troijat kävi ja lähti - kone sekaisin edelleen

bonfire81 · Feb 19, 2009

Nyt alkaa tilanne olla sellainen, että kohta menee koko kone formatointiin ja kaikki uusikisi.

Pari päivää sitten f-secure ilmoitti troijalaisesta ja sen jälkeen on kone ollut välillä enemmän, välillä vähemmän tasapainoton. Alussa kone ei pysynyt edes käynnissä muutamaa sekuntia pidempään ilman vikasietotilaa. No, f-secure lähti koneelta vilkkaasti ja tilalle Avast. Palomuuriksi otin Zonealarmin. Näiden ja Malwarebytes´Anti-Malwsaren, Ccleanerin sekä ATF-cleanerin avulla sain koneen joten kuten jaloilleen.

Huomasin kuitenkin, että esim. Bioshock -pelisovellus ei enää suostunut käynnistymään kaiken tämän jälkeen, vaan Windows ilmoittaa virhettä. Yritin pelin uudelleen asennusta, mutta turhaan.

Vähän ajan kuluttua netin käyttö (Firevox) alkoi hidastua ja kohta ZoneAlarm -palomuuri kaatui eikä enää suostunut edes käynnistymään. Yritin uudelleenasennusta, turhaan. Sen jälkeen koitin Spygatea, mutta sama tulos. Kun palomuurin yrittää käynnistää, ei tapahdu mitään eikä sovellus ole päällä itsetäänkään.

Avast ja Malware on skannattu moneen kertaan läpi, kuten ccleaner. Tulokset näyttää nollaa ja siltä osin pitäisi tilanteen olla ok. Onko siis näin, että käyneet troijalaiset ehti tehdä sen verran vahinkoa, että systeemi on parempi panna alusta kuin yrittää enää puhdistella?

Vielä sen verran, että kun Windowns käynnistyy, ruutuun tulee error-ilmoitus: MOM.exe - sovellusvirhe: Sovelluksen alustus epäonnistui (0xc000007b)

Sekä Avastin varoitukset (4kpl): Mail scanner warning (eri protocoleilla ei pystytä skannaamaan sähköpostiliikennettä)

Tässä vielä HJT:n loki perään...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:50, on 19.2.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Sygate\SPF\smc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [High Definition Audio -ominaisuussivun pikakuvake] HDAShCut.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [jrcahkys.exe] C:\WINDOWS\jrcahkys.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1233556276562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1233556617562
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4654 bytes

Hujo · Feb 19, 2009

Lataa Malwarebytes' Anti-Malware työpöydällesi.

1. Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
2. Lopuksi varmistu, että seuraavat on valittu: Update Malwarebytes', Anti-Malwareja
Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaaFinish.
3. Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
4. Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
5. Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
6. Varmistu, että kaikki on merkitty ja klikkaa Remove Selected.
7. Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki
löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application
Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
8. Lähetä lokin sisältö seuraavassa viestissäsi

===============

1.Lataa Combofix.exe työpöydällesi yhdestä linkistä:
Combofix1
Combofix2

älä asenna palutus consolia
2. Tuplaklikkaa Combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

================

Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi.

Käynnistä koneesi vikasietotilaan:

sammuta ja käynnistä
käynnistyksen yhteydessä hakkaa F8 nappia
valitse nuolinäppäimellä vikasietotila
paina enter ja enter
valitse käyttäjätilisi
paina kyllä

Jossakin koneissa hakataan F8:sin sijasta F5:tä

" Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
" Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
" Paina Y käynnistääksesi skriptin.
" Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
" Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
" Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
" Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
" Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
" Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis:n lokin kera.

bonfire81 · Feb 20, 2009

Anti-Malwaren päivitys ei onnistu koneelta, koska verkkoyhteys ei pelaa (on hävinnyt kokonaan verkkoyhteyksistä). Versio on kuitenkin muuten uusin.

ANTIMALWAREN LOKI:

Malwarebytes' Anti-Malware 1.34
Tietokantaversio: 1749
Windows 5.1.2600 Service Pack 3

20.2.2009 9:17:01
mbam-log-2009-02-20 (09-17-01).txt

Tarkistustyyppi: Täysi tarkistus (C:\|E:\|)
Tarkistetut kohteet: 113745
Kulunut aika: 21 minute(s), 12 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 0

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
(Haitallisia kohteita ei löydetty)

Combofix varoittaa f-securen toimivan edelleen koneella, vaikka se on poistettu ajat sitten. Avastin poistin varuilta combofixin siitä herjattua.

COMBOFIX-LOKI:

ComboFix 09-02-18.01 - Järjestelmänvalvoja 2009-02-20 9:31:35.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1035.18.3327.2846 [GMT 2:00]
Sijainti: c:\documents and settings\Järjestelmänvalvoja\Työpöytä\ComboFix.exe
AV: F-Secure Client Security 8.00 *On-access scanning enabled* (Updated)
FW: *disabled*
* Uusi palautuspiste luotu

VAROITUS - PALAUTUSKONSOLIA EI OLE ASENNETTU !!
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Järjestelmänvalvoja\reader_s.exe
c:\windows\system32\pthreadGC2.dll

.
((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-01-20 to 2009-02-20 )))))))))))))))))
.

2009-02-20 08:51 . 2009-02-20 08:51 <KANSIO> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-20 08:51 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-20 08:51 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-19 10:41 . 2004-10-15 18:32 83,096 --a------ c:\windows\system32\SSSensor.dll
2009-02-19 10:41 . 2004-10-15 18:17 60,496 --a------ c:\windows\system32\drivers\Teefer.sys
2009-02-19 10:41 . 2004-10-15 18:18 21,075 --a------ c:\windows\system32\drivers\wpsdrvnt.sys
2009-02-19 10:41 . 2004-10-15 18:32 14,568 --a------ c:\windows\system32\drivers\wg6n.sys
2009-02-19 10:41 . 2004-10-15 18:32 14,568 --a------ c:\windows\system32\drivers\wg5n.sys
2009-02-19 10:41 . 2004-10-15 18:32 14,568 --a------ c:\windows\system32\drivers\wg4n.sys
2009-02-19 10:41 . 2004-10-15 18:32 14,568 --a------ c:\windows\system32\drivers\wg3n.sys
2009-02-19 10:40 . 2009-02-19 10:40 <KANSIO> d-------- c:\program files\Sygate
2009-02-19 10:40 . 2009-02-19 10:40 <KANSIO> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-02-18 18:20 . 2009-02-19 08:38 <KANSIO> d-------- c:\program files\SUPERAntiSpyware
2009-02-18 18:20 . 2009-02-19 08:38 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\SUPERAntiSpyware.com
2009-02-18 18:20 . 2009-02-18 18:20 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-02-18 16:04 . 2009-02-18 16:04 <KANSIO> d-------- C:\lexmark
2009-02-17 20:50 . 2009-02-19 10:36 <KANSIO> d-------- c:\windows\system32\ZoneLabs
2009-02-17 20:50 . 2009-02-17 20:50 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-02-17 20:50 . 2004-04-27 04:40 11,264 --a------ c:\windows\system32\SpOrder.dll
2009-02-17 20:50 . 2009-02-19 10:25 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-02-17 20:50 . 2009-02-19 10:33 335 --a------ c:\windows\system32\vsconfig.xml
2009-02-17 20:48 . 2009-02-19 10:36 <KANSIO> d-------- c:\windows\Internet Logs
2009-02-17 19:38 . 2009-02-17 19:38 137,760 --a------ c:\windows\system32\drivers\ethdrmld.sys
2009-02-17 19:38 . 2009-02-17 19:38 0 --a------ c:\windows\system32\1D.tmp
2009-02-17 19:36 . 2009-02-17 19:38 164,132 --a------ c:\windows\system32\14.tmp
2009-02-17 19:28 . 2009-02-17 19:28 <KANSIO> d-------- C:\rsit
2009-02-17 18:40 . 2009-02-17 18:40 <KANSIO> d-------- c:\program files\Alwil Software
2009-02-17 18:40 . 2003-03-18 22:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
2009-02-17 18:40 . 2003-03-18 21:14 499,712 --a------ c:\windows\system32\MSVCP71.dll
2009-02-17 18:40 . 2003-02-21 05:42 348,160 --a------ c:\windows\system32\MSVCR71.dll
2009-02-17 16:11 . 2009-02-17 16:11 <KANSIO> d-------- c:\program files\CCleaner
2009-02-17 15:25 . 2009-02-17 15:25 <KANSIO> d-------- c:\windows\ERUNT
2009-02-17 15:11 . 2009-02-17 15:11 <KANSIO> d-------- c:\program files\Trend Micro
2009-02-17 13:52 . 2009-02-17 13:52 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\Malwarebytes
2009-02-17 13:52 . 2009-02-17 13:52 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-17 13:29 . 2009-02-17 13:32 163,300 --a------ c:\windows\system32\13.tmp
2009-02-17 13:28 . 2009-02-17 13:28 67 --a------ c:\windows\wininit.ini
2009-02-17 13:07 . 2009-02-17 13:07 128 --a------ c:\windows\adobe.bat
2009-02-17 13:04 . 2009-02-17 13:06 163,300 --a------ c:\windows\system32\10.tmp
2009-02-17 13:02 . 2009-02-17 13:02 15,613 --a------ c:\windows\system32\84.tmp
2009-02-17 13:02 . 2009-02-17 13:02 172 --a------ c:\windows\system32\82.tmp
2009-02-17 13:01 . 2009-02-17 13:01 0 --a------ c:\windows\system32\80.tmp
2009-02-17 13:01 . 2009-02-17 13:01 0 --a------ c:\windows\system32\7F.tmp
2009-02-17 09:57 . 2009-02-17 09:57 <KANSIO> d-------- c:\program files\Common Files\Webroot Shared
2009-02-17 09:39 . 2009-02-17 09:39 44 --a------ c:\windows\system32\Partizan.RRI
2009-02-17 09:30 . 2009-02-17 09:30 <KANSIO> d-------- c:\windows\RestoreSafeDeleted
2009-02-17 09:16 . 2009-02-17 09:16 <KANSIO> d-------- c:\program files\Greatis
2009-02-17 09:16 . 2009-02-17 09:16 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\Regrun
2009-02-17 09:16 . 2009-02-17 09:34 <KANSIO> d-------- C:\backreg
2009-02-17 09:16 . 2003-09-06 15:55 57,556 --a------ c:\windows\guard.bmp
2009-02-16 20:13 . 2009-02-17 09:47 <KANSIO> d-------- c:\program files\Webroot
2009-02-16 20:13 . 2009-02-17 09:47 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\Webroot
2009-02-16 20:12 . 2004-04-28 22:51 61,440 --a------ c:\windows\Unwash5.exe
2009-02-16 19:36 . 2009-02-16 19:48 137,408 --a------ c:\windows\system32\drivers\ETHXFUYA.del
2009-02-16 19:36 . 2009-02-17 13:04 67,072 ---h----- c:\windows\system32\secupdat.dat
2009-02-16 19:36 . 2009-02-16 19:48 47,104 --a------ c:\windows\system32\READER_S.del
2009-02-16 19:36 . 2009-02-16 19:36 616 --a------ c:\windows\system32\21B.tmp
2009-02-16 19:35 . 2009-02-17 09:23 89,388 --a------ c:\windows\system32\drivers\DFE89076.del
2009-02-16 19:34 . 2009-02-16 19:34 168 --a------ c:\windows\system32\36.tmp
2009-02-16 19:33 . 2009-02-16 19:33 2 --a------ C:\-129928067
2009-02-16 19:18 . 2009-02-16 19:18 <KANSIO> d-------- c:\program files\Lexmark_HostCD
2009-02-16 19:18 . 2009-02-16 19:18 <KANSIO> d-------- c:\program files\Lexmark
2009-02-16 19:18 . 2009-02-06 09:07 20,152 --a------ c:\windows\system32\LMabpmui.chm
2009-02-16 19:18 . 2009-02-16 19:18 5,267 --a------ c:\windows\system32\LexFiles.ulf
2009-02-16 19:18 . 2008-01-15 11:31 1,976 --a------ c:\windows\system32\LMab.loc
2009-02-16 18:52 . 2009-02-16 18:52 <KANSIO> d-------- c:\windows\SHELLNEW(2)
2009-02-16 18:38 . 2009-02-17 10:02 <KANSIO> d-------- C:\MSOCache(2)
2009-02-16 18:38 . 2009-02-17 10:02 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-14 10:39 . 2009-02-14 10:39 <KANSIO> dr-h----- c:\documents and settings\Järjestelmänvalvoja\Application Data\SecuROM
2009-02-14 10:39 . 2009-02-16 18:09 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\Bioshock
2009-02-14 10:38 . 2009-02-14 10:38 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2009-02-14 10:27 . 2005-05-26 15:34 2,297,552 --a------ c:\windows\system32\d3dx9_26.dll
2009-02-14 08:29 . 2009-02-14 08:29 <KANSIO> d-------- c:\program files\ifolor
2009-02-14 08:29 . 2009-02-14 08:29 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\ifolor
2009-02-14 08:29 . 2009-02-14 08:29 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\ifolor
2009-02-13 19:28 . 2009-02-13 19:28 <KANSIO> d-------- c:\program files\URUSoft
2009-02-13 19:24 . 2009-02-13 19:24 <KANSIO> d-------- c:\program files\MONOGRAM AMR SplitterDecoder
2009-02-13 19:24 . 2009-02-13 19:24 <KANSIO> d-------- c:\program files\DScaler5
2009-02-13 19:24 . 2009-02-13 19:24 <KANSIO> d-------- c:\program files\CD Audio Reader Filter
2009-02-13 19:24 . 2009-02-18 18:46 <KANSIO> d-------- c:\program files\AC3Filter
2009-02-13 19:23 . 2009-02-13 19:23 <KANSIO> d-------- c:\program files\SHOUTcast Source
2009-02-13 19:23 . 2009-02-13 19:23 <KANSIO> d-------- c:\program files\RealMedia
2009-02-13 19:23 . 2009-02-13 19:23 <KANSIO> d-------- c:\program files\OpenSource Flash Video Splitter
2009-02-13 19:23 . 2009-02-13 19:23 <KANSIO> d-------- c:\program files\Haali
2009-02-13 19:22 . 2009-02-13 19:22 <KANSIO> d-------- c:\program files\ffdshow
2009-02-13 19:22 . 2009-02-13 19:22 <KANSIO> d-------- c:\program files\DSP-worx
2009-02-13 19:22 . 2008-12-17 19:22 57,344 --a------ c:\windows\system32\ff_vfw.dll
2009-02-13 19:22 . 2008-12-11 13:27 547 --a------ c:\windows\system32\ff_vfw.dll.manifest
2009-02-13 19:21 . 2009-02-13 19:21 <KANSIO> d-------- c:\program files\DirectVobSub
2009-02-13 19:20 . 2009-02-13 19:21 <KANSIO> d-------- c:\program files\Zoom Player
2009-02-13 19:20 . 2009-02-13 19:40 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Zoom Player
2009-02-13 18:22 . 2009-02-13 18:22 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\ACD Systems
2009-02-13 18:21 . 2009-02-13 18:21 <KANSIO> d-------- c:\program files\Common Files\ACD Systems
2009-02-13 18:21 . 2009-02-13 18:21 <KANSIO> d-------- c:\program files\ACD Systems
2009-02-13 18:21 . 2009-02-13 18:21 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\ACD Systems
2009-02-13 18:06 . 2009-02-18 16:42 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\skypePM
2009-02-13 18:06 . 2009-02-13 18:06 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-02-13 18:03 . 2009-02-13 18:03 <KANSIO> dr------- c:\program files\Skype
2009-02-13 18:03 . 2009-02-13 18:03 <KANSIO> d-------- c:\program files\Common Files\Skype
2009-02-13 18:03 . 2009-02-18 18:35 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\Skype
2009-02-13 18:03 . 2009-02-13 18:03 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Skype
2009-02-13 15:31 . 2009-02-13 15:31 <KANSIO> d-------- c:\program files\Common Files\Adobe
2009-02-13 15:29 . 2009-02-13 21:00 <KANSIO> d-------- c:\program files\NOS
2009-02-13 15:29 . 2009-02-13 21:01 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\NOS
2009-02-12 19:20 . 2003-03-16 00:15 110,592 --a------ c:\windows\unvise32.exe
2009-02-12 19:17 . 2009-02-18 17:04 <KANSIO> d-------- C:\Pelit
2009-02-12 19:14 . 2009-02-12 19:14 <KANSIO> d-------- c:\program files\DAEMON Tools
2009-02-12 19:12 . 2009-02-12 19:14 223,128 --a------ c:\windows\system32\drivers\dtscsi.sys
2009-02-12 19:03 . 2009-02-12 19:03 664,064 --a------ c:\windows\system32\drivers\sptd.sys
2009-02-12 19:03 . 2009-02-12 19:03 96,384 --a------ c:\windows\system32\drivers\SPTD4525.del
2009-02-12 09:30 . 2009-02-18 18:31 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\BitTorrent
2009-02-12 09:29 . 2009-02-12 09:29 <KANSIO> d-------- c:\program files\DNA
2009-02-12 09:29 . 2009-02-12 09:29 <KANSIO> d-------- c:\program files\BitTorrent
2009-02-12 09:29 . 2009-02-12 10:17 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\DNA
2009-02-11 19:07 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-11 19:07 . 2008-04-13 20:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2009-02-11 12:48 . 2009-02-11 19:12 <KANSIO> d-------- C:\ati
2009-02-11 12:23 . 2009-02-17 14:17 <KANSIO> d-------- c:\program files\Spybot - Search & Destroy
2009-02-11 12:23 . 2009-02-17 14:23 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-11 12:21 . 2009-02-11 12:21 0 --a------ c:\windows\nsreg.dat
2009-02-11 12:11 . 2009-02-11 12:11 33,408 --a------ c:\windows\system32\drivers\FSBTS.del
2009-02-11 12:06 . 2009-02-17 13:18 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\F-Secure
2009-02-11 12:05 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-11 12:05 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-11 11:06 . 2009-02-11 11:06 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\ATI

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-11 09:01 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-02 08:50 --------- d-----w c:\program files\microsoft frontpage
2009-02-02 08:50 --------- d-----w c:\program files\Analog Devices
2009-02-02 08:35 --------- d-----w c:\program files\Common Files\InstallShield
2008-12-31 03:14 466,944 ----a-w c:\windows\system32\softcoin.dll
2008-12-31 03:14 344,064 ----a-w c:\windows\system32\gencoin.dll
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
.

------- Sigcheck -------

2004-09-14 15:12 31744 c0a39b3d710e9dd2bb6c369f980d82ac c:\windows\$NtServicePackUninstall$\svchost.exe
2008-04-14 18:12 31232 05d083bc572ed94235ea20a7d29ff734 c:\windows\ServicePackFiles\i386\svchost.exe
2008-04-14 18:12 31232 093dfa46932a8d4e8f0a123e0187ce6d c:\windows\system32\svchost.exe

2008-04-14 18:12 1051136 46e58cae384a6eafe4e0b6b23f910154 c:\windows\explorer.exe
2007-06-13 15:10 1051136 4fed6a21f1509f1ba9c54b91f093a0b9 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 15:22 1050624 eae86f1b134b9752b9a752d59244a8ea c:\windows\$NtServicePackUninstall$\explorer.exe
2004-09-14 15:12 1050112 cd9d0e56f74a6da9b81f2c2854474876 c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 18:12 1051648 e09b88ccb72d2f43dbb0644f49367b04 c:\windows\ServicePackFiles\i386\explorer.exe

2004-09-14 15:12 32768 9b43e5f441500a95b2abfd69d7feedfa c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 18:12 32768 1e3b7d716f2f755739f6ae914fb8392a c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 18:12 32256 081a9a4f70c023758717c7575c523bad c:\windows\system32\ctfmon.exe

2005-06-11 02:17 75264 beadaff85c162c82eda22ddb73d4073c c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 01:53 74752 c7f7e74ecaed0705d72e99b335874e12 c:\windows\$NtServicePackUninstall$\spoolsv.exe
2004-09-14 15:12 74752 90a3bc3e4f9361a6e8c12667c5aa0210 c:\windows\$NtUninstallKB896423$\spoolsv.exe
2008-04-14 18:12 74752 5b430e0f5a8d1f673241b7b230634c9f c:\windows\ServicePackFiles\i386\spoolsv.exe
2008-04-14 18:12 74752 2d5a7e7d5c25fbdb2eda7fd67968695b c:\windows\system32\spoolsv.exe

2004-09-14 15:12 41984 e79f1e6bd4d7cdb9fd706f4a0870c3b3 c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 18:12 43520 d07173764c118dd46a05081edf8d35cf c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 18:12 43520 3a40a91ca77533380562681126148637 c:\windows\system32\userinit.exe
.
(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 32256]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1712640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 163840]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2007-01-13 151552]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-01-13 184320]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2007-01-13 155648]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 81920]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"High Definition Audio -ominaisuussivun pikakuvake"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 32256]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2009-02-11 89600]
S1 ethdrmld;ethdrmld;c:\windows\system32\drivers\ethdrmld.sys [2009-02-17 137760]
S3 hqkbogne;hqkbogne;\??\c:\windows\System32\Drivers\hqkbogne.sys --> c:\windows\System32\Drivers\hqkbogne.sys [?]
S3 vahcxasd;vahcxasd;\??\c:\windows\System32\Drivers\vahcxasd.sys --> c:\windows\System32\Drivers\vahcxasd.sys [?]
S3 yobdrdda;yobdrdda;\??\c:\windows\System32\Drivers\yobdrdda.sys --> c:\windows\System32\Drivers\yobdrdda.sys [?]
.
- - - - POISTETUT JÄMÄRIVIT - - - -

HKLM-Run-Device Detector - DevDetect.exe
HKU-Default-Run-jrcahkys.exe - c:\windows\jrcahkys.exe
SafeBoot-cpribyyo.sys
SafeBoot-ghpggxjo.sys
SafeBoot-pzcoahvs.sys

.
------- Täydentävä tarkistus -------
.
FF - ProfilePath - c:\documents and settings\Järjestelmänvalvoja\Application Data\Mozilla\Firefox\Profiles\fajdbc2j.default\
FF - prefs.js: browser.startup.homepage - google.fi
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 09:32:59
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- LUKITUT REKISTERIAVAIMET ---------------------

[HKEY_USERS\Administrator\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:74,3e,89,ba,9f,60,41,5b,91,dc,80,e1,ea,7f,f3,76,c1,ae,57,d7,08,7e,47,
de,67,2a,1e,5b,a1,35,09,0c,33,cc,33,a7,da,f6,d8,e3,d1,16,08,8a,27,2d,40,3f,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\�•€|ÿÿÿÿ"•€|þ»Ów*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"
.
--------------------- Prosesseihin ladatut DLLt ---------------------

- - - - - - - > 'winlogon.exe'(316)
c:\windows\system32\Ati2evxx.dll
.
Valmistumisajankohta: 2009-02-20 9:33:58
ComboFix-quarantined-files.txt 2009-02-20 07:33:55

Ennen ajoa: 52 928 626 688 tavua vapaana
Ajon jälkeen: 52,915,974,144 tavua vapaana

251 --- E O F --- 2009-02-12 07:09:45

SDFIX-LOKI:

SDFix: Version 1.240
Run by Järjestelmänvalvoja on pe 20.02.2009 at 09:48

Microsoft Windows XP [versio 5.1.2600]
Running From: C:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\-12992~1 - Deleted
C:\WINDOWS\system32\21B.tmp - Deleted
C:\WINDOWS\system32\10.tmp - Deleted
C:\WINDOWS\system32\13.tmp - Deleted
C:\WINDOWS\system32\14.tmp - Deleted
C:\WINDOWS\system32\1D.tmp - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 09:53:50
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:4f,28,06,b3,83,c2,6d,21,90,15,c4,a0,e0,a1,cb,4c,86,a3,86,b1,62,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,66,08,c8,db,3f,70,5f,3c,c2,5e,70,54,f6,2f,88,74,08,..
"khjeh"=hex:ce,38,96,ee,be,dc,0a,eb,62,f9,b2,e6,5b,cd,94,82,38,8e,3a,00,41,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:77,d8,20,fb,7a,7e,25,d1,7d,83,ae,33,39,60,09,dd,93,f2,c7,b7,d6,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:4f,28,06,b3,83,c2,6d,21,90,15,c4,a0,e0,a1,cb,4c,86,a3,86,b1,62,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,66,08,c8,db,3f,70,5f,3c,c2,5e,70,54,f6,2f,88,74,08,..
"khjeh"=hex:ce,38,96,ee,be,dc,0a,eb,62,f9,b2,e6,5b,cd,94,82,38,8e,3a,00,41,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:77,d8,20,fb,7a,7e,25,d1,7d,83,ae,33,39,60,09,dd,93,f2,c7,b7,d6,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:EnabledNA"
"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabledshell32.dll,-1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"

Remaining Files :

File Backups: - C:\DOCUME~1\JRJEST~1\TYPYT~1\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 2 Feb 2009 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 17 Feb 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5e8a8c4e3fdc3a6b3a3ac1083accf81e\BIT3.tmp"
Mon 16 Feb 2009 7,629 ...HR --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Application Data\SecuROM\UserData\securom_v7_01.bak"
Sun 22 Apr 2007 26,112 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL0293.tmp"
Sun 22 Apr 2007 25,088 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL0471.tmp"
Sun 22 Apr 2007 24,576 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL0543.tmp"
Sun 22 Apr 2007 27,136 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL0579.tmp"
Sun 22 Apr 2007 25,088 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL1078.tmp"
Sun 22 Apr 2007 27,136 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL1196.tmp"
Sun 22 Apr 2007 28,160 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL1438.tmp"
Sun 22 Apr 2007 28,160 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL1454.tmp"
Sun 22 Apr 2007 25,088 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL1475.tmp"
Sun 22 Apr 2007 25,088 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL1576.tmp"
Sun 22 Apr 2007 24,576 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL1929.tmp"
Sun 22 Apr 2007 26,112 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL1939.tmp"
Sun 22 Apr 2007 24,064 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL2393.tmp"
Sun 22 Apr 2007 24,064 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL2472.tmp"
Sun 22 Apr 2007 25,600 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL2489.tmp"
Sun 22 Apr 2007 24,064 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL2686.tmp"
Sun 22 Apr 2007 28,160 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL2842.tmp"
Sun 22 Apr 2007 27,136 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL3043.tmp"
Sun 22 Apr 2007 25,088 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL3473.tmp"
Sun 22 Apr 2007 25,600 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL3583.tmp"
Sun 22 Apr 2007 27,136 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\K„ytt„j„koulutus\~WRL4065.tmp"
Wed 5 Mar 2008 24,064 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2008\Tulevaisuuden kirjasto - virtuaalikirjasto\~WRL0003.tmp"
Wed 5 Mar 2008 24,064 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2008\Tulevaisuuden kirjasto - virtuaalikirjasto\~WRL0005.tmp"
Mon 26 Feb 2007 1,463,296 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL0002.tmp"
Mon 12 Mar 2007 1,469,440 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL1405.tmp"
Mon 12 Mar 2007 1,465,344 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL1621.tmp"
Mon 12 Mar 2007 1,463,808 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL1809.tmp"
Mon 12 Mar 2007 1,469,952 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL2027.tmp"
Mon 12 Mar 2007 1,469,952 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL2062.tmp"
Mon 12 Mar 2007 1,463,808 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL2316.tmp"
Mon 12 Mar 2007 1,463,808 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL2323.tmp"
Mon 12 Mar 2007 1,463,808 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL2409.tmp"
Mon 12 Mar 2007 1,469,952 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL2548.tmp"
Mon 12 Mar 2007 1,465,344 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\kirjastojen tietotekniikka_mkamula\~WRL3008.tmp"
Fri 17 Nov 2006 45,568 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjastotradenomi 2006-2007\2006-2007 - koulussa tehdyt\Tilastollinen Tutkimus\SPSS\~WRL3277.tmp"
Tue 9 May 2006 19,968 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL0005.tmp"
Tue 9 May 2006 20,992 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL0425.tmp"
Tue 9 May 2006 22,016 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL0569.tmp"
Tue 9 May 2006 23,040 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL0582.tmp"
Tue 9 May 2006 20,480 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL0944.tmp"
Tue 9 May 2006 22,016 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL1005.tmp"
Tue 9 May 2006 23,040 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL1108.tmp"
Tue 9 May 2006 22,016 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL1207.tmp"
Tue 9 May 2006 22,528 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL1446.tmp"
Tue 9 May 2006 22,016 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL1452.tmp"
Tue 9 May 2006 22,528 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL2089.tmp"
Tue 9 May 2006 22,016 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL2339.tmp"
Tue 9 May 2006 22,016 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL2710.tmp"
Tue 9 May 2006 23,552 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL2804.tmp"
Tue 9 May 2006 23,040 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL2821.tmp"
Tue 9 May 2006 22,016 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL2859.tmp"
Tue 9 May 2006 23,040 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL2899.tmp"
Tue 9 May 2006 23,040 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL2920.tmp"
Tue 9 May 2006 22,528 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL2943.tmp"
Tue 9 May 2006 21,504 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL2944.tmp"
Wed 3 May 2006 27,648 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL3059.tmp"
Tue 9 May 2006 20,992 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL3060.tmp"
Tue 9 May 2006 21,504 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL3640.tmp"
Tue 9 May 2006 20,480 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL3651.tmp"
Tue 9 May 2006 20,480 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL3764.tmp"
Tue 9 May 2006 23,040 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL3995.tmp"
Tue 9 May 2006 23,040 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL4009.tmp"
Tue 9 May 2006 21,504 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL4033.tmp"
Tue 9 May 2006 22,016 A..H. --- "C:\Documents and Settings\J„rjestelm„nvalvoja\Omat tiedostot\Omat Tekstit\Asiaa\Kirjasto tradenomi 2005-2006\Koulussa tehdyt 2005-2006\2005-2006\4. jakso\Ru†tti\~WRL4070.tmp"

Finished!

HIJACKTHIS-LOKI:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:58:51, on 20.2.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\Sygate\SPF\smc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [High Definition Audio -ominaisuussivun pikakuvake] HDAShCut.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1233556276562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1233556617562
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 3740 bytes

Hujo · Feb 20, 2009

pistähän avast takasin koneelle.

bonfire81 · Feb 20, 2009

Jeps, laitettu on. Nyt näkyy jopa tietoturvakeskuksessa taas suojausten perustiedot, missä f-secure näkyy edelleen. Täytynee yrittää muuttaa avast oletus-torjunnaksi siihen.

Hujo · Feb 20, 2009

Nyt tuon alla olevan lainauksen sisällön Kopioit / liität Tyhjään muistioon
käynnistä nappi >apuohjelmat > muistio

Folder::
c:\documents and settings\Järjestelmänvalvoja\Application Data\F-Secure
c:\windows\system32\ZoneLabs
c:\program files\Spybot - Search & Destroy
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

Click to expand...

Tallenna se nimellä CFScript.txt työpöydälle

Sitten raahaa CFScript ComboFix.exeen kuten alla.

combofix työstää tulee sininen taulu paina numeroa 1 ja enter

Laita tuleva loki tänne.

Sammutat ja käynnistät koneen

==============

Luo poistolista:
• Avaa HiJackThis
• Klikkaa "Configure" valintaa oikealla alhaalla
• Klikkaa "Misc Tools"
• Klikkaa boxia joka sanoo "Uninstall Manager"
• Klikkaa valintaa "Save list"
• Kopioi ja liitä kyseinen lista muistiosta ketjuusi

bonfire81 · Feb 20, 2009

Siirsin CFScript -muistion combofix.exen päälle, jolloin Avast ilmoitti virusta (win32: junkpoly). Myös Combofixin työstön aikana Avast ilmoitti viruksesta (joku exe c:\combofix -kansiossa). En missään vaiheessa painanut 1 ja enter, koska combofix ei mitään kysynyt, enkä viitsinyt kesken prosessin alkaa painelemaan.

TÄSSÄ LOKI:

ComboFix 09-02-18.01 - Järjestelmänvalvoja 2009-02-20 15:37:03.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1035.18.3327.2939 [GMT 2:00]
Sijainti: c:\documents and settings\Järjestelmänvalvoja\Työpöytä\ComboFix.exe
Käytetyt komentorivivalitsimet :: c:\documents and settings\Järjestelmänvalvoja\Työpöytä\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090205-1] *On-access scanning enabled* (Outdated)
AV: F-Secure Client Security 8.00 *On-access scanning enabled* (Updated)
FW: *disabled*
* Uusi palautuspiste luotu

VAROITUS - PALAUTUSKONSOLIA EI OLE ASENNETTU !!
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\ProcCache.sbc
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallOverride.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinDelfuc.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinDelfuc1.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinDelfuc2.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinDelfuc3.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinJoleeeK.zip
c:\documents and settings\Järjestelmänvalvoja\Application Data\F-Secure
c:\documents and settings\Järjestelmänvalvoja\Application Data\F-Secure\System Control\flhist.bin
c:\program files\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy\advcheck.dll
c:\program files\Spybot - Search & Destroy\Help\Suomi.chm
c:\program files\Spybot - Search & Destroy\Help\Suomi.Resident.chm
c:\program files\Spybot - Search & Destroy\TeaTimer.exe
c:\windows\system32\ZoneLabs
c:\windows\system32\ZoneLabs\lib\pyd\_socket.pyd
c:\windows\system32\ZoneLabs\lib\pyd\pyexpat.pyd
c:\windows\system32\ZoneLabs\lib\pyd\pyvsinit.pyd
c:\windows\system32\ZoneLabs\lib\pyd\signedDll.pyd
c:\windows\system32\ZoneLabs\lib\pyd\zpui.pyd
c:\windows\system32\ZoneLabs\lib\zlsvc.zip.dll
c:\windows\system32\ZoneLabs\lib\zpy.zip.dll
c:\windows\system32\ZoneLabs\lib\zui.zip.dll
c:\windows\system32\ZoneLabs\plugins\rpc_server\rpc_server.dll
c:\windows\system32\ZoneLabs\plugins\vsmon_plugin\manifest.xml
c:\windows\system32\ZoneLabs\plugins\vsmon_plugin\vsmon_plugin.dll
c:\windows\system32\ZoneLabs\streamapi\httpblocker\httpblocker.dll
c:\windows\system32\ZoneLabs\streamapi\httpblocker\manifest.xml
c:\windows\system32\ZoneLabs\streamapi\imslsp\imslsp.dll
c:\windows\system32\ZoneLabs\streamapi\imslsp\manifest.xml
c:\windows\system32\ZoneLabs\ZLCommDB.xml

.
((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-01-20 to 2009-02-20 )))))))))))))))))
.

2009-02-20 09:47 . 2009-02-20 09:47 579,072 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-02-20 08:51 . 2009-02-20 08:51 <KANSIO> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-20 08:51 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-20 08:51 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-19 10:41 . 2004-10-15 18:32 83,096 --a------ c:\windows\system32\SSSensor.dll
2009-02-19 10:41 . 2004-10-15 18:17 60,496 --a------ c:\windows\system32\drivers\Teefer.sys
2009-02-19 10:41 . 2004-10-15 18:18 21,075 --a------ c:\windows\system32\drivers\wpsdrvnt.sys
2009-02-19 10:41 . 2004-10-15 18:32 14,568 --a------ c:\windows\system32\drivers\wg6n.sys
2009-02-19 10:41 . 2004-10-15 18:32 14,568 --a------ c:\windows\system32\drivers\wg5n.sys
2009-02-19 10:41 . 2004-10-15 18:32 14,568 --a------ c:\windows\system32\drivers\wg4n.sys
2009-02-19 10:41 . 2004-10-15 18:32 14,568 --a------ c:\windows\system32\drivers\wg3n.sys
2009-02-19 10:40 . 2009-02-19 10:40 <KANSIO> d-------- c:\program files\Sygate
2009-02-19 10:40 . 2009-02-19 10:40 <KANSIO> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-02-18 18:20 . 2009-02-19 08:38 <KANSIO> d-------- c:\program files\SUPERAntiSpyware
2009-02-18 18:20 . 2009-02-19 08:38 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\SUPERAntiSpyware.com
2009-02-18 18:20 . 2009-02-18 18:20 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-02-18 16:04 . 2009-02-18 16:04 <KANSIO> d-------- C:\lexmark
2009-02-17 20:50 . 2009-02-17 20:50 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-02-17 20:50 . 2004-04-27 04:40 11,264 --a------ c:\windows\system32\SpOrder.dll
2009-02-17 20:50 . 2009-02-19 10:25 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-02-17 20:50 . 2009-02-19 10:33 335 --a------ c:\windows\system32\vsconfig.xml
2009-02-17 20:48 . 2009-02-19 10:36 <KANSIO> d-------- c:\windows\Internet Logs
2009-02-17 19:38 . 2009-02-17 19:38 137,760 --a------ c:\windows\system32\drivers\ethdrmld.sys
2009-02-17 19:28 . 2009-02-17 19:28 <KANSIO> d-------- C:\rsit
2009-02-17 18:40 . 2009-02-17 18:40 <KANSIO> d-------- c:\program files\Alwil Software
2009-02-17 18:40 . 2003-03-18 22:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
2009-02-17 18:40 . 2003-03-18 21:14 499,712 --a------ c:\windows\system32\MSVCP71.dll
2009-02-17 18:40 . 2003-02-21 05:42 348,160 --a------ c:\windows\system32\MSVCR71.dll
2009-02-17 16:11 . 2009-02-17 16:11 <KANSIO> d-------- c:\program files\CCleaner
2009-02-17 15:25 . 2009-02-17 15:25 <KANSIO> d-------- c:\windows\ERUNT
2009-02-17 15:11 . 2009-02-17 15:11 <KANSIO> d-------- c:\program files\Trend Micro
2009-02-17 13:52 . 2009-02-17 13:52 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\Malwarebytes
2009-02-17 13:52 . 2009-02-17 13:52 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-17 13:28 . 2009-02-17 13:28 67 --a------ c:\windows\wininit.ini
2009-02-17 13:07 . 2009-02-17 13:07 128 --a------ c:\windows\adobe.bat
2009-02-17 13:02 . 2009-02-17 13:02 15,613 --a------ c:\windows\system32\84.tmp
2009-02-17 13:02 . 2009-02-17 13:02 172 --a------ c:\windows\system32\82.tmp
2009-02-17 13:01 . 2009-02-17 13:01 0 --a------ c:\windows\system32\80.tmp
2009-02-17 13:01 . 2009-02-17 13:01 0 --a------ c:\windows\system32\7F.tmp
2009-02-17 09:57 . 2009-02-17 09:57 <KANSIO> d-------- c:\program files\Common Files\Webroot Shared
2009-02-17 09:39 . 2009-02-17 09:39 44 --a------ c:\windows\system32\Partizan.RRI
2009-02-17 09:30 . 2009-02-17 09:30 <KANSIO> d-------- c:\windows\RestoreSafeDeleted
2009-02-17 09:16 . 2009-02-17 09:16 <KANSIO> d-------- c:\program files\Greatis
2009-02-17 09:16 . 2009-02-17 09:16 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\Regrun
2009-02-17 09:16 . 2009-02-17 09:34 <KANSIO> d-------- C:\backreg
2009-02-17 09:16 . 2003-09-06 15:55 57,556 --a------ c:\windows\guard.bmp
2009-02-16 20:13 . 2009-02-17 09:47 <KANSIO> d-------- c:\program files\Webroot
2009-02-16 20:13 . 2009-02-17 09:47 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\Webroot
2009-02-16 20:12 . 2004-04-28 22:51 61,440 --a------ c:\windows\Unwash5.exe
2009-02-16 19:36 . 2009-02-16 19:48 137,408 --a------ c:\windows\system32\drivers\ETHXFUYA.del
2009-02-16 19:36 . 2009-02-17 13:04 67,072 ---h----- c:\windows\system32\secupdat.dat
2009-02-16 19:36 . 2009-02-16 19:48 47,104 --a------ c:\windows\system32\READER_S.del
2009-02-16 19:35 . 2009-02-17 09:23 89,388 --a------ c:\windows\system32\drivers\DFE89076.del
2009-02-16 19:34 . 2009-02-16 19:34 168 --a------ c:\windows\system32\36.tmp
2009-02-16 19:18 . 2009-02-16 19:18 <KANSIO> d-------- c:\program files\Lexmark_HostCD
2009-02-16 19:18 . 2009-02-16 19:18 <KANSIO> d-------- c:\program files\Lexmark
2009-02-16 19:18 . 2009-02-06 09:07 20,152 --a------ c:\windows\system32\LMabpmui.chm
2009-02-16 19:18 . 2009-02-16 19:18 5,267 --a------ c:\windows\system32\LexFiles.ulf
2009-02-16 19:18 . 2008-01-15 11:31 1,976 --a------ c:\windows\system32\LMab.loc
2009-02-16 18:52 . 2009-02-16 18:52 <KANSIO> d-------- c:\windows\SHELLNEW(2)
2009-02-16 18:38 . 2009-02-17 10:02 <KANSIO> d-------- C:\MSOCache(2)
2009-02-16 18:38 . 2009-02-17 10:02 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-14 10:39 . 2009-02-14 10:39 <KANSIO> dr-h----- c:\documents and settings\Järjestelmänvalvoja\Application Data\SecuROM
2009-02-14 10:39 . 2009-02-16 18:09 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\Bioshock
2009-02-14 10:38 . 2009-02-14 10:38 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2009-02-14 10:27 . 2005-05-26 15:34 2,297,552 --a------ c:\windows\system32\d3dx9_26.dll
2009-02-14 08:29 . 2009-02-14 08:29 <KANSIO> d-------- c:\program files\ifolor
2009-02-14 08:29 . 2009-02-14 08:29 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\ifolor
2009-02-14 08:29 . 2009-02-14 08:29 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\ifolor
2009-02-13 19:28 . 2009-02-13 19:28 <KANSIO> d-------- c:\program files\URUSoft
2009-02-13 19:24 . 2009-02-13 19:24 <KANSIO> d-------- c:\program files\MONOGRAM AMR SplitterDecoder
2009-02-13 19:24 . 2009-02-13 19:24 <KANSIO> d-------- c:\program files\DScaler5
2009-02-13 19:24 . 2009-02-13 19:24 <KANSIO> d-------- c:\program files\CD Audio Reader Filter
2009-02-13 19:24 . 2009-02-18 18:46 <KANSIO> d-------- c:\program files\AC3Filter
2009-02-13 19:23 . 2009-02-13 19:23 <KANSIO> d-------- c:\program files\SHOUTcast Source
2009-02-13 19:23 . 2009-02-13 19:23 <KANSIO> d-------- c:\program files\RealMedia
2009-02-13 19:23 . 2009-02-13 19:23 <KANSIO> d-------- c:\program files\OpenSource Flash Video Splitter
2009-02-13 19:23 . 2009-02-13 19:23 <KANSIO> d-------- c:\program files\Haali
2009-02-13 19:22 . 2009-02-13 19:22 <KANSIO> d-------- c:\program files\ffdshow
2009-02-13 19:22 . 2009-02-13 19:22 <KANSIO> d-------- c:\program files\DSP-worx
2009-02-13 19:22 . 2008-12-17 19:22 57,344 --a------ c:\windows\system32\ff_vfw.dll
2009-02-13 19:22 . 2008-12-11 13:27 547 --a------ c:\windows\system32\ff_vfw.dll.manifest
2009-02-13 19:21 . 2009-02-13 19:21 <KANSIO> d-------- c:\program files\DirectVobSub
2009-02-13 19:20 . 2009-02-13 19:21 <KANSIO> d-------- c:\program files\Zoom Player
2009-02-13 19:20 . 2009-02-13 19:40 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Zoom Player
2009-02-13 18:22 . 2009-02-13 18:22 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\ACD Systems
2009-02-13 18:21 . 2009-02-13 18:21 <KANSIO> d-------- c:\program files\Common Files\ACD Systems
2009-02-13 18:21 . 2009-02-13 18:21 <KANSIO> d-------- c:\program files\ACD Systems
2009-02-13 18:21 . 2009-02-13 18:21 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\ACD Systems
2009-02-13 18:06 . 2009-02-18 16:42 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\skypePM
2009-02-13 18:06 . 2009-02-13 18:06 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-02-13 18:03 . 2009-02-13 18:03 <KANSIO> dr------- c:\program files\Skype
2009-02-13 18:03 . 2009-02-13 18:03 <KANSIO> d-------- c:\program files\Common Files\Skype
2009-02-13 18:03 . 2009-02-18 18:35 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\Skype
2009-02-13 18:03 . 2009-02-13 18:03 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\Skype
2009-02-13 15:31 . 2009-02-13 15:31 <KANSIO> d-------- c:\program files\Common Files\Adobe
2009-02-13 15:29 . 2009-02-13 21:00 <KANSIO> d-------- c:\program files\NOS
2009-02-13 15:29 . 2009-02-13 21:01 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\NOS
2009-02-12 19:20 . 2003-03-16 00:15 110,592 --a------ c:\windows\unvise32.exe
2009-02-12 19:17 . 2009-02-18 17:04 <KANSIO> d-------- C:\Pelit
2009-02-12 19:14 . 2009-02-12 19:14 <KANSIO> d-------- c:\program files\DAEMON Tools
2009-02-12 19:12 . 2009-02-12 19:14 223,128 --a------ c:\windows\system32\drivers\dtscsi.sys
2009-02-12 19:03 . 2009-02-12 19:03 664,064 --a------ c:\windows\system32\drivers\sptd.sys
2009-02-12 19:03 . 2009-02-12 19:03 96,384 --a------ c:\windows\system32\drivers\SPTD4525.del
2009-02-12 09:30 . 2009-02-18 18:31 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\BitTorrent
2009-02-12 09:29 . 2009-02-12 09:29 <KANSIO> d-------- c:\program files\DNA
2009-02-12 09:29 . 2009-02-12 09:29 <KANSIO> d-------- c:\program files\BitTorrent
2009-02-12 09:29 . 2009-02-12 10:17 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\DNA
2009-02-11 19:07 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-11 19:07 . 2008-04-13 20:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2009-02-11 12:48 . 2009-02-11 19:12 <KANSIO> d-------- C:\ati
2009-02-11 12:21 . 2009-02-11 12:21 0 --a------ c:\windows\nsreg.dat
2009-02-11 12:11 . 2009-02-11 12:11 33,408 --a------ c:\windows\system32\drivers\FSBTS.del
2009-02-11 12:05 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-11 12:05 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-11 11:06 . 2009-02-11 11:06 <KANSIO> d-------- c:\documents and settings\Järjestelmänvalvoja\Application Data\ATI
2009-02-11 11:06 . 2009-02-11 11:06 <KANSIO> d-------- c:\documents and settings\All Users\Application Data\ATI
2009-02-11 11:05 . 2009-02-11 11:05 <KANSIO> d-------- c:\program files\My Company Name
2009-02-11 11:05 . 2009-02-11 11:05 0 --a------ c:\windows\ativpsrm.bin
2009-02-11 11:01 . 2009-02-11 11:01 <KANSIO> d-------- c:\program files\Common Files\ATI Technologies
2009-02-11 10:59 . 2008-09-23 16:18 425,984 -ra------ c:\windows\system32\ATIDEMGX.dll
2009-02-11 10:59 . 2008-09-23 15:56 307,200 -ra------ c:\windows\system32\atiiiexx.dll
2009-02-11 10:59 . 2008-07-02 21:38 89,600 --a------ c:\windows\system32\drivers\AtiHdmi.sys
2009-02-11 10:59 . 2008-07-31 04:36 14,696 -ra------ c:\windows\atiogl.xml
2009-02-11 10:59 . 2007-08-31 03:20 7,167 -ra------ c:\windows\system32\atifglpf.xml

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-11 09:01 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-02 08:50 --------- d-----w c:\program files\microsoft frontpage
2009-02-02 08:50 --------- d-----w c:\program files\Analog Devices
2009-02-02 08:35 --------- d-----w c:\program files\Common Files\InstallShield
2008-12-31 03:14 466,944 ----a-w c:\windows\system32\softcoin.dll
2008-12-31 03:14 344,064 ----a-w c:\windows\system32\gencoin.dll
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
.

------- Sigcheck -------

2004-09-14 15:12 31744 c0a39b3d710e9dd2bb6c369f980d82ac c:\windows\$NtServicePackUninstall$\svchost.exe
2008-04-14 18:12 31232 05d083bc572ed94235ea20a7d29ff734 c:\windows\ServicePackFiles\i386\svchost.exe
2008-04-14 18:12 31232 093dfa46932a8d4e8f0a123e0187ce6d c:\windows\system32\svchost.exe

2008-04-14 18:12 1051136 46e58cae384a6eafe4e0b6b23f910154 c:\windows\explorer.exe
2007-06-13 15:10 1051136 4fed6a21f1509f1ba9c54b91f093a0b9 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 15:22 1050624 eae86f1b134b9752b9a752d59244a8ea c:\windows\$NtServicePackUninstall$\explorer.exe
2004-09-14 15:12 1050112 cd9d0e56f74a6da9b81f2c2854474876 c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 18:12 1051648 e09b88ccb72d2f43dbb0644f49367b04 c:\windows\ServicePackFiles\i386\explorer.exe

2004-09-14 15:12 32768 9b43e5f441500a95b2abfd69d7feedfa c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 18:12 32768 1e3b7d716f2f755739f6ae914fb8392a c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 18:12 32256 081a9a4f70c023758717c7575c523bad c:\windows\system32\ctfmon.exe

2005-06-11 02:17 75264 beadaff85c162c82eda22ddb73d4073c c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 01:53 74752 c7f7e74ecaed0705d72e99b335874e12 c:\windows\$NtServicePackUninstall$\spoolsv.exe
2004-09-14 15:12 74752 90a3bc3e4f9361a6e8c12667c5aa0210 c:\windows\$NtUninstallKB896423$\spoolsv.exe
2008-04-14 18:12 74752 5b430e0f5a8d1f673241b7b230634c9f c:\windows\ServicePackFiles\i386\spoolsv.exe
2008-04-14 18:12 74752 2d5a7e7d5c25fbdb2eda7fd67968695b c:\windows\system32\spoolsv.exe

2004-09-14 15:12 41984 e79f1e6bd4d7cdb9fd706f4a0870c3b3 c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 18:12 43520 d07173764c118dd46a05081edf8d35cf c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 18:12 43520 3a40a91ca77533380562681126148637 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-20_ 9.33.19,03 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 18:02:28 183,808 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 18:02:28 184,320 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2008-08-07 13:27:04 184,320 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2008-08-07 13:27:04 183,808 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE
- 2009-02-17 13:31:34 2,203,648 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2009-02-20 07:46:10 2,736,128 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\ntuser.dat
- 2009-02-17 13:31:34 36,864 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2009-02-20 07:46:10 36,864 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2009-02-05 21:11:35 1,256,296 ----a-w c:\windows\system32\aswBoot.exe
+ 2009-02-05 21:04:45 97,480 ----a-w c:\windows\system32\AvastSS.scr
- 2009-02-20 06:46:49 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-20 13:28:41 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-20 06:46:49 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Sivuhistoria\History.IE5\index.dat
+ 2009-02-20 13:28:41 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Sivuhistoria\History.IE5\index.dat
- 2009-02-20 06:46:49 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-20 13:28:41 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-05 21:05:11 26,944 ----a-w c:\windows\system32\drivers\aavmker4.sys
+ 2009-02-05 21:07:12 20,560 ----a-w c:\windows\system32\drivers\aswFsBlk.sys
+ 2009-02-05 21:08:19 93,296 ----a-w c:\windows\system32\drivers\aswmon.sys
+ 2009-02-05 21:08:10 94,032 ----a-w c:\windows\system32\drivers\aswmon2.sys
+ 2009-02-05 21:06:10 23,152 ----a-w c:\windows\system32\drivers\aswRdr.sys
+ 2009-02-05 21:07:23 114,768 ----a-w c:\windows\system32\drivers\aswSP.sys
+ 2009-02-05 21:06:20 51,376 ----a-w c:\windows\system32\drivers\aswTdi.sys
+ 2009-02-20 13:28:47 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_378.dat
.
(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 32256]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1712640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 163840]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2007-01-13 151552]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-01-13 184320]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2007-01-13 155648]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 81920]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"High Definition Audio -ominaisuussivun pikakuvake"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 32256]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2009-02-11 89600]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-02-20 114768]
S1 ethdrmld;ethdrmld;c:\windows\system32\drivers\ethdrmld.sys [2009-02-17 137760]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-02-20 20560]
S3 hqkbogne;hqkbogne;\??\c:\windows\System32\Drivers\hqkbogne.sys --> c:\windows\System32\Drivers\hqkbogne.sys [?]
S3 vahcxasd;vahcxasd;\??\c:\windows\System32\Drivers\vahcxasd.sys --> c:\windows\System32\Drivers\vahcxasd.sys [?]
S3 yobdrdda;yobdrdda;\??\c:\windows\System32\Drivers\yobdrdda.sys --> c:\windows\System32\Drivers\yobdrdda.sys [?]
.
.
------- Täydentävä tarkistus -------
.
FF - ProfilePath - c:\documents and settings\Järjestelmänvalvoja\Application Data\Mozilla\Firefox\Profiles\fajdbc2j.default\
FF - prefs.js: browser.startup.homepage - google.fi
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 15:38:32
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- LUKITUT REKISTERIAVAIMET ---------------------

[HKEY_USERS\Administrator\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:74,3e,89,ba,9f,60,41,5b,91,dc,80,e1,ea,7f,f3,76,c1,ae,57,d7,08,7e,47,
de,67,2a,1e,5b,a1,35,09,0c,33,cc,33,a7,da,f6,d8,e3,d1,16,08,8a,27,2d,40,3f,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\�•€|ÿÿÿÿ"•€|þ»Ów*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"
.
--------------------- Prosesseihin ladatut DLLt ---------------------

- - - - - - - > 'winlogon.exe'(316)
c:\windows\system32\Ati2evxx.dll
.
Valmistumisajankohta: 2009-02-20 15:39:53
ComboFix-quarantined-files.txt 2009-02-20 13:39:51
ComboFix2.txt 2009-02-20 07:33:59

Ennen ajoa: 52 816 826 368 tavua vapaana
Ajon jälkeen: 52,795,211,776 tavua vapaana

308 --- E O F --- 2009-02-12 07:09:45

LISTÄ SOVELLUKSISTA:

AC3Filter (remove only)
ACDSee Photo Manager 2009
Adobe Flash Player 10 Plugin
Adobe Reader 9 - Suomi
ATI AVIVO Codecs
ATI Catalyst Control Center
ATI Display Driver
ATI Parental Control & Encoder
ATI-ohjelmiston poisto-ohjelma
avast! Antivirus
Broken Sword - The Sleeping Dragon
Catalyst Control Center - Branding
CCleaner (remove only)
CD Audio Reader Filter (remove only)
DC-Bass Source 1.1.1
DirectVobSub (remove only)
DScaler 5 Mpeg Decoders
ffdshow [rev 2527] [2008-12-19]
Haali Media Splitter
High Definition Audio - KB888111
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix-korjauspäivitys Windows Media Player 11:lle (KB939683)
Hotfix-päivitys Windows Internet Explorer 7:lle (KB947864)
Hotfix-päivitys Windows XP:lle (KB952287)
ifolor Tilausohjelma 3.6
Intel(R) Graphics Media Accelerator Driver
Intel(R) Graphics Media Accelerator Driver
MadOnion.com/3DMark2001 SE
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Finnish Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - FIN
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - FIN
Microsoft .NET Framework 3.5 Language Pack SP1 - fin
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1:n kielitukipaketti - FI
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
MONOGRAM AMR Splitter/Decoder (remove only)
Mozilla Firefox (3.0.6)
OpenSource Flash Video Splitter (remove only)
Päivitys Windows XP:lle (KB951978)
Päivitys Windows XP:lle (KB955839)
RealMedia (remove only)
Realtek High Definition Audio Driver
SHOUTcast Source (remove only)
Skype™ 4.0
SoundMAX
Subtitle Workshop 2.51
Suojauspäivitys ohjelmistolle Windows XP (KB941569)
Suojauspäivitys Windows Internet Explorer 7:lle (KB938127)
Suojauspäivitys Windows Internet Explorer 7:lle (KB942615)
Suojauspäivitys Windows Internet Explorer 7:lle (KB944533)
Suojauspäivitys Windows Internet Explorer 7:lle (KB958215)
Suojauspäivitys Windows Internet Explorer 7:lle (KB960714)
Suojauspäivitys Windows Internet Explorer 7:lle (KB961260)
Suojauspäivitys Windows Media Player 11:lle (KB936782)
Suojauspäivitys Windows Media Player 11:lle (KB954154)
Suojauspäivitys Windows Media Playerille (KB952069)
Suojauspäivitys Windows XP:lle (KB923789)
Suojauspäivitys Windows XP:lle (KB938464)
Suojauspäivitys Windows XP:lle (KB946648)
Suojauspäivitys Windows XP:lle (KB950762)
Suojauspäivitys Windows XP:lle (KB950974)
Suojauspäivitys Windows XP:lle (KB951066)
Suojauspäivitys Windows XP:lle (KB951376-v2)
Suojauspäivitys Windows XP:lle (KB951698)
Suojauspäivitys Windows XP:lle (KB951748)
Suojauspäivitys Windows XP:lle (KB952954)
Suojauspäivitys Windows XP:lle (KB954211)
Suojauspäivitys Windows XP:lle (KB954459)
Suojauspäivitys Windows XP:lle (KB954600)
Suojauspäivitys Windows XP:lle (KB955069)
Suojauspäivitys Windows XP:lle (KB956391)
Suojauspäivitys Windows XP:lle (KB956802)
Suojauspäivitys Windows XP:lle (KB956803)
Suojauspäivitys Windows XP:lle (KB956841)
Suojauspäivitys Windows XP:lle (KB957097)
Suojauspäivitys Windows XP:lle (KB958644)
Suojauspäivitys Windows XP:lle (KB958687)
Suojauspäivitys Windows XP:lle (KB960715)
Sygate Personal Firewall
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP -päivitys (KB943729)
Windows XP Service Pack 3
WinRAR archiver
XML Paper Specification Shared Components Language Pack 1.0
Zoom Player (remove only)

Hujo · Feb 20, 2009

Mikäs on koneen toiminta

bonfire81 · Feb 20, 2009

Käynnistettäessä edelleen sama MOM.exe - sovellusvirhe (0xc000007b) sekä Avastin neljä virheilmoitusta (error 10050) liittyen s-postin skannaukseen. Palomuuri Sygate ei käynnisty lainkaan ja verkkoyhteyksissä ei näy mitään.

Poistin Sygaten ja asensin ZoneAlarmin uudestaan. Tulos sama, palomuuri ei käynnisty. Turvakeskuksessa näkyy edelleen virustorjuntana f-secure.

Eli ei edistystä koneen toiminnassa.

Noroi · Feb 20, 2009

Itselläni oli vanhan koneen kanssa (jossa ATI) tuo MOM.exe -error. Siitä pääsin eroon poistamalla näyttiksen ajurit ja lataamalla/asentamalla ne uusiksi.
Tämä tieto tosin saattaa olla sinulle kaikissa määrin hyödytön.

bonfire81 · Feb 20, 2009

Poistelin ajurit ja yrittäessäni asentaa uusinta ajuria sain ilmoituksen: "Asennusohjelman käynnistäminen ei onnistunut: Etäproseduurikutsun palvelin ei ole käytettävissä". Ainoastaan Control Centerin asennus lähti pyörimään, mutta hitaasti. Asennuksen jälkeen Control Center ei silti ole käytettävissä.

Error-ilmoitus käynnistettäessä tosin katosi, niin kuin sanoit. Ja jostain syystä myös Avastin error-ilmoitukset s-postin skannaukseen liittyen lähtivät pois.

Hujo · Feb 20, 2009

Päivitä Malwarebytes' Anti-Malware ja aja täysi scannaus

bonfire81 · Feb 21, 2009

Ykai saastunut näytti olevan Tämmönen olis loki:

Malwarebytes' Anti-Malware 1.34
Tietokantaversio: 1778
Windows 5.1.2600 Service Pack 3

21.2.2009 9:27:01
mbam-log-2009-02-21 (09-27-01).txt

Tarkistustyyppi: Täysi tarkistus (C:\|E:\|)
Tarkistetut kohteet: 115275
Kulunut aika: 21 minute(s), 15 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 1

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
C:\WINDOWS\system32\drivers\DFE89076.del (Rootkit.Agent) -> Quarantined and deleted successfully.

Hujo · Feb 21, 2009

Lataa GMER ja tallenna se työpöydällesi:

" Pura se työpöydälle ja tuplaklikkaa tiedostoa GMER.exe
" Klikkaa rootkit-välilehteä ja sitten klikkaa scan.
" Älä rastita "Show All" boksia skannauksen aikana!
" Kun skannaus on valmis, klikkaa Copy.
" Tämä kopioi lokin leikepöydälle (voit tallentaa lokin varmuuden vuoksi tekstitiedostoon).
" Liitä loki sitten viestiketjuusi

bonfire81 · Feb 21, 2009

Gmer.exe ei käynnisty. Windowns ilmoittaa virheestä ja pyytää lähettämään virheraportin.

Hujo · Feb 21, 2009

Escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.

Laita virus log tänne.

bonfire81 · Feb 21, 2009

Escanin purkamisen jälkeen saan eScanin Antivirus Toolkit Utilityn error-ilmoituksen: "Some of MWAV.EXE infected by virus!!! Try again..."

Päivitys-batin ajon jälkeen lopussa lukee mm. "update failed", ja sama yllä oleva error-ilmoitus kun eScan yrittää käynnistyä.

Eli ei taida onnistua tämäkään. Tiedostot ovat kyllä siirtyneet c:\kaspersky -kansioon, mutta ohjelma ei käynnisty.

Hujo · Feb 21, 2009

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe <--- nimeä uudelleen

Uudelleen nimeäminen

1. Klikkaa hiiren oikealla painikkeella HijackThis ikonia.

2. Valitse Uudelleennineä/ Rename.

3. Kirjoita scanner.exe

scannaa uusi hjt:n loki

bonfire81 · Feb 21, 2009

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:52, on 21.2.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [High Definition Audio -ominaisuussivun pikakuvake] HDAShCut.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-21-3993185670-2011734097-2445771630-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-3993185670-2011734097-2445771630-500\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1233556276562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1233556617562
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4327 bytes

Hujo · Feb 21, 2009

Nyt tuon alla olevan lainauksen sisällön Kopioit / liität Tyhjään muistioon
käynnistä nappi >apuohjelmat > muistio

File::
c:\windows\system32\84.tmp
c:\windows\system32\82.tmp
c:\windows\system32\80.tmp
c:\windows\system32\7F.tmp
c:\windows\system32\36.tmp
C:\WINDOWS\jrcahkys.exe

Click to expand...

Tallenna se nimellä CFScript.txt työpöydälle

Sitten raahaa CFScript ComboFix.exeen kuten alla.

combofix työstää tulee sininen taulu paina numeroa 1 ja enter

Laita tuleva loki tänne.

Sammutat ja käynnistät koneen

Log in or Sign up

troijat kävi ja lähti - kone sekaisin edelleen

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Noroi Member

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

Share This Page

Log in or Sign up

troijat kävi ja lähti - kone sekaisin edelleen

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Noroi Member

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

bonfire81 Member

Hujo Guest

Share This Page

Useful Searches