Troijalainen iski, hj-logi tässä

busterrs · Feb 17, 2009

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:47:51, on 17.2.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ASWLSVC.exe
D:\avgantispyware\AVG Anti-Spyware 7.5\guard.exe
D:\Nero 7.10.1.0\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Skype\Phone\Skype.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WinGDI Class - {12c7290a-157b-4f43-b109-97e792c598ed} - C:\WINDOWS\iehost.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\Word\Office12\EXCEL.EXE/3000
O9 - Extra button: Lähetä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: Läh&etä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Word\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\avgantispyware\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Nero 7.10.1.0\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe
O23 - Service: NBService - Nero AG - D:\Nero 7.10.1.0\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5379 bytes

Shulender · Feb 17, 2009

Onko windows palomuuri päällä?

Aloitamme ComboFixilla. Ole hyvä ja klikkaa alla olevaa linkkiä lukeaksesi käyttöohjeet ja saadaksesi latauslinkit:

http://www.bleepingcomputer.com/combofix/fi/combofixin-kayttoohje

Varmistu, että luet ensin ohjeen huolellisesti ja asennat palautuskonsolin.

Windowsin palautuskonsoli mahdollistaa käynnistyksen erityiseen palautustilaan. Palautuskonsolin kautta voimme auttaa sinua helpommin mikäli haittaohjelmien poiston yhteydessä ilmenee ongelmia. Se on helppo toimenpide, joka vie vain muutaman hetken.

Asennuksen jälkeen sinun pitäisi nähdä sininen ruutu, jossa lukee:

Palautuskonsoli asennettiin onnistuneesti.

Jatka seuraavasti:

Sulje/ota pois päältä kaikki virustorjunta- ja haittaohjelmien poisto-ohjelmat, jotta ne eivät häiritse ComboFixin ajoa, ohje (englanniksi)
Muista laittaa ne takaisin päälle ajon jälkeen.

Valitse Kyllä, jotta ComboFix jatkaa haittaohjelmien poistoa.

Kun ComboFix on valmis, se luo raportin.

Ole hyvä ja kopioi/liitä seuraavat raportit vastaukseesi:

C:\ComboFix.txt
uusi HijackThis-loki.

Varoitus: ÄLÄ aja ComboFixia ilman valvontaa. Se ei ole lelu ja sitä ei tule käyttää rutiininomaisesti päivittäin.

busterrs · Feb 17, 2009

Kyllä palomuuri on päällä.

ComboFix 09-02-15.01 - RM&JW 2009-02-17 19:51:32.3 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1035.18.959.551 [GMT 2:00]
Sijainti: D:\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Uusi palautuspiste luotu

VAROITUS - PALAUTUSKONSOLIA EI OLE ASENNETTU !!
.
Error: Cfiles.dat

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Ajurit/Palvelut )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSUPDATE

((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-01-17 to 2009-02-17 )))))))))))))))))
.

2009-02-17 17:00 . 2009-02-17 17:00 <KANSIO> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-17 17:00 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-17 17:00 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-16 13:28 . 2009-02-16 13:28 <KANSIO> d--hs---- C:\FOUND.020
2009-02-14 21:02 . 2009-02-14 21:02 <KANSIO> d--hs---- C:\FOUND.019
2009-02-14 09:28 . 2009-02-14 09:28 <KANSIO> d--hs---- C:\FOUND.018
2009-02-14 09:22 . 2009-02-14 09:22 <KANSIO> d--hs---- C:\FOUND.017
2009-02-13 09:48 . 2009-02-13 09:48 <KANSIO> d--hs---- C:\FOUND.016
2009-02-10 13:52 . 2009-02-10 13:52 <KANSIO> d--hs---- C:\FOUND.015
2009-02-09 13:56 . 2009-02-09 13:56 <KANSIO> d--hs---- C:\FOUND.014
2009-02-06 13:11 . 2009-02-06 13:11 <KANSIO> d-------- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-02-06 13:02 . 2009-02-06 13:02 <KANSIO> d-------- c:\program files\MSXML 4.0
2009-02-06 12:30 . 2009-02-06 12:30 <KANSIO> d--hs---- C:\FOUND.013
2009-02-05 23:01 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-05 23:01 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-02-05 23:01 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-04 17:48 . 2009-02-04 17:48 <KANSIO> d--hs---- C:\FOUND.012
2009-02-04 08:55 . 2009-02-04 08:55 <KANSIO> d--hs---- C:\FOUND.011
2009-02-03 09:48 . 2009-02-03 09:48 <KANSIO> d--hs---- C:\FOUND.010
2009-02-02 19:39 . 2009-02-02 19:39 <KANSIO> d--hs---- C:\FOUND.009
2009-02-01 12:23 . 2009-02-01 12:23 <KANSIO> d--hs---- C:\FOUND.008
2009-01-30 12:39 . 2009-01-30 12:39 <KANSIO> d--hs---- C:\FOUND.007
2009-01-29 13:03 . 2009-01-29 13:03 <KANSIO> d--hs---- C:\FOUND.006
2009-01-28 10:09 . 2009-01-28 10:09 <KANSIO> d--hs---- C:\FOUND.005
2009-01-27 10:54 . 2008-04-14 18:11 221,184 --a------ c:\windows\system32\wmpns.dll
2009-01-27 10:53 . 2009-01-27 10:53 <KANSIO> d-------- c:\program files\Windows Media Connect 2
2009-01-27 10:52 . 2009-01-27 10:52 <KANSIO> d-------- c:\windows\system32\LogFiles
2009-01-27 10:52 . 2009-01-27 10:52 <KANSIO> d-------- c:\windows\system32\drivers\UMDF
2009-01-26 22:37 . 2009-01-26 22:37 12,598 --a------ c:\windows\system32\wpa.bak
2009-01-26 22:37 . 2009-01-26 22:37 5,208 --a------ c:\windows\system32\pid.PNF
2009-01-26 09:03 . 2009-01-26 09:03 <KANSIO> d--hs---- C:\FOUND.004
2009-01-23 13:49 . 2009-01-23 13:49 <KANSIO> d--hs---- C:\FOUND.003
2009-01-22 13:48 . 2009-01-22 13:48 <KANSIO> d--hs---- C:\FOUND.002
2009-01-21 16:22 . 2009-01-28 20:23 69 --a------ c:\windows\NeroDigital.ini
2009-01-21 16:05 . 2009-01-21 16:05 <KANSIO> d-------- c:\documents and settings\RM&JW\Application Data\RayV
2009-01-20 13:12 . 2009-01-20 13:12 139 --a------ c:\windows\ODBC.INI
2009-01-20 13:11 . 2009-01-20 13:11 <KANSIO> d-------- c:\windows\A5W_DATA
2009-01-20 13:11 . 2009-01-26 09:19 19,610 --a------ c:\windows\Run32A50.mch
2009-01-20 13:11 . 2009-01-26 09:16 35 --a------ c:\windows\A5W.INI
2009-01-20 13:09 . 2009-01-20 13:09 <KANSIO> d-------- c:\program files\PV
2009-01-20 09:26 . 2009-01-20 09:26 <KANSIO> d--hs---- C:\FOUND.001
2009-01-17 10:46 . 2009-01-17 10:46 <KANSIO> d--hs---- C:\FOUND.000

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-14 17:26 --------- d-----w c:\documents and settings\RM&JW\Application Data\Uniblue
2009-01-14 17:26 --------- d-----w c:\documents and settings\All Users\Application Data\DriverScanner
2009-01-14 17:20 --------- d-----w c:\program files\SystemRequirementsLab
2009-01-14 17:20 --------- d-----w c:\documents and settings\RM&JW\Application Data\SystemRequirementsLab
2009-01-14 11:58 --------- d-----w c:\documents and settings\RM&JW\Application Data\Canon
2009-01-13 11:51 579,072 ----a-w c:\windows\system32\dllcache\user32.dll
2009-01-13 10:51 --------- d-----w c:\program files\Lavalys
2009-01-13 07:43 --------- d-----w c:\documents and settings\RM&JW\Application Data\Malwarebytes
2009-01-13 07:43 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-12 23:37 --------- d-----w c:\program files\Trend Micro
2009-01-12 21:54 --------- d-----w c:\documents and settings\RM&JW\Application Data\Grisoft
2009-01-12 21:54 --------- d-----w c:\documents and settings\All Users\Application Data\Grisoft
2009-01-12 09:53 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-01-12 09:53 --------- d-----w c:\program files\Java
2009-01-10 19:50 --------- d-----w c:\documents and settings\RM&JW\Application Data\Skype
2009-01-08 13:44 --------- d-----w c:\documents and settings\RM&JW\Application Data\AdobeUM
2009-01-07 17:52 --------- d-----w c:\documents and settings\All Users\Application Data\Genimap
2009-01-07 17:40 --------- d--h--w c:\documents and settings\All Users\Application Data\CanonBJ
2009-01-07 14:09 --------- d-----w c:\documents and settings\RM&JW\Application Data\Ahead
2009-01-07 14:00 --------- d-----w c:\documents and settings\RM&JW\Application Data\U3
2009-01-07 13:35 --------- d-----w c:\documents and settings\All Users\Application Data\Ahead
2009-01-07 13:34 --------- d-----w c:\program files\Common Files\Ahead
2009-01-07 13:34 --------- d-----w c:\documents and settings\All Users\Application Data\Nero
2009-01-07 12:42 --------- d-----w c:\program files\Microsoft Visual Studio 8
2009-01-07 11:39 --------- d-----w c:\program files\Microsoft Works
2009-01-07 11:36 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-01-06 22:49 --------- d-----w c:\documents and settings\RM&JW\Application Data\skypePM
2009-01-06 22:47 --------- d-----w c:\documents and settings\All Users\Application Data\Skype
2009-01-06 22:38 --------- d-----w c:\program files\Avira
2009-01-06 22:38 --------- d-----w c:\documents and settings\All Users\Application Data\Avira
2009-01-06 21:51 15,781 ----a-w c:\windows\system32\drivers\mdc8021x.sys
2009-01-06 21:47 606,848 ----a-w c:\windows\flashax.exe
2009-01-06 21:47 503,808 ----a-w c:\windows\Asus_A6_ScreenSaver.scr
2009-01-06 21:47 12,288 ----a-w c:\windows\impborl.dll
2009-01-06 21:44 --------- d-----w c:\documents and settings\RM&JW\Application Data\Symantec
2009-01-06 21:44 --------- d-----w c:\documents and settings\Järjestelmänvalvoja\Application Data\Symantec
2009-01-06 21:42 --------- d-----w c:\documents and settings\All Users\Application Data\nView_Profiles
2009-01-06 21:39 --------- d-----w c:\program files\Wireless Console 2
2009-01-06 21:39 --------- d-----w c:\program files\Synaptics
2009-01-06 21:37 --------- d-----w c:\program files\Common Files\Adobe
2009-01-06 21:37 --------- d-----w c:\program files\ASUS
2009-01-06 21:36 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-06 21:36 --------- d-----w c:\program files\Realtek
2009-01-06 21:33 --------- d-----w c:\program files\Common Files\InstallShield
2009-01-06 21:29 --------- d-----w c:\program files\microsoft frontpage
2008-12-12 17:03 3,088,896 ------w c:\windows\system32\dllcache\mshtml.dll
2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys
2008-12-08 10:53 57,344 ----a-w c:\windows\system32\ff_vfw.dll
.

------- Sigcheck -------

2008-08-14 15:25 2068352 5eb5f543938a037e04af8cf9143fccba c:\windows\system32\ntkrnlpa.exe
2008-08-14 15:25 2068352 5ae7455a4511087c04fa37c153190915 c:\windows\system32\dllcache\ntkrnlpa.exe
2008-08-14 15:25 2068352 5ae7455a4511087c04fa37c153190915 c:\windows\Driver Cache\i386\ntkrnlpa.exe
2008-08-14 15:39 2065280 b73b33fd131d09fec9cc29828d34face c:\windows\$hf_mig$\KB956841\SP2QFE\ntkrnlpa.exe
2008-08-14 15:25 2068352 5ae7455a4511087c04fa37c153190915 c:\windows\$hf_mig$\KB956841\SP3GDR\ntkrnlpa.exe
2008-08-14 19:26 2068352 4ac0c3661b2125d53842d5f86f360c3e c:\windows\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe
2004-09-15 14:00 2059136 e6cbe47b5ea01ce981e4663900f04a15 c:\windows\$NtUninstallKB956841_0$\ntkrnlpa.exe
2008-08-14 15:46 2060032 a50f62ca8ae17f88527ffc930afb858a c:\windows\$NtServicePackUninstall$\ntkrnlpa.exe
2008-04-14 17:49 2068224 fb43994013605429b57f7b1040f7c525 c:\windows\ServicePackFiles\i386\ntkrnlpa.exe
2008-04-14 17:49 2068224 fb43994013605429b57f7b1040f7c525 c:\windows\$NtUninstallKB956841$\ntkrnlpa.exe
.
(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="d:\skype\Phone\Skype.exe" [2008-11-18 21633320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-04-17 110592]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-26 7561216]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-26 86016]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-18 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll
"msacm.avis"= ff_acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Käynnistä-valikko^Ohjelmat^Käynnistys^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Käynnistä-valikko\Ohjelmat\Käynnistys\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Käynnistä-valikko^Ohjelmat^Käynnistys^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Käynnistä-valikko\Ohjelmat\Käynnistys\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Käynnistä-valikko^Ohjelmat^Käynnistys^ASUS ChkMail.lnk]
path=c:\documents and settings\All Users\Käynnistä-valikko\Ohjelmat\Käynnistys\ASUS ChkMail.lnk
backup=c:\windows\pss\ASUS ChkMail.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Live Update]
--a------ 2006-02-21 15:20 180224 c:\program files\ASUS\ASUS Live Update\ALU.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-06-25 08:47 1057064 d:\nero 7.10.1.0\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2007-06-25 08:47 1629480 d:\nero 7.10.1.0\Nero 7\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2005-10-20 23:26 761945 c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wireless Console 2]
--a------ 2005-10-17 17:09 987136 c:\program files\Wireless Console 2\wcourier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
--a------ 2006-01-19 21:34 544768 c:\windows\sm56hlpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\DC++\\DCPlusPlus.exe"=
"d:\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22549:TCP"= 22549:TCP:BitComet 22549 TCP
"22549:UDP"= 22549:UDP:BitComet 22549 UDP

R3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\system32\ASNDIS5.sys [2009-01-06 16269]
R3 SynMini;USB2.0 1.3M Web Cam;c:\windows\system32\drivers\SynMini.sys [2009-01-06 720470]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;c:\windows\system32\drivers\SynScan.sys [2009-01-06 8278]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
.
.
------- Täydentävä tarkistus -------
.
uStart Page = hxxp://www.asus.com/
IE: E&xport to Microsoft Excel - d:\word\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\RM&JW\Application Data\Mozilla\Firefox\Profiles\gkgdbst1.default\
FF - prefs.js: browser.startup.homepage - www.google.fi
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-17 19:54:00
Windows 5.1.2600 Service Pack 3 FAT NTAPI

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************
.
--------------------- LUKITUT REKISTERIAVAIMET ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\�•€|ÿÿÿÿ"•€|þ»Ów*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"
.
------------------------ Muut prosessit ------------------------
.
c:\program files\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
c:\windows\SYSTEM32\RUNDLL32.EXE
c:\program files\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
c:\windows\SYSTEM32\ASWLSVC.EXE
d:\avgantispyware\AVG Anti-Spyware 7.5\guard.exe
d:\nero 7.10.1.0\Nero 7\InCD\InCDsrv.exe
c:\windows\SYSTEM32\ASWL2K.EXE
c:\program files\JAVA\JRE6\BIN\JQS.EXE
c:\windows\SYSTEM32\NVSVC32.EXE
c:\windows\ATK0100\ATKOSD.EXE
c:\windows\SYSTEM32\WBEM\WMIAPSRV.EXE
.
**************************************************************************
.
Valmistumisajankohta: 2009-02-17 19:55:29 - kone käynnistettiin uudelleen
ComboFix-quarantined-files.txt 2009-02-17 17:55:28

Ennen ajoa: 38 595 723 264 tavua vapaana
Ajon jälkeen: 38,702,841,856 tavua vapaana

221 --- E O F --- 2009-02-13 12:01:39

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:44, on 17.2.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Skype\Phone\Skype.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ASWLSVC.exe
D:\avgantispyware\AVG Anti-Spyware 7.5\guard.exe
D:\Nero 7.10.1.0\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\ASWL2K.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\Word\Office12\EXCEL.EXE/3000
O9 - Extra button: Lähetä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: Läh&etä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Word\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\avgantispyware\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Nero 7.10.1.0\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - D:\Nero 7.10.1.0\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5173 bytes

Shulender · Feb 17, 2009

Lataa Malwarebytes' Anti-Malware työpöydällesi.

Jos linkki ei toimi, voit ladata myös seuraavista linkeistä:
Linkki1
Linkki2

Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.

Lopuksi varmistu, että seuraavat on valittu: Päivitä Malwarebytes' Anti-Malware ja Käynnistä Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Lopeta.

Jos päivitys löytyy, ohjelma lataa ja asentaa uusimman version. Jos päivityksien lataaminen ei onnistu, voit ladata päivitykset tästä. Tuplaklikkaa mbam-rules.exe asentaaksesi päivitykset.

Kun ohjelma on latautunut ja päivitykset tehty, valitse Suorita täysi tarkistus ja klikkaa Tarkista.

Kun tarkistus on valmis, klikkaa OK ja sitten Näytä tulokset nähdäksesi tulokset.

Varmistu, että kaikki on merkitty ja klikkaa Poista valitut.

Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt

Lähetä lokin sisältö seuraavassa viestissäsi.

Huom. Jos Mbam ei pystynyt poistamaan tiedostoa, se pyytää sinua käynnistämään koneesi uudelleen. Käynnistä koneesi silloin uudelleen heti. Mbam voi tehdä muutoksia rekisteriisi osana puhdistusta. Jos käytät suojausohjelmaa, joka havaitsee rekisterin muutokset, salli Mbamin tehdä muutokset.

Log in or Sign up

Troijalainen iski, hj-logi tässä

busterrs Member

Shulender Member

busterrs Member

Shulender Member

Share This Page

Log in or Sign up

Troijalainen iski, hj-logi tässä

busterrs Member

Shulender Member

busterrs Member

Shulender Member

Share This Page

Useful Searches