuROM
    2009-08-24 10:15 . 2008-04-14 03:42 221184 ----a-w- c:\windows\system32\wmpns.dll
    2009-08-24 10:12 . 2009-08-24 10:12 -------- d-----w- c:\program files\AGEIA Technologies
    2009-08-24 10:12 . 2009-08-24 10:12 -------- d-----w- c:\windows\system32\AGEIA
    2009-08-24 10:11 . 2009-08-24 10:11 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
    2009-08-24 10:11 . 2009-08-24 10:11 -------- d-----w- c:\program files\NVIDIA Corporation
    2009-08-24 10:11 . 2009-08-24 10:11 -------- d-----w- c:\documents and settings\All Users\Application Data\NVIDIA Corporation
    2009-08-24 10:10 . 2009-07-14 18:54 2189856 ----a-w- c:\windows\system32\nvcuvid.dll
    2009-08-24 10:10 . 2009-07-14 18:54 1706528 ----a-w- c:\windows\system32\nvcuvenc.dll
    2009-08-24 10:10 . 2009-07-14 18:54 2002944 ----a-w- c:\windows\system32\nvcuda.dll
    2009-08-24 10:10 . 2009-07-14 18:54 1597690 ----a-w- c:\windows\system32\nvdata.bin
    2009-08-24 10:10 . 2009-08-24 10:10 -------- d-----w- C:\NVIDIA
    2009-08-23 14:55 . 2009-08-23 14:55 -------- d-sh--w- c:\windows\ftpcache
    2009-08-18 11:16 . 2009-08-23 13:59 -------- d-----w- c:\documents and settings\XXXXXXXXX\Application Data\Petroglyph

    .
    (((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-09-13 15:38 . 2008-09-25 14:29 -------- d-----w- c:\documents and settings\XXXXXXXXX\Application Data\uTorrent
    2009-09-13 15:35 . 2008-09-25 10:18 -------- d-----w- c:\program files\CZDC-0699[A1]
    2009-09-08 15:39 . 2008-10-06 14:57 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
    2009-09-08 15:39 . 2009-03-02 14:07 -------- d-----w- c:\program files\SpywareBlaster
    2009-09-07 18:52 . 2008-09-26 15:58 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
    2009-09-03 11:36 . 2009-03-10 11:40 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-09-01 18:45 . 2009-06-09 03:45 2311 ----a-w- c:\documents and settings\All Users\Application Data\xmlA.tmp
    2009-09-01 18:45 . 2009-07-09 14:14 13565 ----a-w- c:\documents and settings\All Users\Application Data\xml2.tmp
    2009-09-01 18:45 . 2009-06-09 03:45 7918 ----a-w- c:\documents and settings\All Users\Application Data\xml8.tmp
    2009-09-01 10:43 . 2008-03-17 05:49 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-09-01 10:43 . 2008-03-17 05:38 -------- d-----w- c:\program files\Common Files\InstallShield
    2009-08-29 10:27 . 2008-09-25 07:42 -------- d-----w- c:\program files\ffdshow
    2009-08-25 12:46 . 2008-10-20 15:56 -------- d-----w- c:\documents and settings\XXXXXXXXX\Application Data\dvdcss
    2009-08-24 17:15 . 2009-01-01 16:37 -------- d-----w- c:\documents and settings\XXXXXXXXX\Application Data\Vso
    2009-08-05 09:01 . 2008-04-14 03:42 204800 ----a-w- c:\windows\system32\mswebdvd.dll
    2009-08-03 10:36 . 2009-03-10 11:40 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-08-03 10:36 . 2009-03-10 11:40 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-07-27 15:03 . 2009-07-27 15:03 -------- d-----w- c:\documents and settings\All Users\Application Data\vsosdk
    2009-07-27 14:42 . 2009-07-27 14:42 -------- d-----w- c:\program files\DVDFab 5
    2009-07-19 09:50 . 2008-09-25 10:25 -------- d-----w- c:\documents and settings\XXXXXXXXX\Application Data\Winamp
    2009-07-19 06:03 . 2008-09-25 10:25 -------- d-----w- c:\program files\Winamp
    2009-07-17 19:01 . 2008-04-14 03:41 58880 ----a-w- c:\windows\system32\atl.dll
    2009-07-14 18:54 . 2008-03-17 05:38 485920 ----a-w- c:\windows\system32\nvudisp.exe
    2009-07-14 18:54 . 2007-11-07 01:30 868352 ----a-w- c:\windows\system32\nvapi.dll
    2009-07-14 18:54 . 2007-11-07 01:30 7741664 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
    2009-07-14 18:54 . 2007-11-07 01:30 5842816 ----a-w- c:\windows\system32\nv4_disp.dll
    2009-07-14 18:54 . 2007-11-07 01:30 151552 ----a-w- c:\windows\system32\nvcodins.dll
    2009-07-14 18:54 . 2007-11-07 01:30 151552 ----a-w- c:\windows\system32\nvcod.dll
    2009-07-14 18:54 . 2007-11-07 01:30 10457088 ----a-w- c:\windows\system32\nvoglnt.dll
    2009-07-14 10:35 . 2009-07-14 10:35 2173472 ----a-w- c:\windows\system32\nvcplui.exe
    2009-07-14 10:35 . 2009-07-14 10:35 81920 ----a-w- c:\windows\system32\nvwddi.dll
    2009-07-14 10:35 . 2009-07-14 10:35 4026368 ----a-w- c:\windows\system32\nvvitvs.dll
    2009-07-14 10:35 . 2009-07-14 10:35 3170304 ----a-w- c:\windows\system32\nvwss.dll
    2009-07-14 10:34 . 2009-07-14 10:34 86016 ----a-w- c:\windows\system32\nvmctray.dll
    2009-07-14 10:34 . 2009-07-14 10:34 4923392 ----a-w- c:\windows\system32\nvdisps.dll
    2009-07-14 10:34 . 2009-07-14 10:34 3547136 ----a-w- c:\windows\system32\nvgames.dll
    2009-07-14 10:34 . 2009-07-14 10:34 188416 ----a-w- c:\windows\system32\nvmccss.dll
    2009-07-14 10:34 . 2009-07-14 10:34 168004 ----a-w- c:\windows\system32\nvsvc32.exe
    2009-07-14 10:34 . 2009-07-14 10:34 143360 ----a-w- c:\windows\system32\nvcolor.exe
    2009-07-14 10:34 . 2009-07-14 10:34 13877248 ----a-w- c:\windows\system32\nvcpl.dll
    2009-07-14 10:34 . 2009-07-14 10:34 1286144 ----a-w- c:\windows\system32\nvmobls.dll
    2009-07-14 10:34 . 2009-07-14 10:34 229376 ----a-w- c:\windows\system32\nvmccs.dll
    2009-07-12 09:21 . 2008-04-14 03:42 233472 ----a-w- c:\windows\system32\wmpdxm.dll
    2009-07-10 04:01 . 2008-03-17 05:38 485920 ----a-w- c:\windows\system32\NVUNINST.EXE
    2009-07-09 17:52 . 2009-07-09 17:52 237568 ----a-w- c:\windows\system32\rmc_rtspdl.dll
    2009-07-09 17:52 . 2009-07-09 17:52 156672 ----a-w- c:\windows\system32\rmc_fixasf.exe
    2009-07-09 17:51 . 2009-07-09 17:51 323584 ----a-w- c:\windows\system32\AUDIOGENIE2.DLL
    2009-06-26 16:50 . 2008-04-14 03:42 666624 ------w- c:\windows\system32\wininet.dll
    2009-06-26 16:50 . 2008-04-14 03:41 81920 ----a-w- c:\windows\system32\ieencode.dll
    2009-06-25 08:25 . 2008-04-14 03:42 54272 ----a-w- c:\windows\system32\wdigest.dll
    2009-06-25 08:25 . 2008-04-14 03:42 56832 ----a-w- c:\windows\system32\secur32.dll
    2009-06-25 08:25 . 2008-04-14 03:42 147456 ----a-w- c:\windows\system32\schannel.dll
    2009-06-25 08:25 . 2008-04-14 03:42 136192 ----a-w- c:\windows\system32\msv1_0.dll
    2009-06-25 08:25 . 2008-04-14 03:41 730112 ----a-w- c:\windows\system32\lsasrv.dll
    2009-06-25 08:25 . 2008-04-14 03:41 301568 ----a-w- c:\windows\system32\kerberos.dll
    2009-06-24 11:18 . 2008-04-13 22:01 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
    2009-06-21 17:13 . 2009-06-21 17:13 0 ----a-w- c:\documents and settings\All Users\Application Data\xml15.tmp
    2009-06-21 17:13 . 2009-06-09 03:45 0 ----a-w- c:\documents and settings\All Users\Application Data\xml9.tmp
    2009-06-16 14:36 . 2008-04-14 03:42 119808 ----a-w- c:\windows\system32\t2embed.dll
    2009-06-16 14:36 . 2008-04-14 03:41 81920 ----a-w- c:\windows\system32\fontsub.dll
    .

    ------- Sigcheck -------

    [-] 2008-09-11 . 362BC5AF8EAF712832C58CC13AE05750 . 1614848 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
    .
    ((((((((((((((((((((((((((((( SnapShot@2009-09-08_19.28.05 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2008-09-25 07:32 . 2009-09-13 12:21 32768 c:\windows\Temp\Temporary Internet Files\Content.IE5\index.dat
    - 2008-09-25 07:32 . 2009-09-08 19:27 32768 c:\windows\Temp\Temporary Internet Files\Content.IE5\index.dat
    + 2008-09-25 07:32 . 2009-09-13 12:21 32768 c:\windows\Temp\History\History.IE5\index.dat
    - 2008-09-25 07:32 . 2009-09-08 19:27 32768 c:\windows\Temp\History\History.IE5\index.dat
    + 2008-09-25 07:32 . 2009-09-13 12:21 16384 c:\windows\Temp\Cookies\index.dat
    - 2008-09-25 07:32 . 2009-09-08 19:27 16384 c:\windows\Temp\Cookies\index.dat
    .
    (((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
    "COMODO Firewall Pro"="c:\program files\COMODO\Firewall\cfp.exe" [2009-03-01 1851128]
    "Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2009-02-27 38768]
    "Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2009-02-27 640376]
    "Dimension4"="c:\program files\D4\D4.exe" [2004-02-03 200704]
    "COMODO Internet Security"="c:\program files\COMODO\Firewall\cfp.exe" [2009-03-01 1851128]
    "nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2009-07-08 1657376]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-07-14 86016]
    "avast!"="c:\program files\Alwil Software\Avast4\ashDisp.exe" [2009-08-17 81000]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\system32\acaptuser32.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
    "c:\\WINDOWS\\system32\\rserver30\\rserver3.exe"=
    "c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2009.SP3c\\RpcAgentSrv.exe"=
    "c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2009.SP3c\\WNt500x86\\RpcSandraSrv.exe"=
    "d:\\Company of Heroes\\RelicCOH.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
    "AllowInboundEchoRequest"= 1 (0x1)

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [3.9.2009 14:54 114768]
    R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [25.9.2008 13:26 110992]
    R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [25.9.2008 13:26 24336]
    R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [23.4.2007 14:03 82200]
    R1 raddrvv3;raddrvv3;c:\windows\system32\rserver30\raddrvv3.sys [24.4.2008 08:49 45848]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [3.9.2009 14:54 20560]
    R2 RServer3;Radmin Server V3;c:\windows\system32\rserver30\rserver3.exe [8.11.2008 17:11 1238344]
    R3 mirrorv3;mirrorv3;c:\windows\system32\drivers\rminiv3.sys [1.11.2006 06:01 3328]
    S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\SiSoftware\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe [9.6.2009 06:44 98488]
    .
    .
    ------- Täydentävä tarkistus -------
    .
    uStart Page = about:blank
    IE: Append Link Target to Existing PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: Append to Existing PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convert Link Target to Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: Convert to Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    IE: Vie Microsoft E&xceliin - c:\progra~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
    TCP: {E4A80DF1-76FA-457A-8986-6489E46E4BE5} = 217.30.180.230,217.30.182.230
    FF - ProfilePath - c:\documents and settings\XXXXXXXXX\Application Data\Mozilla\Firefox\Profiles\9v4fjso8.default\
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-09-13 18:49
    Windows 5.1.2600 Service Pack 3 NTFS

    tarkistaa piilotettuja prosesseja ...

    tarkistaa piilotettuja käynnistysarvoja ...

    tarkistaa piilotettuja tiedostoja ...

    tarkistus on valmis
    piilotetut tiedostot: 0

    **************************************************************************
    .
    Valmistumisajankohta: 2009-09-13 18:50
    ComboFix-quarantined-files.txt 2009-09-13 15:50
    ComboFix2.txt 2009-09-08 19:29

    Ennen ajoa: 39 085 903 872 bytes free
    Ajon jälkeen: 39 057 211 392 bytes free

    192 --- E O F --- 2009-09-03 11:22

    HJT-logi:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:53:29, on 13.9.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\COMODO\Firewall\cmdagent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\COMODO\Firewall\cfp.exe
    C:\Program Files\NetLimiter 2 Pro\nlsvc.exe
    C:\WINDOWS\system32\rserver30\RServer3.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\WINDOWS\system32\rserver30\FamItrfc.Exe
    C:\Program Files\NetLimiter 2 Pro\NLClient.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O3 - Toolbar: Copernic Desktop Search - Home Toolbar - {4A1C6093-14F9-44D7-860E-5D265CFCA9D9} - C:\Program Files\Copernic Desktop Search - Home\Toolbar\ToolbarContainer101000311.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
    O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
    O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
    O4 - HKLM\..\Run: [Dimension4] C:\Program Files\D4\D4.exe
    O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
    O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E4A80DF1-76FA-457A-8986-6489E46E4BE5}: NameServer = 217.30.180.230,217.30.182.230
    O20 - AppInit_DLLs: C:\WINDOWS\system32\acaptuser32.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Pro\nlsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Radmin Server V3 (RServer3) - Famatech International Corp. - C:\WINDOWS\system32\rserver30\RServer3.exe
    O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

    --
    End of file - 6858 bytes
     
    Janne75, Sep 13, 2009
    #3
  4. warwas

    warwas Guest

    Moro

    Avaa HJT
    Klikkaa Do a system scan only ja merkkaa seuraavat rivit:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

    Sammuta kaikki muut ohjelmat paitsi palomuuri ja virustorjunta ja Klikkaa Fix checked

    Sulje HJT

    ------------------------------------------------------------------

    Päivitä ja skannaa Mbam:lla
    • Avaa Mbam
    • Klikkaa päivitys
    • Tarkista päivitykset
    • Kun ohjelma on latautunut ja päivitykset tehty, valitse Suorita täysi tarkistus ja klikkaa Tarkista.
    • Kun tarkistus on valmis, klikkaa OK ja sitten Näytä tulokset nähdäksesi tulokset.
    • Varmistu, että kaikki on merkitty ja klikkaa Poista valitut.
    • Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
    • Lähetä lokin sisältö seuraavassa viestissäsi.

    Huom. Jos Mbam ei pystynyt poistamaan tiedostoa, se pyytää sinua käynnistämään koneesi uudelleen. Käynnistä koneesi silloin uudelleen heti. Mbam voi tehdä muutoksia rekisteriisi osana puhdistusta. Jos käytät suojausohjelmaa, joka havaitsee rekisterin muutokset, salli Mbamin tehdä muutokset.

    Sammuta ja käynnistä tietokone jollei Mbam sitä tee

    mene Käynnistä -> Suorita ja kopioi lainaus sinne
    ja pamauta enter

    Kopioi savautuvan tekstitiedoston sisältö tänne.

    Skannaa HJT:lla Do a system scan and save a logile

    Lähetätkö seuraavat lokit
    Mbam:n log-päiväys.txt
    HJT:n loki
     
    warwas, Sep 15, 2009
    #4
  5. Janne75

    Janne75 Member

    Joined:
    Nov 26, 2005
    Messages:
    27
    Likes Received:
    0
    Trophy Points:
    11
    Lainaus:notepad.exe c:\windows\winstart.bat <-- tuo oli tyhjä

    Mbam logi:

    Malwarebytes' Anti-Malware 1.41
    Database version: 2804
    Windows 5.1.2600 Service Pack 3

    15.9.2009 19:04:21
    mbam-log-2009-09-15 (19-04-21).txt

    Scan type: Full Scan (C:\|)
    Objects scanned: 135219
    Time elapsed: 10 minute(s), 15 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 0

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    (No malicious items detected)


    HJT-logi:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:08:16, on 15.9.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\COMODO\Firewall\cmdagent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\COMODO\Firewall\cfp.exe
    C:\Program Files\NetLimiter 2 Pro\nlsvc.exe
    C:\WINDOWS\system32\rserver30\RServer3.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\WINDOWS\system32\rserver30\FamItrfc.Exe
    C:\Program Files\NetLimiter 2 Pro\NLClient.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O3 - Toolbar: Copernic Desktop Search - Home Toolbar - {4A1C6093-14F9-44D7-860E-5D265CFCA9D9} - C:\Program Files\Copernic Desktop Search - Home\Toolbar\ToolbarContainer101000311.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
    O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
    O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
    O4 - HKLM\..\Run: [Dimension4] C:\Program Files\D4\D4.exe
    O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
    O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E4A80DF1-76FA-457A-8986-6489E46E4BE5}: NameServer = 217.30.180.230,217.30.182.230
    O20 - AppInit_DLLs: C:\WINDOWS\system32\acaptuser32.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Pro\nlsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Radmin Server V3 (RServer3) - Famatech International Corp. - C:\WINDOWS\system32\rserver30\RServer3.exe
    O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

    --
    End of file - 7036 bytes
     
    Janne75, Sep 15, 2009
    #5
  6. warwas

    warwas Guest

    Miten toimii?

    Katotaas vielä KAV:n onlinella ettei mitään ole ennen loppuphdistuksia.

    Skannaa koneesi Kaspersky Online Skannerilla

    1. Lue läpi vaatimukset ja yksityisyyssäännökset ja klikkaa Accept.
    2. Skannerin ja virustietokannan lataus alkaa. Sinulta kysytään sallitko Kasperskyltä tulevan ohjelman asentamisen. Klikkaa Aja/Run.
    3. Kun lataus on valmis, klikkaa Settings.
    4. Varmistu, että seuraavat kohdat on valittu. Jos ne eivät ole, valitse ne ja klikkaa Save:
      • Spyware, Adware, Dialers, and other potentially dangerous programs
        Archives
        Mail databases
    5. Klikkaa Oma Tietokone, My Computer Scan-kohdan alapuolelta.
    6. Kun tarkistus on valmis, tulokset näytetään. Klikkaa View Scan Report.
    7. Näet listan saastuneista kohteista. Klikkaa Save Report As....
    8. Tallenna tiedosto työpöydällesi. Muuta Tiedostotyyppi/Files of type muotoon Tekstitiedosto/Text file(.txt) ennen kuin klikkaat Save.
    9. Kopioi ja liitä tiedoston sisältö seuraavaan vastaukseesi uuden HijackThis-lokin kera

    Lähetätkö Kasperskyn loki
     
    Last edited by a moderator: Sep 16, 2009
    warwas, Sep 16, 2009
    #6
  7. Janne75

    Janne75 Member

    Joined:
    Nov 26, 2005
    Messages:
    27
    Likes Received:
    0
    Trophy Points:
    11
    Ei löytänyt Kaspersky yhtään mitään. Eli eiköhän kone ole nyt puhdas. Kiitos avusta.
     
    Janne75, Sep 17, 2009
    #7
  8. warwas

    warwas Guest

    Poistetaas combo vielä, muista että järjestelmän palautus ja rekisterin varmuuskopio menee tässä myös joten tarvii olla varma että kaikki toimii.

    • Mene Käynnistä -> Suorita
    • Kirjoita Combofix /u ja klikkaa ok kuten kuvassa:

      [​IMG]
    • Paina 2 kun eteen tulee valikko

    P.S.
    Itse sä tän putsasit :D
     
    warwas, Sep 17, 2009
    #8

Share This Page