sormi suussa-mikä avuksi

Monenlaista on nyt yritetty. Muilta osin alkaa olla puhdasta, mutta kone edelleen hidas, muut scannaukset eivät löydä enää mitään, ainoastaan Spyware Doctor löysi vielä trojan changerin, mut sil ei saa sitä poistettuu, ku ei oo rekisteröityä versioita. Mitä tehdä? Täs vielä viimeiset logit, Hijackthis ja fixwareout, mukaan.


Fixwareout
Last edited 1/1/2006
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values
»»»»» System restarted
...
Reg Entries that were deleted
...
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"system"=""
»»»»»

ja

Logfile of HijackThis v1.99.1
Scan saved at 15:44:18, on 12.1.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
D:\HJT\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Avaa uuteen etuvälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/230?d6a3c65b57ff46b199d95787f28ffc22
O8 - Extra context menu item: Avaa uuteen taustavälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/229?d6a3c65b57ff46b199d95787f28ffc22
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

Kiitos teille, kun jaksatte...

 

Puhtaalta näyttää. Tarkastetaan vielä combolla varmuuden vuoksi

1. Lataa combofix.exe tiedosto työpöydällesi.
2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

 

Poistin kaikki vastakkaiset ohjelmat, nopeutu kyl kone, mut edelleen pientä häikkää, Spyware doctor edellee ilmoittaa challengerista. Täs tää tulee...

"default user" - 07-01-14 0:39:00 Service Pack 2
ComboFix 07-01-14.2 - Running from: "D:\Program Files"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\INSTALL.LOG


((((((((((((((((((((((((((((((( Files Created from 2006-12-14 to 2007-01-14 ))))))))))))))))))))))))))))))))))


2007-01-13 14:33 <KANSIO> d-------- C:\WINDOWS\BDOSCAN8
2007-01-13 13:53 <KANSIO> d-------- C:\DOCUME~1\DEFAUL~1.DEF\Application Data\BitTorrent
2007-01-13 13:51 <KANSIO> d-------- C:\Program Files\BitTorrent
2007-01-13 00:42 <KANSIO> dr--s---- C:\WINDOWS\assembly
2007-01-13 00:42 <KANSIO> d-------- C:\WINDOWS\system32\URTTemp
2007-01-13 00:42 <KANSIO> d-------- C:\WINDOWS\Microsoft.NET
2007-01-13 00:41 <KANSIO> d-------- C:\Program Files\Messenger
2007-01-12 23:45 <KANSIO> d-------- C:\WINDOWS\WBEM
2007-01-12 23:45 <KANSIO> d-------- C:\WINDOWS\system32\fi-fi
2007-01-12 23:43 <KANSIO> d--h-c--- C:\WINDOWS\ie7
2007-01-12 23:42 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2007-01-12 23:41 <KANSIO> d-------- C:\WINDOWS\network diagnostic
2007-01-12 21:53 14,848 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2007-01-12 17:18 <KANSIO> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\Spybot - Search & Destroy
2007-01-12 16:48 <KANSIO> d-------- C:\Program Files\Common Files\Application
2007-01-12 16:15 <KANSIO> d-------- C:\Program Files\Sunbelt Software
2007-01-12 11:58 <KANSIO> d-------- C:\WINDOWS\system32\NtmsData
2007-01-12 11:12 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-01-11 21:39 <KANSIO> d-------- C:\fixwareout
2007-01-11 13:59 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2007-01-11 13:59 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2007-01-11 13:59 <KANSIO> d-a------ C:\DOCUME~1\ALLUSE~1\Application Data\TEMP
2007-01-11 13:58 <KANSIO> d-------- C:\DOCUME~1\DEFAUL~1.DEF\Application Data\PC Tools
2007-01-11 12:50 <KANSIO> d-------- C:\DOCUME~1\DEFAUL~1.DEF\Application Data\Lavasoft
2007-01-11 00:39 <KANSIO> d-------- C:\DOCUME~1\DEFAUL~1.DEF\.housecall6.6
2007-01-10 21:45 <KANSIO> d-------- C:\DOCUME~1\DEFAUL~1.DEF\Application Data\F-Secure
2007-01-10 21:22 <KANSIO> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\fssg
2007-01-08 22:56 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-01-08 22:56 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2006-12-28 21:27 <KANSIO> d-------- C:\WINDOWS\system32\QuickTime
2006-12-28 21:26 86,016 --a------ C:\WINDOWS\system32\bgsvcgen.exe
2006-12-28 21:26 57,344 --a------ C:\WINDOWS\system32\GenSvcInst.exe
2006-12-28 21:26 32,256 --a------ C:\WINDOWS\system32\drivers\cdrbsdrv.sys
2006-12-28 21:26 319,488 --------- C:\WINDOWS\system32\Pvmjpg21.dll
2006-12-28 21:25 <KANSIO> d-------- C:\Program Files\PIXELA
2006-12-19 00:17 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2006-12-19 00:17 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2006-12-19 00:17 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-14 00:08 -------- d-------- C:\Program Files\mozilla firefox
2007-01-13 01:04 -------- d-------- C:\Program Files\windows live safety center
2007-01-11 19:31 -------- d-------- C:\Program Files\java
2007-01-10 22:49 -------- d-------- C:\Program Files\msn messenger
2007-01-09 19:34 -------- d-------- C:\Program Files\dc++
2007-01-09 18:13 -------- d-------- C:\DOCUME~1\DEFAUL~1.DEF\Application Data\openoffice.org2
2006-12-28 21:25 -------- d--h----- C:\Program Files\installshield installation information
2006-12-28 21:25 -------- d-------- C:\Program Files\Common Files\installshield
2006-12-08 20:39 -------- d-------- C:\Program Files\turbo searcher
2006-12-08 20:37 -------- d-------- C:\DOCUME~1\DEFAUL~1.DEF\Application Data\turbosearcher
2006-12-07 17:02 2174976 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-02 14:39 -------- d---s---- C:\DOCUME~1\DEFAUL~1.DEF\Application Data\microsoft
2006-11-27 10:45 60416 --------- C:\WINDOWS\system32\tzchange.exe
2006-11-21 00:50 -------- d-------- C:\Program Files\itunes
2006-11-21 00:50 -------- d-------- C:\Program Files\ipod
2006-11-21 00:49 -------- d-------- C:\Program Files\quicktime
2006-11-08 07:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-31 17:21 4608 --a------ C:\WINDOWS\system32\w95inf32.dll
2006-10-31 17:21 2272 --a------ C:\WINDOWS\system32\w95inf16.dll
2006-10-20 03:39 713728 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-18 19:55 6052528 --a------ C:\WINDOWS\firefoxgoogletoolbarsetup.exe
2006-10-17 12:06 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-10-17 12:05 40960 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-10-17 12:05 206336 --------- C:\WINDOWS\system32\winfxdocobj.exe
2006-10-17 12:05 105984 --a------ C:\WINDOWS\system32\url.dll
2006-10-17 12:04 101376 --a------ C:\WINDOWS\system32\occache.dll
2006-10-17 11:58 61952 --------- C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58 12288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57 36352 --a------ C:\WINDOWS\system32\imgutil.dll
2006-10-17 11:57 266752 --------- C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:56 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-10-17 11:28 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-10-17 11:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"D:\\Program Files\\Spyware Doctor\\swdoctor.exe\" /Q"
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
"OM_Monitor"="\"D:\\Program Files\\OLYMPUS\\OLYMPUS Master\\Monitor.exe\" -NoStart"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\MSMSGS.EXE\" /background"
"BitTorrent"="\"C:\\Program Files\\BitTorrent\\bittorrent.exe\" --force_start_minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot"
"SynTPLpr"="\"C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe\""
"SynTPEnh"="\"C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe\""
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"QT4StBtn"="C:\\PROGRA~1\\SwiftBtn\\SwiftBtn.EXE"
"OM_Monitor"="\"D:\\Program Files\\OLYMPUS\\OLYMPUS Master\\FirstStart.exe\""
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"InCD"="\"D:\\Program Files\\Ahead\\InCD\\InCD.exe\""
"GhostStartTrayApp"="\"C:\\Program Files\\Symantec\\Norton Ghost 2003\\GhostStartTrayApp.exe\""
"CARPService"="carpserv.exe"
"avast!"="d:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"spywarefighterguard"="\"D:\\Program Files\\SPYWAREfighter\\spftray.exe\""
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"D:\\Program Files\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"D:\\Program Files\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0




~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20070113-170426-189
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
backup-20070113-170426-464
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
backup-20070113-170133-472
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Tarkistetaan Windows Live -ty”kalurivin p„ivitykset.job

Completion time: 07-01-14 0:44:02

 

* Lataa Dr.Web CureIt työpöydälle:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Tuplaklikkaa drweb-cureit.exe ja anna sen tehdä express scan
Se skannaa käynnissä olevat ohjelmat ja jos jotain löytyy, klikkaa yes kun se kysyy haluatko poistaa sen. Tämä on vain lyhyt scan.
Kun scan on valmis, merkkaa asemat, jotka haluat scannata.
Valitse kaikki asemat. Punainen piste osoittaa, mitkä asemat on valittu.
Klikaa vihreää nuolta oikealla ja scan alkaa.
Klikkaa 'Yes to all', jos kysytään haluatko poistaa/siirtää tiedoston.
Kun scan on valmis, katso voitko klikata next-kuvaketta löytyneiden tiedostojen vieressä:

Jos asia on niin, klikkaa sitä ja sitten klikkaa next-kuvaketta oikealla alhaalla ja valitse Move incurable kuten alla olevalla kuvassa:

Tämä siirtää sen %userprofile%\DoctorWeb\quarantine-hakemistoon.
Tämän jälkeen klikkaa Dr.Web CureIt-valikossa file ja valitse save report list
Tallenna raportti työpöydälle. Raportin nimi on DrWeb.csv
Sulje Dr.Web Cureit.
Käynnistä kone uudelleen !! Tämä siksi, että käytössä olevat tiedostot poistetaan/siirretään käynnistyksen yhteydessä.
Käynnistyksen jälkeen liitä Dr.Web-lokin, jonka tallensit aiemmin, sisältö seuraavaan vastaukseesi.

 

Noviisist on tullu oikke ongelmapesäke. Löytykin joku muu virus, toiseks semne ku DCOM Exploit pommittaa melkein koko ajan Avastin taustasuojausta, enkä löytäny siihen Microsoftilta päivitystä. Osaakko sanoa siit trojan challengerista, ku sitä ei muut ohjelmat huomaa, oisko siitä vaa jääny jotain tietoja, poistin ensimmäisen HiJackauksen yhteydes ne kyseiset rivit mitä toin trojanin pitäis edustaa. Vai pitäiskö täs vaa alkaa formatoimaan kovalevyä?

DrWeb

Silent Runners.vbs;D:\Program Files;Probably BATCH.Virus;Incurable.Moved.;

Kiitos kuiteski yrittämisest.

 

Ei ole mielestäni mitään syytä huoleen. Avastin taustasuojaus saattaa varoitella DCOM Exploitista mikä voi oikeasti olla vain jotain harmitonta porttien pingausta tai muuta sellaista. Challenger troijalainen on varmastikin joku rekisteriin jäänyt jämä tai "väärä positiivinen"

 

Kiitos sulle,, paljon