Trojan mitä teen

System idle process hyppii muutaman sekunnin välein 99-60.
Log:
Logfile of HijackThis v1.99.1
Scan saved at 17:19:15, on 31.3.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msdztsvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\msdxdfrg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Hjt\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\msdxdfrg.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Internet Protocol] C:\WINDOWS\system32\msdxdfrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Protocol] C:\WINDOWS\system32\msdxdfrg.exe
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142864135968
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142877789421
O21 - SSODL: IEFilter - {E36188CA-083B-4671-A12A-4128AC52FC0B} - C:\WINDOWS\system32\IEFilter.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Juuh meni vahingossa väärään paikkaan. Juu sen kyllä tiesin mutta aika outoo tasavälein käy 60? Tosi ärsyttävää.

 

Lataa Ewido http://keskustelu.afterdawn.com/thread_view.cfm/269186

Asenna ja päivitä se. ÄLÄ scannaa vielä.

Scannaa hijackthis:llä ja ruksaa:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\msdxdfrg.exe
O4 - HKLM\..\Run: [Internet Protocol] C:\WINDOWS\system32\msdxdfrg.exe
O4 - HKCU\..\Run: [Internet Protocol] C:\WINDOWS\system32\msdxdfrg.exe
O21 - SSODL: IEFilter - {E36188CA-083B-4671-A12A-4128AC52FC0B} - C:\WINDOWS\system32\IEFilter.dll

Sammuta muut ikkunat ja paina Fix checked.

Käynnistä kone vikasietotilaan ja etsi ja poista:

C:\WINDOWS\System32\msdztsvc.exe
C:\WINDOWS\system32\ >>msdxdfrg.exe
C:\WINDOWS\system32\ >>IEFilter.dll
C:\WINDOWS\system32\ >>MSIEHelper.dll <-jos löytyy
C:\WINDOWS\system32\ >>Service.exe <-jos löytyy TARKKANA tiedoston nimen kanssa.

Kaksi viimeistä: etsi myös "etsi" toiminnolla

Scannaa Ewidolla full system scan ja tallenna raportti.

Käynnistä kone normaalisti ja lähetä uusi hijackthis-loki ja Ewidon raportti.

 

Paljon kiitoksia, nyt toimii kone taas hyvin.


Hijac:
Logfile of HijackThis v1.99.1
Scan saved at 14:57:30, on 1.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Hjt\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe,msdxdfrg.exe,dmcow400.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\msdxdfrg.exe,C:\WINDOWS\system32\dmcow400.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Internet Protocol] C:\WINDOWS\system32\dmcow400.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142864135968
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142877789421
O21 - SSODL: Security Meeting - {FD5FC1D4-78CC-4441-9C06-F5113B2E1731} - C:\WINDOWS\system32\kbdlduzb.dll
O23 - Service: .NET Runtime Optimization Service v1.000.3.1434 - Unknown owner - C:\WINDOWS\System32\msdztsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ewido:
+ Created on: 14:53:02, 1.4.2006
+ Report-Checksum: F25041A1

+ Scan result:

:mozilla.9:C:\Documents and Settings\Anna\Application Data\Mozilla\Firefox\Profiles\jd5evpup.default\cookies.txt -> TrackingCookie.Adtech : Cleaned with backup
:mozilla.10:C:\Documents and Settings\Anna\Application Data\Mozilla\Firefox\Profiles\jd5evpup.default\cookies.txt -> TrackingCookie.Adtech : Cleaned with backup
:mozilla.39:C:\Documents and Settings\Anna\Application Data\Mozilla\Firefox\Profiles\jd5evpup.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.40:C:\Documents and Settings\Anna\Application Data\Mozilla\Firefox\Profiles\jd5evpup.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.51:C:\Documents and Settings\Anna\Application Data\Mozilla\Firefox\Profiles\jd5evpup.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned with backup
:mozilla.52:C:\Documents and Settings\Anna\Application Data\Mozilla\Firefox\Profiles\jd5evpup.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup
C:\Documents and Settings\Anna\Cookies\anna@affiliates.x10[1].txt -> TrackingCookie.X10 : Cleaned with backup
C:\Documents and Settings\Anna\Cookies\anna@c.enhance[1].txt -> TrackingCookie.Enhance : Cleaned with backup
C:\Documents and Settings\Anna\Cookies\anna@c.goclick[1].txt -> TrackingCookie.Goclick : Cleaned with backup
C:\Documents and Settings\Anna\Cookies\anna@highbeam.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup
C:\Documents and Settings\Anna\Cookies\anna@mars.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup
:mozilla.44:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.45:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.76:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned with backup
:mozilla.77:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Adtech : Cleaned with backup
:mozilla.78:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Adtech : Cleaned with backup
:mozilla.80:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.81:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.84:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Sextracker : Cleaned with backup
:mozilla.87:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup
:mozilla.88:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup
:mozilla.89:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup
:mozilla.90:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup
:mozilla.92:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.93:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.94:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.95:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.96:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.98:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Pointroll : Cleaned with backup
:mozilla.99:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Pointroll : Cleaned with backup
:mozilla.100:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Pointroll : Cleaned with backup
:mozilla.101:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Pointroll : Cleaned with backup
:mozilla.112:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Burstnet : Cleaned with backup
:mozilla.113:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Casalemedia : Cleaned with backup
:mozilla.114:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Casalemedia : Cleaned with backup
:mozilla.130:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Hotlog : Cleaned with backup
:mozilla.136:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup
:mozilla.144:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Overture : Cleaned with backup
:mozilla.145:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Overture : Cleaned with backup
:mozilla.146:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Paycounter : Cleaned with backup
:mozilla.150:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Qksrv : Cleaned with backup
:mozilla.151:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Qksrv : Cleaned with backup
:mozilla.161:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Tribalfusion : Cleaned with backup
:mozilla.167:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Yadro : Cleaned with backup
:mozilla.168:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Yadro : Cleaned with backup
:mozilla.181:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Tribalfusion : Cleaned with backup
:mozilla.192:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.193:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.194:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.195:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Reliablestats : Cleaned with backup
:mozilla.209:C:\Documents and Settings\Yleinen käyttäjä\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\cookies.txt -> TrackingCookie.Myaffiliateprogram : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@b.casalemedia[1].txt -> TrackingCookie.Casalemedia : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@burstnet[2].txt -> TrackingCookie.Burstnet : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@c.enhance[1].txt -> TrackingCookie.Enhance : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@c.goclick[1].txt -> TrackingCookie.Goclick : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@com[1].txt -> TrackingCookie.Com : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@data3.perf.overture[1].txt -> TrackingCookie.Overture : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@highbeam.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@microsofteup.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@microsoftwga.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@paypopup[2].txt -> TrackingCookie.Paypopup : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@perf.overture[1].txt -> TrackingCookie.Overture : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@tacoda[1].txt -> TrackingCookie.Tacoda : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Cookies\yleinen käyttäjä@web-stat[2].txt -> TrackingCookie.Web-stat : Cleaned with backup
C:\Documents and Settings\Yleinen käyttäjä\Local Settings\Application Data\Mozilla\Firefox\Profiles\vu6bfq0f.default\Cache\4B5B4AECd01/AktiveSekurity.ocx -> Not-A-Virus.VirTool.Win32.Collector : Cleaned with backup
C:\RECYCLER\S-1-5-21-1417001333-1532298954-2146970891-1003\Dc1.dll -> Trojan.Agent.fd : Cleaned with backup
C:\RECYCLER\S-1-5-21-1417001333-1532298954-2146970891-1003\Dc4.exe -> Backdoor.PPdoor.bc : Cleaned with backup
C:\WINDOWS\NDNuninstall7_22.exe -> Adware.NewDotNet : Cleaned with backup
D:\layouts\GDC.rar/GDCS.exe -> Worm.Mytob.bt : Cleaned with backup
D:\Program Files\Lightwave 8.0\crack\ssg-lw80.exe -> Trojan.Agent.jh : Cleaned with backup
D:\Program Files\lw\Programs\ssg-lw80.exe -> Trojan.Agent.jh : Cleaned with backup
D:\Program Files\mIRC\download\ECCv4.rar/ECCv4\ECC.dll -> Heuristic.Win32.Morphine-Crypted : Cleaned with backup
D:\Program Files\mIRC\download\ECCv4.rar/ECCv4\ECC.exe -> Heuristic.Win32.Morphine-Crypted : Cleaned with backup


::Report End

 

sorry, että kesti Örkki vaihtoi nimeä ja tutkin sitä.

kopioi seuraavat rivit esim notepad:in ja tallenna se FIX.BAT nimellä työpöydälle tiedostomuotoon kaikki tiedostot.

@echo off
sc stop Service
sc stop ".NET Runtime Optimization Service"
sc delete Service
sc delete ".NET Runtime Optimization Service"

Tuplaklikkaa FIX.bat


Lataa killbox:

http://www.downloads.subratam.org/KillBox.zip

Avaa KillBox ja laita "täppi" kohtaan Delete on Reboot sekä paina kohdasta All Files niin ,että se alkaa "vilkkumaan" vihreänä.

Kopioi kaikki annetut rivit yhtäaikaa ja valitse ylhäältä valikosta File ja sitten Paste from Clipboard.

C:\WINDOWS\system32\msdxdfrg.exe
C:\WINDOWS\system32\dmcow400.exe
C:\WINDOWS\system32\kbdlduzb.dll
C:\WINDOWS\System32\Service.exe

Riville Full Path of File to Delete ilmestyy jokin annetuista poluista ja tiedosto näkyy rivin alapuolella sinisellä merkittynä jos se löytyy koneelta.Paina tämän jälkeen oikealla olevaa punaista ympyrää jossa on valkoinen rasti.

Seuraavaksi tulee ilmoitus jossa ilmoitetaan kyseisten tiedostojen poistosta buutin yhteydessä. Haluatko buutata nyt ? Vastaa tähän Kyllä

Tämän jälkeen kone buuttaa itsensä. Jos ei buuttaa niin suorita toimenpide itse "käsin".
Käynnistä kone vikasietotilaan.

Scannaa hijackilla ja ruksaa seuraavat:

F2 - REG:system.ini: Shell=explorer.exe,msdxdfrg.exe,dmcow400.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\msdxdfrg.exe,C:\WINDOWS\system32\dmcow400.exe
O4 - HKCU\..\Run: [Internet Protocol] C:\WINDOWS\system32\dmcow400.exe
O21 - SSODL: Security Meeting - {FD5FC1D4-78CC-4441-9C06-F5113B2E1731} - C:\WINDOWS\system32\kbdlduzb.dll
O23 - Service: .NET Runtime Optimization Service v1.000.3.1434 - Unknown owner - C:\WINDOWS\System32\msdztsvc.exe (file missing)
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)

Sammuta muut ikkuna t ja paina Fix checked.

Boottaa kone normaalitilaan ja lataa ja tallenna Blacklight työpöydällesi;

http://www.f-secure.com/blacklight/try.shtml

Tupla-klikkaa blbeta.exe, hyväksy sopimus, klikkaa > Scan, sitten > Next

Näet listan kaikesta mitä löytyi. Työpöydällesi myös ilmestyy loki jonka nimi on fsbl.xxxxxxx.log (xxxxxxx;n tilalla on luultavimmin numeroita).

Kopioi ja liitä tämä loki seuraavaan vastaukseesi. Älä valitse "Rename" optiota vielä! Haluamme nähdä login ensin, koska hyviä tiedostoja saattaa olla mukana, kuten "wbemtest.exe".

Boottaa kone ja lähetä uusi hijacthisloki ja blacklightin loki.

 

Blacklight ei löytänyt mitään:
04/01/06 18:29:23 [Info]: BlackLight Engine 1.0.33 initialized
04/01/06 18:29:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/01/06 18:29:24 [Note]: 7019 4
04/01/06 18:29:24 [Note]: 7005 0
04/01/06 18:29:31 [Note]: 7006 0
04/01/06 18:29:31 [Note]: 7011 1788
04/01/06 18:29:31 [Note]: FSRAW library version 1.7.1015
04/01/06 18:30:29 [Note]: 7007 0


Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 18:36:09, on 1.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hjt\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142864135968
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142877789421
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Hyvää työtä Lokit ovat puhtaita.

 

Suuri kiitos!

 

Ole hyvä.