Trojan Horse Downloader Generic7/HJT

AVG löysi koneeltani trojanin ja poisti sen. Onkohan todella näin onnellisesti, että se todella hävisi. Tein skannauksen sitten sen jälkeen Vikasietotilassa/ei mitään ja käynnistin koneen uudelleen, eikä se löytänyt virusta. Tämä on vanha kone ja minulla on käytössä myös läppäri, jossa XP. Siitä sain juuri poistettua Winudspm:in, joten voiko tämä poistua näin helposti??? Ilmeisesti molemmat virukset tulleet tuon mesen kautta, vaikka tässä vanhassa koneessa ei olekaan live-versiota siitä.
Tässä HJT, jos joku voisi tarkistaa sen. Minusta siinä ei näyttäisi olevan mitään erikoista, mutta en ole mikään asiantuntija

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:13:54, on 10.6.2008
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\OHJELMATIEDOSTOT\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\ACRONIS\SCHEDULE2\SCHEDUL2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\DIGITAL DASHBOARD\CPQMLDET.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASY ACCESS BUTTON SUPPORT\STARTEAK.EXE
C:\COMPAQ\EAKDRV\EAUSBKBD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\OHJELMATIEDOSTOT\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\OHJELMATIEDOSTOT\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\OHJELMATIEDOSTOT\GRISOFT\AVG FREE\AVGCC.EXE
C:\OHJELMATIEDOSTOT\GRISOFT\AVG FREE\AVGEMC.EXE
C:\OHJELMATIEDOSTOT\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\E_S5I0C1.EXE
C:\COMPAQ\CPQINET\CPQINET.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
D:\OMAT TIEDOSTOT\TERHI\TRUEIMAGEMONITOR.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\ACRONIS\SCHEDULE2\SCHEDHLP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE
C:\OHJELMATIEDOSTOT\EPSON\EPSON CARDMONITOR\EPSON CARDMONITOR1.2.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\OHJELMATIEDOSTOT\GRISOFT\AVG FREE\AVGWB.DAT
C:\OHJELMATIEDOSTOT\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\NOTEPAD.EXE
D:\OMAT TIEDOSTOT\TERHI\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/...rchredir2.dll?c=3c00&lc=040b&s=search&ap=b204
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mtv3.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://elisa.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/...rchredir2.dll?c=2C01&lc=040b&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/...rchredir2.dll?c=3c00&lc=040b&s=search&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mtv3.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\OHJELMATIEDOSTOT\MSN APPS\MSN TOOLBAR\01.02.5000.1021\FI\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\OHJELMATIEDOSTOT\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\OHJELMATIEDOSTOT\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\OMATTI~1\TERHI\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\OHJELMATIEDOSTOT\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [WCOLOREAL] C:\Ohjelmatiedostot\COMPAQ\COLOREAL\COLOREAL.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Digital Dashboard] C:\Ohjelmatiedostot\Compaq\Digital Dashboard\CPQMLDET.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Ohjelmatiedostot\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Ohjelmatiedostot\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Ohjelmatiedostot\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Ohjelmatiedostot\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\OHJELM~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\OHJELM~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\OHJELM~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\OHJELM~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\SYSTEM\E_S5I0C1.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "D:\Omat tiedostot\Terhi\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [SmcService] C:\OHJELMATIEDOSTOT\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [Acronis Scheduler2 Service] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Acronis\Schedule2\schedul2.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE" /background (User 'Default user')
O4 - .DEFAULT Startup: EPSON CardMonitor.lnk = C:\Ohjelmatiedostot\epson\EPSON CardMonitor\EPSON CardMonitor1.2.exe (User 'Default user')
O4 - Startup: EPSON CardMonitor.lnk = C:\Ohjelmatiedostot\epson\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Palvelut - {A97E290C-110E-4CA9-81E5-83E256927706} - http://service.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: Tuki - {92696FB8-5BF8-407C-9E65-FC18032DFEFC} - http://tuki.elisa.net/ (file missing) (HKCU)
O9 - Extra button: SMS-viesti - {D2231FD1-E5E8-473B-8E02-729627B07072} - http://sms.kolumbus.fi/ (file missing) (HKCU)
O12 - Plugin for .mpg: C:\OHJELM~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\OHJELM~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\OHJELM~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://elisa.net/
O15 - Trusted Zone: www.luukku.com
O15 - Trusted Zone: www6.luukku.com
O15 - Trusted Zone: *.NALLE PUH.pps
O15 - Trusted Zone: *.pandasoftware.fi
O15 - Trusted Zone: *.musicbrigade.com
O15 - Trusted Zone: *.mtv3.fi
O15 - Trusted Zone: *.pandasoftware.com
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

--
End of file - 9707 bytes

 

Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi.

Käynnistä koneesi vikasietotilaan:

sammuta ja käynnistä
käynnistyksen yhteydessä hakkaa F8 nappia
valitse nuolinäppäimellä vikasietotila
paina enter ja enter
valitse käyttäjätilisi
paina kyllä

Jossakin koneissa hakataan F8:sin sijasta F5:tä

" Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
" Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
" Paina Y käynnistääksesi skriptin.
" Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
" Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
" Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
" Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
" Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
" Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis:n lokin kera.

===========

Escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.

Laita virus log tänne.

 

Hei taas!
Yritin tuota SDFixiä, mutta ilmoittaa, kun käynnistän tuon RunThis.batin, että komento tai tiedostonimi ei kelpaa. Syntaksivirhe.
Yritän nyt uudelleen ladata sen ja vikasietotilassa tehdä sen skannauksen, josko nyt onnistuisi. Teen sitten vain tuon Escanin, jos tuo SDFix ei onnistu vaiko jonkun muun sitten sen tilalla?!?!?

 

jätä tuo sdfix ajo ja aja tuo escan

 

Escan oli puhdas! Eli voinko nyt olla huoletta? Koskahan tuonne meseen uskaltaa kirjautua? Tyttäret käyvät jo kärsimättömiksi, kun en ole päästänyt heitä menemään sinne ollenkaan.

 

juu anna mennä meseen mutta linkejä ei kannata aukoa eikä kaverilta tulluta juttua ladata.

 

Todella paljon kiitoksia avusta! Olette siellä kullan arvoisia "heppuja". Toivottavasti vaan ei kovin montaa kertaa näissä merkeissä tarvitse yhteyksiä ottaa. Tsemppiä vaan teille sinne kaikille meitä "tavallisia" ihmisiä autellessanne!!! Haleja!!