Voisiko joku, joka näistä enemmän ymmärtää, vilkaista login kun en sille itse mitään osaa tehdä. Ongelmat joita on ei lähde Spybotilla, Ad-Awarella eikä Normanilla. Kiitos paljon etukäteen!! Logfile of HijackThis v1.99.1 Scan saved at 18:46:15, on 27.4.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Norman\Npm\bin\ELOGSVC.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Norman\Npm\Bin\Zanda.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\DAEMON Tools\daemon.exe C:\Norman\Npm\bin\ZLH.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE C:\Norman\Nvc\BIN\NIP.EXE C:\Norman\Npf\BIN\npfmsg2.exe C:\WINDOWS\System32\svchost.exe C:\Norman\Npm\bin\NJEEVES.EXE C:\Norman\Nvc\BIN\NVCSCHED.EXE C:\Norman\Nvc\bin\nvcoas.exe C:\WINDOWS\System32\alg.exe C:\Norman\Nvc\bin\cclaw.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {84938242-5C5B-4A55-B6B9-A1507543B418} - (no file) O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: RollerCoaster Tycoon 3 Registration.lnk = ? O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150034352515 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman Type-R - Unknown owner - C:\Program Files\Norman\Npf\BIN\NPFSVICE.EXE (file missing) O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä: http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe 2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia. 3. Kun työkalu on valmis, se tuottaa lokin. (C:\ComboFix.txt) Lähetä tämä loki viesti ketjuusi. Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
Hei, Tässäpä tämä ComboFix:n tuottama loki: "J„rjestelm„valvoja" - 07-04-27 22:06:31 Service Pack 2 ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\J„rjestelm„valvoja\Ty”p”yt„\" ((((((((((((((((((((((((((((((( Files Created from 2007-03-27 to 2007-04-27 )))))))))))))))))))))))))))))))))) 2007-04-21 19:36 <KANSIO> d-------- C:\DOCUME~1\NETWOR~1\K„ynnist„-valikko 2007-04-09 20:45 <KANSIO> d-------- C:\Program Files\VentSrv 2007-04-09 19:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2007-04-07 21:06 65,536 --a------ C:\WINDOWS\IFinst27.exe 2007-04-04 19:51 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll 2007-04-04 19:51 <KANSIO> d-------- C:\DOCUME~1\JRJEST~1\APPLIC~1\Command & Conquer 3 Tiberium Wars Demo 2007-03-30 16:35 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2007-03-30 16:34 <KANSIO> d-------- C:\DOCUME~1\JRJEST~1\APPLIC~1\Leadertech 2007-03-29 18:23 18,488 --a------ C:\WINDOWS\system32\drivers\nvcw32mf.sys 2007-03-29 18:16 <KANSIO> d-------- C:\Norman (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-27 21:45 5 --a------ C:\NPF_USER.DAT 2007-04-27 17:55 -------- d-------- C:\Program Files\spybot 2007-04-27 17:11 -------- d-------- C:\Program Files\steam 2007-04-25 23:54 -------- d-------- C:\DOCUME~1\JRJEST~1\APPLIC~1\skype 2007-04-11 15:57 7680 --a-s---- C:\WINDOWS\system32\qzviz.dll 2007-04-09 19:40 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys 2007-04-09 19:34 -------- d--h----- C:\Program Files\installshield installation information 2007-04-08 18:03 -------- d-------- C:\Program Files\mirc 2007-04-02 22:29 -------- d-------- C:\Program Files\azureus 2007-03-29 18:10 -------- d-------- C:\Program Files\norman 2007-03-25 09:51 75610 --a------ C:\WINDOWS\system32\perfc00b.dat 2007-03-25 09:51 375602 --a------ C:\WINDOWS\system32\perfh00b.dat 2007-03-17 16:44 292864 --a------ C:\WINDOWS\system32\winsrv.dll 2007-03-08 18:38 578048 --a------ C:\WINDOWS\system32\user32.dll 2007-03-08 18:37 40960 --a------ C:\WINDOWS\system32\mf3216.dll 2007-03-08 18:37 281600 --a------ C:\WINDOWS\system32\gdi32.dll 2007-03-08 18:34 1843840 --a------ C:\WINDOWS\system32\win32k.sys 2007-02-05 23:19 185344 --a------ C:\WINDOWS\system32\upnphost.dll 2007-02-05 20:10 88 -r-hs---- C:\WINDOWS\system32\1a7e79f7a1.sys 2007-02-05 20:10 3350 --ahs---- C:\WINDOWS\system32\kgygaavl.sys (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\Spybot\SDHelper.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "DAEMON Tools"="\"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033" "ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\CLIStart.exe\"" "Norman ZANDA"="C:\\Norman\\Npm\\bin\\ZLH.EXE /LOAD /SPLASH" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "user32.dll"="C:\\Program Files\\Video ActiveX Object\\isamntr.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{bd0fc212-0a36-4232-83cc-2063fb9282e0}"="curdler" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Skype" "hkey"="HKCU" "command"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSystemAnalyzer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SMSystemAnalyzer" "hkey"="HKCU" "command"="\"C:\\Program Files\\iolo\\System Mechanic Professional 6\\SMSystemAnalyzer.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=dword:00000003 "SoundMAX Agent Service (default)"=dword:00000002 "PDSched"=dword:00000002 "PDEngine"=dword:00000003 "ATI Smart"=dword:00000002 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-04-27 22:08:30 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-27 22:08:33 C:\ComboFix-quarantined-files.txt ... 07-04-27 22:08
Lataa SmitfraudFix (by S!Ri) työpöydällesi. Tuplaklikkaa tiedostoa SmitfraudFix.exe Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa). Postita tämän tekstitiedoston sisältö viestiketjuusi. **Jos työkalu ei käynnisty työpöydältä niin siirrä SmitfraudFix.exe suoraan järjestelmäaseman juureen (yleensä C:). Kokeile sitten käynnistää ohjelma uudestaan sieltä. Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää. http://www.beyondlogic.org/consulting/processutil/processutil.htm ******************** Printtaa ohjeet ulos tai tallenna nämä tekstitiedostoon. Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi. Vikasietotilaan pääset painamalla F8 käynnistyksen alussa piippauksen kuultuasi. Kun vikasietotilassa, tuplaklikkaa tiedostoa SmitfraudFix.exe Valitse optio #2 - Clean kirjoittamalla 2 ja painamalla "Enter" poistaaksesi tarttuneet tiedostot. Sinulta kysytään: "Registry cleaning - Do you want to clean the registry ?"; vastaa "Yes" kirjoittamalla Y ja paina "Enter" poistaaksesi työpöydän taustakuvan ja puhdistaaksesi tarttuneet rekisteriavaimet. Työkalu tarkistaa jos wininet.dll on tarttunut. Sinua saatetaan pyytää korvaamaan tarttunut .dll (jos löytyy); vastaa "Yes" kirjoittamalla Y ja painamalla "Enter". Työkalun saattaa tarvita käynnistää kone uudelleen; jos ei tee niin, käynnistä normaaliin Windowsiin. Tekstitiedosto ilmestyy, puhdistusprosessin jäljiltä; kopioi & liitä tämän raportin tulokset vastaukseesi. Raportti löytyy paikalliselta levyltäsi, useimmiten C:\rapport.txt. ***** Laita molempien kohtien lokit sekä uusin combofixin loki.. ***** Tee tääkin viel Ajetaanpas blacklightia. Lataa ja tallenna Blacklight työpöydällesi; Tupla-klikkaa fsbl.exe, hyväksy sopimus, klikkaa -> Scan, sitten -> Next Näet listan kaikesta mitä löytyi. Työpöydällesi myös ilmestyy loki jonka nimi on fsbl.xxxxxxx.log (xxxxxxx;n tilalla on luultavimmin numeroita). Kopioi ja liitä tämä loki seuraavaan vastaukseesi. Älä valitse "Rename" optiota vielä! Haluamme nähdä login ensin, koska hyviä tiedostoja saattaa olla mukana, kuten "wbemtest.exe".
Tässäpä näitä lokeja: Smitfraud ennen puhdistusta: SmitFraudFix v2.171 Scan done at 22:29:25,03, pe 27.04.2007 Run from C:\Documents and Settings\J„rjestelm„valvoja\Ty”p”yt„\SmitfraudFix OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Norman\Npm\bin\ELOGSVC.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Norman\Npm\Bin\Zanda.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\DAEMON Tools\daemon.exe C:\Norman\Npm\bin\ZLH.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE C:\Norman\Nvc\BIN\NIP.EXE C:\Norman\Npf\BIN\npfmsg2.exe C:\WINDOWS\System32\svchost.exe C:\Norman\Npm\bin\NJEEVES.EXE C:\Norman\Nvc\BIN\NVCSCHED.EXE C:\Norman\Nvc\bin\nvcoas.exe C:\WINDOWS\System32\alg.exe C:\Norman\Nvc\bin\cclaw.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\msiexec.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\qzviz.dll FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\J„rjestelm„valvoja »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\J„rjestelm„valvoja\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOCUME~1\ALLUSE~1\KYNNIS~1\Online Security Guide.url FOUND ! C:\DOCUME~1\ALLUSE~1\KYNNIS~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JRJEST~1\Suosikit C:\DOCUME~1\JRJEST~1\Suosikit\Online Security Test.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Nykyinen kotisivu" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{bd0fc212-0a36-4232-83cc-2063fb9282e0}"="curdler" [HKEY_CLASSES_ROOT\CLSID\{bd0fc212-0a36-4232-83cc-2063fb9282e0}\InProcServer32] @="C:\WINDOWS\system32\qzviz.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{bd0fc212-0a36-4232-83cc-2063fb9282e0}\InProcServer32] @="C:\WINDOWS\system32\qzviz.dll" »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32 »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Realtek RTL8139 Family PCI Fast Ethernet NIC #2 - Paketinajoituksen miniportti DNS Server Search Order: 212.146.0.10 DNS Server Search Order: 212.146.30.200 HKLM\SYSTEM\CCS\Services\Tcpip\..\{28CC937F-E285-4D60-8450-BD546DCA5109}: DhcpNameServer=212.146.0.10 212.146.30.200 HKLM\SYSTEM\CS1\Services\Tcpip\..\{28CC937F-E285-4D60-8450-BD546DCA5109}: DhcpNameServer=212.146.0.10 212.146.30.200 HKLM\SYSTEM\CS2\Services\Tcpip\..\{F91508BA-6F5B-46F0-9DB4-4E0FAA1AB4C4}: DhcpNameServer=212.146.30.200 212.146.30.201 HKLM\SYSTEM\CS3\Services\Tcpip\..\{28CC937F-E285-4D60-8450-BD546DCA5109}: DhcpNameServer=212.146.0.10 212.146.30.200 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.146.0.10 212.146.30.200 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.146.0.10 212.146.30.200 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.146.30.200 212.146.30.201 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.146.0.10 212.146.30.200 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Smitfraud puhdistuksen jälkeen: SmitFraudFix v2.171 Scan done at 22:42:25,20, pe 27.04.2007 Run from C:\Documents and Settings\J„rjestelm„valvoja\Ty”p”yt„\SmitfraudFix OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{bd0fc212-0a36-4232-83cc-2063fb9282e0}"="curdler" [HKEY_CLASSES_ROOT\CLSID\{bd0fc212-0a36-4232-83cc-2063fb9282e0}\InProcServer32] @="C:\WINDOWS\system32\qzviz.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{bd0fc212-0a36-4232-83cc-2063fb9282e0}\InProcServer32] @="C:\WINDOWS\system32\qzviz.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri C:\WINDOWS\system32\qzviz.dll -> Hoax.Win32.Renos.gen.l C:\WINDOWS\system32\qzviz.dll -> Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\DOCUME~1\ALLUSE~1\KYNNIS~1\Online Security Guide.url Deleted C:\DOCUME~1\ALLUSE~1\KYNNIS~1\Security Troubleshooting.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{28CC937F-E285-4D60-8450-BD546DCA5109}: DhcpNameServer=212.146.0.10 212.146.30.200 HKLM\SYSTEM\CS1\Services\Tcpip\..\{28CC937F-E285-4D60-8450-BD546DCA5109}: DhcpNameServer=212.146.0.10 212.146.30.200 HKLM\SYSTEM\CS2\Services\Tcpip\..\{F91508BA-6F5B-46F0-9DB4-4E0FAA1AB4C4}: DhcpNameServer=212.146.30.200 212.146.30.201 HKLM\SYSTEM\CS3\Services\Tcpip\..\{28CC937F-E285-4D60-8450-BD546DCA5109}: DhcpNameServer=212.146.0.10 212.146.30.200 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.146.0.10 212.146.30.200 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.146.0.10 212.146.30.200 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.146.30.200 212.146.30.201 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.146.0.10 212.146.30.200 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Uusin ComboFix (Smitfraudin jälkeen): "J„rjestelm„valvoja" - 07-04-27 22:45:36 Service Pack 2 ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\J„rjestelm„valvoja\Ty”p”yt„\" ((((((((((((((((((((((((((((((( Files Created from 2007-03-27 to 2007-04-27 )))))))))))))))))))))))))))))))))) 2007-04-27 22:41 524,288 --ah----- C:\DOCUME~1\JRJEST~2\NTUSER.DAT 2007-04-27 22:41 <KANSIO> dr------- C:\DOCUME~1\JRJEST~2\K„ynnist„-valikko 2007-04-27 22:41 <KANSIO> d--h----- C:\DOCUME~1\JRJEST~2\Verkkoymp„rist” 2007-04-27 22:41 <KANSIO> d--h----- C:\DOCUME~1\JRJEST~2\Tulostinymp„rist” 2007-04-27 22:41 <KANSIO> d--h----- C:\DOCUME~1\JRJEST~2\Mallit 2007-04-27 22:41 <KANSIO> d-------- C:\DOCUME~1\JRJEST~2\Ty”p”yt„ 2007-04-27 22:41 <KANSIO> d-------- C:\DOCUME~1\JRJEST~2\Suosikit 2007-04-27 22:29 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-04-27 22:29 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-04-27 22:29 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-04-27 22:29 1,520 --a------ C:\WINDOWS\system32\tmp.reg 2007-04-27 22:08 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-04-21 19:36 <KANSIO> d-------- C:\DOCUME~1\NETWOR~1\K„ynnist„-valikko 2007-04-09 20:45 <KANSIO> d-------- C:\Program Files\VentSrv 2007-04-09 19:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2007-04-07 21:06 65,536 --a------ C:\WINDOWS\IFinst27.exe 2007-04-04 19:51 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll 2007-04-04 19:51 <KANSIO> d-------- C:\DOCUME~1\JRJEST~1\APPLIC~1\Command & Conquer 3 Tiberium Wars Demo 2007-03-30 16:35 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2007-03-30 16:34 <KANSIO> d-------- C:\DOCUME~1\JRJEST~1\APPLIC~1\Leadertech 2007-03-29 18:23 18,488 --a------ C:\WINDOWS\system32\drivers\nvcw32mf.sys 2007-03-29 18:16 <KANSIO> d-------- C:\Norman (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-27 22:45 5 --a------ C:\NPF_USER.DAT 2007-04-27 17:55 -------- d-------- C:\Program Files\spybot 2007-04-27 17:11 -------- d-------- C:\Program Files\steam 2007-04-25 23:54 -------- d-------- C:\DOCUME~1\JRJEST~1\APPLIC~1\skype 2007-04-09 19:40 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys 2007-04-09 19:34 -------- d--h----- C:\Program Files\installshield installation information 2007-04-08 18:03 -------- d-------- C:\Program Files\mirc 2007-04-02 22:29 -------- d-------- C:\Program Files\azureus 2007-03-29 18:10 -------- d-------- C:\Program Files\norman 2007-03-25 09:51 75610 --a------ C:\WINDOWS\system32\perfc00b.dat 2007-03-25 09:51 375602 --a------ C:\WINDOWS\system32\perfh00b.dat 2007-03-17 16:44 292864 --a------ C:\WINDOWS\system32\winsrv.dll 2007-03-08 18:38 578048 --a------ C:\WINDOWS\system32\user32.dll 2007-03-08 18:37 40960 --a------ C:\WINDOWS\system32\mf3216.dll 2007-03-08 18:37 281600 --a------ C:\WINDOWS\system32\gdi32.dll 2007-03-08 18:34 1843840 --a------ C:\WINDOWS\system32\win32k.sys 2007-02-05 23:19 185344 --a------ C:\WINDOWS\system32\upnphost.dll 2007-02-05 20:10 88 -r-hs---- C:\WINDOWS\system32\1a7e79f7a1.sys 2007-02-05 20:10 3350 --ahs---- C:\WINDOWS\system32\kgygaavl.sys (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\Spybot\SDHelper.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "DAEMON Tools"="\"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033" "ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\CLIStart.exe\"" "Norman ZANDA"="C:\\Norman\\Npm\\bin\\ZLH.EXE /LOAD /SPLASH" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Skype" "hkey"="HKCU" "command"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSystemAnalyzer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SMSystemAnalyzer" "hkey"="HKCU" "command"="\"C:\\Program Files\\iolo\\System Mechanic Professional 6\\SMSystemAnalyzer.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=dword:00000003 "SoundMAX Agent Service (default)"=dword:00000002 "PDSched"=dword:00000002 "PDEngine"=dword:00000003 "ATI Smart"=dword:00000002 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-04-27 22:48:15 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-27 22:48:18 C:\ComboFix-quarantined-files.txt ... 07-04-27 22:48 C:\ComboFix2.txt ... 07-04-27 22:08 Ja Vielä Blacklight-logi 04/27/07 22:51:18 [Info]: BlackLight Engine 1.0.61 initialized 04/27/07 22:51:18 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/27/07 22:51:18 [Note]: 7019 4 04/27/07 22:51:18 [Note]: 7005 0 04/27/07 22:52:04 [Note]: 7006 0 04/27/07 22:52:04 [Note]: 7011 1688 04/27/07 22:52:04 [Note]: 7026 0 04/27/07 22:52:04 [Note]: 7026 0 04/27/07 22:52:06 [Note]: FSRAW library version 1.7.1021 04/27/07 22:58:09 [Note]: 2000 1012 04/27/07 22:58:09 [Note]: 2000 1012 04/27/07 23:00:24 [Note]: 7007 0
1,Lataa AVG Anti-Spyware 7.5 ja tallenna ohjelma työpöydällesi. Jos sinulla on jo kyseinen ohjelma siirry suoraan kohtaan 2! [*]Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa. [*]Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää. 2. [*]Käynnistä AVG eAnti-Spyware. [*]Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta. [*]Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa. [*]Paina hetken kuluttua uudestaan "Start Update" , jos päivitykset eivät heti onnistu [*]Jos automaattipäivitys ei jostain syystä toimi, niin tunnisteet voi ladata manuaalisesti http://www.ewido.net/en/download/updates/ -linkin takaa. [*]Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti. [*]Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine". [*]Sitten "Reports" valikon alta: [*]Laita täppi kohtaan "Automatically generate report after every scan" [*]Ota täppi pois kohdasta"Only if threats were found" [*]Sitten klikkaa "Shield" kuvaketta ikkunan ylälaidassa [*]"Resident shield is", muuta tila active:sta inactive:ksi [*]Sulje ohjelma, ÄLÄ skannaa vielä. Käynnistä tietokone vikasietotilaan: 1. Käynnistä tietokone uudelleen. 2. Kun tietokone käynnistyy, paina F8-näppäintä. 3. Näyttöön tulee erilaisia käynnistysvaihtoehtoja. 4. Valitse näppäimistön nuolinäppäinten avulla Vikasietotila. 5. Paina ENTER-näppäintä. HUOM! Älä käytä muita ohjelmia AVG skannauksen aikana, tämä saattaa häiritä skannausta. [*]Kun vikasietotilassa, käynnistä AVG Anti-Spyware. [*]Klikkaa "Scanner" kuvaketta ikkunan ylälaidassa ja valitse "Scan" välilehti. Sitten klikkaa "Complete System Scan". [*]AVG aloittaa nyt tietokoneen skannaamisen, ole kärsivällinen sillä skannaus vie aikaa. Kun skannaus on valmis: TÄRKEÄÄ : Älä klikkaa "Save Scan Report" ennen kuin klikkaat "Apply all Actions" [*]Varmistu, että Set all elements to: näyttää Quarantine (1), jos ei, klikkaa linkkiä ja valitse Quarantine popup-valikosta. [*]Sinulta kysytään mitä tehdä jos infektioita löytyi, valitse silloin "Apply all actions" [*]Sitten klikkaa "Reports" kuvaketta ohjelma yläosasta. [*]Klikkaa "Save report as" painiketta ikkunan vasemmassa alalaidassa ja tallenna raportti työpöydälle. [*]Sulje ohjelma, käynnistä kone normaalisti ja lähetä AVG:n raportti viestiketjuusi. *********** Avaa Oma tietokone -> Tee seuraava toimenpide kaikille Paikallisille levyille ********* Lataa tuosta CCleaner ja asenna se: http://ccleaner.com/download/downloadpage.aspx?1 Kun asennat tätä ohjelmaa niin älä asenna sen mukana tulevaa yahoo-toolbaria. Tämä ohjelma etsii ja poistaa ns. turhia tiedostoja koneeltasi eli esim: temp tiedostot ja tällä saat myös puhdistettua rekisterisi. -korjaa automaattisesti tiedostojärjestelmän virheet¨ -etsi ja yritä korjata virheelliset sektorit ***** Jos sinulla ei ole tätä java versiota (6.1): Javan päivitys ja välimuistin tyhjennys: 1. Klikkaa Käynnistä -> Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa. 2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... ) Niissä pitäisi olla seuraava kuva vieressä: 3. Valitse kaikki entiset Java versiosi ja valitse Poista. 4. Asenna uusin Java päivitys seuraavasta linkistä.. 5. Käynnistä kone uudelleen asennuksen jälkeen: http://java.sun.com/javase/downloads/index.jsp Rullaa alas kohteeseen Java Runtime Environment (JRE) 6u1 Paina Download Ruksaa Accept, ota offline installation, tallenna vaikka työpöydälle ja asenna se. 6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi). 7. General Settings -osion alla, vedä liukusäädintä (Disk Space) pienemmälle, ja klikkaa Delete Files -nappia. (Jotkut javapohjaiset ohjelmat saattavat tarvita enemmän levytilaa. Jos huomaat säädön pienentämisen jälkeen koneessa hitautta, siirrä liukusäädintä isommalle). 8. Varmista että kaikki kaksi valintaa ovat rastitettuja: *Applications and Applets *Trace and Log Files Ja paina OK -nappia 9. Klikkaa OK "Temporary Files Settings" -ikkunassasi. 10. Klikkaa OK jättääksesi Java asetusikkunasi. ********* Uusi Hijackthis logi ja onko ongelmia?
Tässäpä vielä AVG-loki ja viimeisin hjt-loki. Enää ei ongelmia vaikuttaisi olevan. Suunnattoman paljon kiitoksia Auttaja:lle!! AVG-loki --------------------------------------------------------- AVG Anti-Spyware - Scan Report --------------------------------------------------------- + Created at: 11:13:46 28.4.2007 + Scan result: C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP281\A0092108.dll -> Downloader.Agent.bkd : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP276\A0086200.exe -> Downloader.Zlob.auo : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP281\A0088962.exe -> Downloader.Zlob.auo : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP281\A0088964.exe -> Downloader.Zlob.auo : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP281\A0088966.dll -> Downloader.Zlob.avb : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP274\A0085540.dll -> Downloader.Zlob.bov : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP274\A0085615.dll -> Downloader.Zlob.bov : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP274\A0085628.dll -> Downloader.Zlob.bov : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP276\A0085805.dll -> Downloader.Zlob.bov : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP276\A0086170.dll -> Downloader.Zlob.bov : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP276\A0086183.dll -> Downloader.Zlob.bov : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP281\A0088963.exe -> Downloader.Zlob.bov : Cleaned with backup (quarantined). C:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP281\A0088967.dll -> Downloader.Zlob.bov : Cleaned with backup (quarantined). D:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP252\A0075711.exe -> Logger.Ardamax.b : Cleaned with backup (quarantined). D:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP252\A0075617.exe -> Trojan.Obfuscated.en : Cleaned with backup (quarantined). D:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP252\A0075616.exe/td.exe -> Worm.Agent.v : Cleaned with backup (quarantined). D:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP252\A0075616.exe/zgo.exe -> Worm.Agent.v : Cleaned with backup (quarantined). D:\System Volume Information\_restore{6B459F36-3B89-43D5-ADF0-F8BEED3C84BB}\RP252\A0075616.exe/run.exe -> Worm.VB.njc : Cleaned with backup (quarantined). ::Report end Hjt-loki Logfile of HijackThis v1.99.1 Scan saved at 14:18:55, on 28.4.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Norman\Npm\bin\ELOGSVC.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Norman\Npm\Bin\Zanda.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\DAEMON Tools\daemon.exe C:\Norman\Npm\bin\ZLH.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE C:\Norman\Nvc\BIN\NIP.EXE C:\Norman\Npf\BIN\npfmsg2.exe C:\Norman\Npm\bin\NJEEVES.EXE C:\Norman\Nvc\BIN\NVCSCHED.EXE C:\Norman\Nvc\bin\nvcoas.exe C:\WINDOWS\System32\alg.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Norman\Nvc\bin\cclaw.exe C:\WINDOWS\System32\msiexec.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150034352515 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman Type-R - Unknown owner - C:\Program Files\Norman\Npf\BIN\NPFSVICE.EXE (file missing) O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
nää voi viel fixata R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) loki kunnossa Pysy puhtaana -> Tyhjennä järjestelmänpalautus Ohjeet Tyhjennä järjestelmänpalautuskansio ja luo uusi palautuspiste. Tämä puhdistaa palautuskansion mahdollisista haittaohjelmajäännöksistä. -> Käytä CCleaneria -> CCleaner Lataa ja asenna CCleaner. Puhdista väliaikaistiedostot ja -kansiot ohjelmalla säännöllisesti. -> Asenna SpywareBlaster -> SpywareBlaster SpywareBlaster estää haittaohjelmia asentumasta koneellesi. Ei kuluta muistia! Opas saatavilla suomeksi! Nimimerkki Ad-Awaren opas -> Asenna MVPS Hosts tiedosto -> MVPS Hosts Estää koneesi yhteyden haitallisiin sivustoihin. Opas saatavilla suomeksi! Nimimerkki Axelin opas -> Vaihda selaimesi Firefoxiin -> Firefox Firefox on nopeampi, turvallisempi ja parempi selain kuin Internet Explorer. -> Pidä järjestelmäsi ajantasalla. -> Windows Update Vieraile Windows Updatessa säännöllisesti. -> Pidä palomuuri ja virustorjunta ajantasalla Päivitä ja skannaa koneesi säännöllisesti virustorjuntaohjelmallasi. ja hyvä myös escan http://koti.mbnet.fi/pattaya1/escanmwav.htm ->Pidä ohjelmistosi ajantasalla. -> Secunia Software Inspector Secunia Software Inspector tutkii sinun järjestälmäsi ja ohjelmistosi puuttuvien turvallisuuspäivityksien osalta. Tavallinen tutkinta kestää normaalisti 5-40 sekuntia, kun läpikotainen (thorough system inspection) voi kestää useita minuutteja. ->Seuraa säännöllisesti viestintäviraston tietoja uusista haavoittuvuuksista -> CERT-FI
