Virus?

Eli...ensin alkoi sillä että tuli joku sininen ruutu, winlogon.exe error. Sitten resurssienhallinta, firefox ja explorer alkoi ilmoittaa sovellusvirheistä. Sitten tuli kernel_data_inpage_error. Ja tuolla taskbarissa tulee ilmotuksia että tiedosto on vahingoittunut, enimmäkseen jotain tiedostoja Windows/Prefetch -kansiossa. Tuossa HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:54:18, on 12.9.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Programs\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Programs\geswall\gswui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programs\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Razer\Tarantula\razerhid.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
D:\Programs\Avira\AntiVir Desktop\avgnt.exe
D:\Programs\Winamp\winampa.exe
D:\Programs\Comodo\COMODO Internet Security\cfp.exe
D:\Programs\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
D:\Programs\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
D:\Programs\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
D:\Programs\geswall\gswserv.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
D:\Programs\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://telkku.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,D:\Programs\geswall\gswui.exe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Tarantula] C:\Program Files\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [avgnt] "D:\Programs\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] D:\Programs\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programs\Winamp\winampa.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "D:\Programs\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programs\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Programs\eScan\LAUNCH.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239548748705
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E001C731-5E37-4538-A5CB-8168736A2360} (Confirmation) - http://qscan.bitdefender.com/cab/ActiveQscan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15107/CTPID.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Programs\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programs\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-palvelu (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - D:\Programs\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GeSWall service (gswserv) - GentleSecurity S.a.r.l. - D:\Programs\geswall\gswserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Programs\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7762 bytes

 

Ja ainiin, sitten vielä aiemmin kun painoin Firefoxista Työkalut/Asetukset, niin tuli vain sellainen pieni ruudun sinisen yläosan korkuinen "ikkuna", josta ei voinut painaa muuta kuin x:ää.

 

Mene Windowsin ControlPaneliin (Ohjauspaneli) ja sieltä Lisää / Poista sovellus
Vistassa Ohjelmat ja toiminnot
Etsi ja poista ohjelma jonka nimessä on:

GeSWall


-----------------------------------------------------------

Lataa JavaRa ja pura se työpöydällesi.

***Sulje kaikki päällä olevat Internet Explorerin ikkunat ennen jatkamista!***

* Tuplaklikkaa JavaRa.exeä käynnistääksesi ohjelma.
* Valitse English pudotusvalikosta valitaksesi kieleksi englannin ja klikkaa Select.
* Klikkaa Remove Older Versions poistaaksesi vanhat Java-versiot koneeltasi.
* Klikkaa Yes kun pyydetään. Kun JavaRa on valmis, se ilmoittaa, että lokitiedosto on luotu. Klikkaa OK.
* Lokitiedosto avautuu. Lähetä sen sisältö seuraavassa viestissäsi.

Tämän jälkeen lataa ja asennaJava SE Runtime Environment (JRE) 6 Update 16.
jre-6u16-windows-i586-p.exe => 15.?? MB
Lataa työpöydälle ja sammuta kaikki selaimet ennen asennusta

---------------------------------------------------------------------------------------


Lataa Malwarebytes' Anti-Malware työpöydällesi.

Jos linkki ei toimi, voit ladata myös seuraavista linkeistä:
Linkki1
Linkki2

* Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
* Lopuksi varmistu, että seuraavat on valittu: Päivitä Malwarebytes' Anti-Malware ja Käynnistä Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Lopeta.
* Jos päivitys löytyy, ohjelma lataa ja asentaa uusimman version. Jos päivityksien lataaminen ei onnistu, voit ladata päivitykset tästä. Tuplaklikkaa mbam-rules.exe asentaaksesi päivitykset.
* Kun ohjelma on latautunut ja päivitykset tehty, valitse Suorita täysi tarkistus ja klikkaa Tarkista.
* Kun tarkistus on valmis, klikkaa OK ja sitten Näytä tulokset nähdäksesi tulokset.
* Varmistu, että kaikki on merkitty ja klikkaa Poista valitut.
* Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
* Lähetä lokin sisältö seuraavassa viestissäsi.[/list]

Huom. Jos Mbam ei pystynyt poistamaan tiedostoa, se pyytää sinua käynnistämään koneesi uudelleen. Käynnistä koneesi silloin uudelleen heti. Mbam voi tehdä muutoksia rekisteriisi osana puhdistusta. Jos käytät suojausohjelmaa, joka havaitsee rekisterin muutokset, salli Mbamin tehdä muutokset.

----------------------------------------------------------------------------------

Poista ne rivit jotka ovat vielä jäljellä:

Sammuta selain ja muut ohjelmat Fixin ajaksi. (ei virustorjuntaa)
Käynnistä HijackThis:ja Scan ja ruksaa seuraavat punaisella listatut tiedostot
(HJT sammuttaa ohjelman ei poista)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,D:\Programs\geswall\gswui.exe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Ad-Watch] D:\Programs\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O23 - Service: GeSWall service (gswserv) - GentleSecurity S.a.r.l. - D:\Programs\geswall\gswserv.exe

sekä sammuta ne.(fix Chekked) napista.

Tyhjennä roskakori ja käynnistä koneesi uudelleen.

Poista kansio/t, jos löytyy:
D:\Programs\geswall\

Postita tänne seuraavat lokit:
* Tuore HijackThis loki (Otetaan viimeisenä ennen postitusta)
* Malwarebytes' Anti-Malware\Logs\log-päiväys.txt raportti
*
* Kerro mikä on tilanne ???
*

 

Unohdin mainita vielä joitain asioita. Chkdsk ei toimi C-asemaan, se vain ei käynnisty kun sen laittaa käynnistymään seuraavan käynnistyksen yhteydessä. D-asemaa ei voi pakottaa pois käytöstä, koska "se on järjestelmäasema tai sillä on aktiivinen sivutustiedosto". Defraggler ei toimi. Kun yritän edes analysoida aseman, se sammuu. Kun yritän eheyttää, tulee teksti "tiedostonlistaus epäonnistui". En voi myöskään ajaa Avira Antivir Scanneria, koska se jumittaa johonkin niistä tiedostoista, jotka olen myös yrittänyt lähettää Virscan-sivustolle, joka skannaa tiedostot monella skannerilla. Tiedostoa ei kuulemma ole. Kyseessä on siis samoja tiedostoja joista taskbar välillä ilmottaa että ovat vaurioituneet tms.

Geswall ainakin on ako12:sta mukaan suositeltava ohjelma:
http://www.virustorjunta.net/modules.php?name=Forums&file=viewtopic&t=5430
http://www.techsupportalert.com/content/probably-best-free-security-list-world.htm

En aivan vielä ehdi tekemään neuvomiasi asioita, mutta pian teen tarkalleen ohjeiden mukaan ja ilmoitan tuloksista.

 

Uutta infoa:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Monday, September 14, 2009
Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, September 14, 2009 11:39:11
Records in database: 2805610
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - Critical areas:
C:\Documents and Settings\All Users\Käynnistä-valikko\Ohjelmat\Käynnistys
C:\Documents and Settings\Rami\Käynnistä-valikko\Ohjelmat\Käynnistys
C:\Program Files
C:\WINDOWS

Scan statistics:
Objects scanned: 31284
Threats found: 1
Infected objects found: 3
Suspicious objects found: 0
Scan duration: 00:47:18


File name / Threat / Threats count
globalroot\systemroot\system32\gasfkyylkspyxu.dll/globalroot\systemroot\system32\gasfkyylkspyxu.dll Infected: Packed.Win32.TDSS.z 3

Selected area has been scanned.

 

Toiminko silti edelleen noiden ohjeiden mukaan?

Muokattu: Anteeksi, rikoin sääntöä 10. En tiennyt miten vanhaa viestiä voi muokata. Nyt tajusin, ja jatkossa siis muokkaan aina edellistä viestiäni.

 

Ei säännöt ole pääasia vaan, että ymmärrämme toistemme viestit ja
saamme sulle puhtaan koneen HI

Code:

Geswall ainakin on ako12:sta mukaan suositeltava ohjelma:

Kyse ei ole siitä vaan se ei sovi F-Sekuren palomuurinkanssa
yhteen => siksi poisto.

Jatka vain tässä linkissä olevasta ohjeesta =>
http://keskustelu.afterdawn.com/t.cfm/f-198/virus-799438/#4838256

---------------------------------------------------------

Niiden lisäksi tämä =>

Lataa SystemLook by. jpshortstuff TÄÄLTÄ. ja tallenna se työpöydälle.

Tupla-klikkaa SystemLook.exe ajaaksesi sen.

Kopioi(CTRL+C) alla olevasta laatikosta kaikki teksti, tekstialueeseen.

Code:

:filefind 
gasfkyylkspyxu.dll

:dir
C:\WINDOWS\system32\drivers\etc /s

Klikkaa nappulaa Look aloittaaksesi skannauksen.

Kun skannaus on valmis avautuu muistio joka sisältää lokitiedot
Klikkaa lokia hiiren oikealla painikkeella ja valitse "Valitse kaikki"
Kopio ja liitä se seuraavaan viestiisi.
(Loki löytyy myös työpöydältäsi nimellä SystemLook.txt)

*******************************************************************************

Postita tänne seuraavat lokit:
* Tuore HijackThis loki (Otetaan viimeisenä ennen postitusta)
* Malwarebytes' Anti-Malware\Logs\log-päiväys.txt raportti
* SystemLook.txt
* Kerro mikä on tilanne ???
*

 

Malwarebytesin Anti-Malwaren ajamisen jälkeen, kun koneeni käynnistyi uudestaan, checkdisk käynnistyi, ja teki jotain mistä en ymmärtänyt. Jotain pitkiä tiedostolistauksia, joissa luki mm. "palautetaan orpotiedosto" ja "lisätään data". Sitten kun käynnistin uudestaan, checkdisk tuli taas. Mutta en voinut keskeyttää sitä, teksti "Ohita levyn tarkistaminen painamalla jotain näppäintä (10 sekuntia aikaa)",
tuli 2 kertaa peräkkäin, ja vain jälkimmäisen luku pieneni. Painoin mitä tahansa nappia, niin en pystynyt ohittamaan levyn tarkistusta. Sitten kone käynnistyi taas uudestaan. Tämä toistui monia kymmeniä kertoja. Luovuin jo toivosta, kunnes yhtäkkiä sainkin ohitettua levyn tarkistamisen ja pääsin taas Windowsiin.

Lisäksi seuraavia rivejä ei löytynyt HijackThissistä:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,D:\Programs\geswall\gswui.exe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O23 - Service: GeSWall service (gswserv) - GentleSecurity S.a.r.l. - D:\Programs\geswall\gswserv.exe

Mutta, nyt resurssienhallinnan käynnistäessäni ei tulee enää sitä "sovellusvirhe"-viestiä. Lisäksi kokeilin taas analysoida Defragglerilla, ja se onnistui. Mutta, valitettavasti Kaspersky Online Scanner löysi taas sen saman viruksen kuin ennenkin:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Monday, September 14, 2009
Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, September 14, 2009 20:37:14
Records in database: 2811466
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - Critical areas:
C:\Documents and Settings\All Users\Käynnistä-valikko\Ohjelmat\Käynnistys
C:\Documents and Settings\Rami\Käynnistä-valikko\Ohjelmat\Käynnistys
C:\Program Files
C:\WINDOWS

Scan statistics:
Objects scanned: 31325
Threats found: 1
Infected objects found: 5
Suspicious objects found: 0
Scan duration: 00:42:13


File name / Threat / Threats count
C:\WINDOWS\system32\drivers\gasfkyntrnwmhr.sys Infected: Packed.Win32.TDSS.z 1
C:\WINDOWS\system32\gasfkyjfocphhw.dll Infected: Packed.Win32.TDSS.z 1
C:\WINDOWS\system32\gasfkyjuvyoyls.dll Infected: Packed.Win32.TDSS.z 1
C:\WINDOWS\system32\gasfkyylkspyxu.dll Infected: Packed.Win32.TDSS.z 1
C:\WINDOWS\Temp\gasfkypcylqecxns.tmp Infected: Packed.Win32.TDSS.z 1

Selected area has been scanned.


Siltä varalta, että ongelmilla on jokin yhteys, mieleen tuli vielä sellaisia asioita, että ohjelmat ovat jo kauan minulla suorittaneet satunnaisesti laittomia toimintoja. Yhdessä vaiheessa melkein aina resurssienhallinta jossain vaiheessa sammui. Ja joku aika sitten oli sellainen ongelma että kun sammutin yöksi koneen ja käynnistin aamulla, kone käynnistyi koko itsellään joitain kertoja. En ehtinyt kauaa mitään tehdä. Sitten jonkin ajan kuluttua pystyin taas käyttämään konetta. En sitten enää sammuttanut konetta lainkaan, vaan pidin virransäästötilassa. Nyt ihan viime aikoina ilmeni taas sama ongelma. Eikä aina edes koneen käynnistyksen jälkeen. Vaan vaikkapa kesken pelin.

Toinen ongelma on ollut internet-yhteyden hidastuminen. Jos olen ladannut netistä vaikkapa ohjelmien asennustiedostoja, niin nopeus on ollut aika hyvä, yleensä enimmäkseen ~350kbs. Silloin tällöin nopeus kuitenkin hidastuu n. max 40kbs:ään. Ja se pysyy siinä. Vaikka lataisin seuraavaksi mitä hyvänsä, käynnistäisin koneen uudestaan tms. Mutta keksin vahingossa ratkaisun: modeemin reset-nappi. Silloin nopeus palaa aina ennalleen. Mutta ei liene normaalia että nappia joutuu aina painamaan. Voisiko tällainen siis johtua jostain viruksesta, vai onko vika palveluntarjoajassa?


Tässä logit:

JAVARA

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Mon Sep 14 17:03:30 2009

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\JavaSoft\Java2D\1.6.0_06

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

------------------------------------

Finished reporting.


Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.41
Tietokantaversio: 2795
Windows 5.1.2600 Service Pack 2

14.9.2009 18:38:09
mbam-log-2009-09-14 (18-38-09).txt

Tarkistustyyppi: Täysi tarkistus (C:\|D:\|G:\|)
Tarkistetut kohteet: 210230
Kulunut aika: 20 minute(s), 44 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 1

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
C:\WINDOWS\system32\drivers\nntpqdwopspyxegb.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.


SystemLook

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 21:31 on 14/09/2009 by Rami (Administrator - Elevation successful)

========== filefind ==========

Searching for "gasfkyylkspyxu.dll"
C:\WINDOWS\system32\gasfkyylkspyxu.dll --a--- 19456 bytes [15:39 12/09/2009] [14:02 14/09/2009] 01A45C33177509AFC09D99BF05998639

========== dir ==========

C:\WINDOWS\system32\drivers\etc - Parameters: "/s"

---Files---
hosts -r---- 665 bytes [12:00 16/09/2002] [12:00 16/09/2002]
lmhosts.sam --a--- 3705 bytes [12:00 16/09/2002] [12:00 16/09/2002]
networks --a--- 416 bytes [12:00 16/09/2002] [12:00 16/09/2002]
protocol --a--- 829 bytes [12:00 16/09/2002] [12:00 16/09/2002]
services --a--- 7151 bytes [12:00 16/09/2002] [12:00 16/09/2002]

No folders found.

-=End Of File=-


HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:38:55, on 14.9.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Programs\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programs\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\Razer\Tarantula\razerhid.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
D:\Programs\Avira\AntiVir Desktop\avgnt.exe
D:\Programs\Winamp\winampa.exe
D:\Programs\Comodo\COMODO Internet Security\cfp.exe
D:\Programs\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
D:\Programs\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWASER.EXE
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\Programs\Mozilla Firefox\firefox.exe
C:\Program Files\Windows NT\Accessories\wordpad.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programs\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://telkku.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Tarantula] C:\Program Files\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programs\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programs\Winamp\winampa.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "D:\Programs\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programs\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Programs\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239548748705
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E001C731-5E37-4538-A5CB-8168736A2360} (Confirmation) - http://qscan.bitdefender.com/cab/ActiveQscan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15107/CTPID.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Programs\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programs\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-palvelu (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - D:\Programs\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Programs\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7494 bytes

 

Poistellaan noita viruksia, niin eiköhän
ongelmatkin vähene !!!

----------------------------------------------------------------------------

Pikkuisen on päässyt vanhaksi => [12:00 16/09/2002]

* Vanha HOSTS tiedosto poistetaan. Käynnistä kone vikasietotilaan => OHJE
Tämä C:\WINDOWS\system32\drivers\etc\HOSTS tiedosto pois
* Käynnistä koneesi normaalitilaan.
* Lataa HOSTS: Täältä Työpöydällesi.
* Pura: hosts.zip C:\WINDOWS\system32\drivers\etc kansioon.


Lopuksi Voit varmistaa, että siellä on HOSTS niminen tiedosto ilman tiedostopäätettä. Koko n.700 kt.
Suoja activoituu seuraavan käynnistyksen yhteydessä.(ei kuormita muistia)

Houstiin päivitykset: Täältä
Mitä HOSTS tekee: Opas Täällä

-----------------------------------------------------

* Lataa OTM by OldTimer.
* Tallenna se työpöydällesi.
* Tuplaklikkaa OTM.exe käynnistääksesi sen.
* Kopioi (CTRL+C) alla olevasta laatikosta kaikki teksti.

Code:

:files
C:\WINDOWS\system32\gasfkyylkspyxu.dll
C:\WINDOWS\system32\drivers\gasfkyntrnwmhr.sys 
C:\WINDOWS\system32\gasfkyjfocphhw.dll
C:\WINDOWS\system32\gasfkyjuvyoyls.dll
C:\WINDOWS\Temp\gasfkypcylqecxns.tmp 
:commands 
[emptytemp] 

* Palaa takaisin OtmoveIt3, paina oikeanpuoleista hiiren nappia Paste Instructions for Items to be Move-ikkunassa (Keltaisen palkin alla) ja paina Liitä.
* Paina punaista MoveIt! -nappia.
* Kopioi (CTRL+C) ja liitä (CTRL+V) Results-ikkunaan (Vihreän palkin alla) tullut teksti seuraavaan viestiisi.
* Sulje OTM.

Jos jotain tiedostoa/kansiota ei voitu siirtää heti, ohjelma ehdottaa koneen uudelleenkäynnistystä. Vastaa ehdotukseen Yes, jolloin OtMoveIt käynnistää koneesi uudelleen.

*********************************************************

Ole hyvä ja lataa Combofix yhdestä alla olevista linkeistä:

Linkki 1
Linkki 2
Linkki 3

* TÄRKEÄÄ !!! Tallenna ComboFix.exe työpöydällesi

* Sulje/ota pois päältä kaikki virustorjunta- ja haittaohjelmien poisto-ohjelmat, jotta ne eivät häiritse ComboFixin ajoa.

* Tuplaklikkaa Combofix.exe ja noudata ohjeita.

* Osana skannausta Combofix tarkistaa onko palautuskonsoli asennettuna. Nykypäivän haittaohjelmien takia on erittäin suositeltua olla asennettuna palautuskonsoli ennen haittaohjelmien poistoa. Windowsin palautuskonsoli mahdollistaa käynnistyksen erityiseen palautustilaan. Palautuskonsolin kautta voimme auttaa sinua helpommin mikäli haittaohjelmien poiston yhteydessä ilmenee ongelmia.

* Seuraa ohjeita ja salli Combofixin ladata ja asentaa Microsoftin palautuskonsoli, ja kun pyydetään, hyväksy ohjelman takuuehdot asentaaksesi palautuskonsolin.

**Huomaa: Jos palautuskonsoli on jo asennettuna, Combofix jatkaa eteenpäin.



Kun Microsoftin palautuskonsoli on asennettu, sinun pitäisi nähdä seuraava viesti:



Klikkaa Kyllä jatkaaksesi skannausta.

Kun ComboFix on valmis, se luo raportin. Ole hyvä ja kopioi/liitä seuraavat raportit vastaukseesi:
C:\ComboFix.txt
Uusi HijackThis-loki


Varoitus: ÄLÄ aja ComboFixia ilman valvontaa. Se ei ole lelu ja sitä ei tule käyttää rutiininomaisesti päivittäin.

Jos tarvitset apua, katso yksityiskohtaisempi ohje:
http://www.bleepingcomputer.com/combofix/fi/combofixin-kayttoohje

-------------------------------------------------------

C:\ComboFix.txt
Uusi HijackThis-loki
OTMoveIt logi.

.

 

Rivitykset menivät jotenkin pieleen, sori. En tiedä mistä johtuu enkä osaa korjata.

Kiinnitin nyt tarkemmin huomiota että näppäimistön valot ovat alkaneet vilkkua kummallisesti aina käynnistyksen yhteydessä. Vikasietotilassa ei meinannut ensin näppis toimia lainkaan. Hosts-tiedoston poistamisen jälkeen Avira Antivir ilmoitti näistä gasfky-tiedostoista että on TR/Alureon.19456U.3. Laitoin Deny Access. Samaan aikaan kone yritti tunnistaa uutta laitetta, eli näppistä. Kuulemma vikatilassa. Irroittelin usb-johtoja ja laitoin takaisin, silloin sama ruljanssi, ja Antivir taas ilmoitti noista tiedostoista. Mutta lopulta lähti toimimaan, ja pääsin kertomaan tästä.

Tässä OTM:n logi. Toivottavasti tässä on kaikki tarvittavat tiedot, en huomannut että olisi pitänyt kopioida niitä tietoja ennen uudelleenkäynnistystä. Nähdäkseni tuossa koneen uudelleenkäynnistyksen yhteydessä tulleessa logissa oli kaikki samat tekstit:

All processes killed
========== FILES ==========
LoadLibrary failed for C:\WINDOWS\system32\gasfkyylkspyxu.dll
C:\WINDOWS\system32\gasfkyylkspyxu.dll NOT unregistered.
C:\WINDOWS\system32\gasfkyylkspyxu.dll moved successfully.
C:\WINDOWS\system32\drivers\gasfkyntrnwmhr.sys moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\gasfkyjfocphhw.dll
C:\WINDOWS\system32\gasfkyjfocphhw.dll NOT unregistered.
C:\WINDOWS\system32\gasfkyjfocphhw.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\gasfkyjuvyoyls.dll
C:\WINDOWS\system32\gasfkyjuvyoyls.dll NOT unregistered.
C:\WINDOWS\system32\gasfkyjuvyoyls.dll moved successfully.
C:\WINDOWS\Temp\gasfkypcylqecxns.tmp moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33728 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 287634839 bytes

User: Rami
->Temp folder emptied: 121046613 bytes
->Temporary Internet Files folder emptied: 6360421 bytes
->Java cache emptied: 25626586 bytes
->FireFox cache emptied: 87394637 bytes

User: remoteservice

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139161 bytes
%systemroot%\System32 .tmp files removed: 2518 bytes
Windows Temp folder emptied: 466521 bytes
RecycleBin emptied: 944793 bytes

Total Files Cleaned = 506,10 mb


OTM by OldTimer - Version 3.0.0.6 log created on 09152009_173757

Files moved on Reboot...

Registry entries deleted on Reboot...


ComboFix

ComboFix 09-09-14.02 - Rami 15.09.2009 17:49.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.358.1035.18.1535.953 [GMT 3:00]
Sijainti: c:\documents and settings\Rami\Työpöytä\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Rami\Application Data\.#
c:\documents and settings\Rami\Application Data\.#\MBX@82C@AA4150.###
c:\documents and settings\Rami\Application Data\.#\MBX@82C@AA4180.###
c:\documents and settings\Rami\Application Data\.#\MBX@82C@AA41B0.###
c:\documents and settings\Rami\Application Data\.#\MBX@BD4@AA4150.###
c:\documents and settings\Rami\Application Data\.#\MBX@BD4@AA4180.###
c:\documents and settings\Rami\Application Data\.#\MBX@BD4@AA41B0.###
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Installer\8b51ff.msi
c:\windows\regedit.com
c:\windows\system32\Data
c:\windows\system32\gasfkylog.dat
c:\windows\system32\gasfkyngbfakvd.dat
c:\windows\system32\gasfkyuahnnlkk.dat
c:\windows\system32\taskmgr.com
c:\windows\winsbak.reg

.
((((((((((((((((((((((((((((((((((((((( Ajurit/Palvelut )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_gasfkytqaqenvo
-------\Service_gasfkytqaqenvo


((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-08-15 to 2009-09-15 )))))))))))))))))
.

2009-09-15 14:37 . 2009-09-15 14:37 -------- d-----w- C:\_OTM
2009-09-14 15:42 . 2009-09-14 15:42 -------- d-----w- C:\found.000
2009-09-14 14:20 . 2009-09-14 14:20 -------- d-----w- c:\documents and settings\Rami\Application Data\Malwarebytes
2009-09-14 14:19 . 2009-09-10 11:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-14 14:19 . 2009-09-14 14:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-14 14:19 . 2009-09-10 11:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-14 14:14 . 2009-09-14 14:14 -------- d-----w- c:\program files\Java
2009-09-14 13:42 . 2009-09-14 13:42 75648 ----a-w- c:\windows\system32\drivers\coitukchehdymp.sys
2009-09-14 09:52 . 2009-09-14 09:52 -------- d-----w- c:\windows\Sun
2009-09-14 09:50 . 2009-09-14 14:14 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-09-12 23:13 . 2009-09-12 23:13 -------- d--h--w- c:\windows\PIF
2009-09-12 22:57 . 2009-09-12 22:58 6290549 ----a-w- c:\windows\REGBK00.ZIP
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice\Työpöytä
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice\Tiedostot
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice\Suosikit
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice\Mallit
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice\Käynnistä-valikko
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\LocalService\Työpöytä
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\LocalService\Tiedostot
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\LocalService\Mallit
2009-09-12 22:04 . 2009-09-12 22:04 -------- d-----w- c:\documents and settings\Rami\Local Settings\Application Data\Sophos
2009-09-12 20:26 . 2009-09-12 20:26 82850 ----a-w- c:\windows\winsbak2.reg
2009-09-12 17:08 . 2009-09-12 17:08 -------- d-----w- c:\documents and settings\All Users\Application Data\IObit
2009-09-12 16:10 . 2001-08-17 18:52 22400 -c--a-w- c:\windows\system32\dllcache\asc3350p.sys
2009-09-12 16:09 . 2001-10-05 13:30 66048 -c--a-w- c:\windows\system32\dllcache\s3legacy.dll
2009-09-12 16:09 . 2004-09-14 13:08 2150912 -c--a-w- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-09-11 11:04 . 2009-09-11 11:04 -------- d-----w- c:\program files\iPhone Configuration Utility
2009-09-11 11:01 . 2009-09-11 11:01 -------- d-----w- c:\program files\iPod
2009-09-11 11:01 . 2009-09-11 11:02 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-08-23 14:23 . 2009-08-29 09:16 -------- d-----w- c:\documents and settings\Rami\Application Data\OpenArena
2009-08-19 19:48 . 2009-08-19 19:50 29657 ----a-w- c:\windows\scunin.dat
2009-08-19 19:48 . 2009-08-19 19:50 967 ----a-w- c:\windows\ScUnin.pif
2009-08-19 19:48 . 2009-08-19 19:50 70656 ----a-w- c:\windows\ScUnin.exe
2009-08-18 18:20 . 2009-08-18 18:23 -------- d-----w- c:\windows\system32\quicktime
2009-08-18 17:11 . 2009-09-12 21:09 -------- d-----w- c:\documents and settings\Rami\Application Data\vlc

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-13 09:51 . 2009-08-09 07:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Soulseek
2009-09-13 09:43 . 2009-06-01 08:19 -------- d-----w- c:\documents and settings\Rami\Application Data\Apple Computer
2009-09-13 07:56 . 2009-09-12 20:25 -------- d-----w- c:\program files\Common Files\MicroWorld
2009-09-12 21:09 . 2009-08-18 17:11 -------- d-----w- c:\documents and settings\Rami\Application Data\vlc
2009-09-12 18:03 . 2009-04-23 19:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-11 11:01 . 2009-06-01 08:13 -------- d-----w- c:\program files\Common Files\Apple
2009-09-11 10:50 . 2009-06-01 08:15 -------- d-----w- c:\program files\QuickTime
2009-09-10 20:25 . 2009-04-12 18:41 -------- d-----w- c:\documents and settings\Rami\Application Data\uTorrent
2009-08-26 16:20 . 2009-05-20 07:28 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
2009-08-26 16:20 . 2009-05-20 07:28 179792 ----a-w- c:\windows\system32\guard32.dll
2009-08-26 16:20 . 2009-05-20 07:28 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2009-08-26 16:20 . 2009-05-20 07:28 132168 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2009-08-25 14:44 . 2009-04-12 16:35 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-05 18:54 . 2009-04-13 06:21 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-25 13:05 . 2009-07-25 13:03 -------- d-----w- c:\documents and settings\Rami\Application Data\Miranda
2009-07-24 17:58 . 2009-07-24 17:58 -------- d-----w- c:\program files\Common Files\PCSuite
2009-07-24 17:58 . 2009-06-21 19:17 -------- d-----w- c:\program files\Common Files\Nokia
2009-07-24 17:54 . 2009-04-12 19:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Installations
2009-07-24 07:33 . 2009-04-12 15:30 13504 ----a-w- c:\documents and settings\Rami\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-23 06:52 . 2009-05-10 19:30 -------- d-----w- c:\documents and settings\Rami\Application Data\dvdcss
2009-07-20 13:42 . 2009-07-20 13:42 -------- d-----w- c:\documents and settings\Rami\Application Data\GetRightToGo
2009-07-11 15:06 . 2009-04-13 15:33 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-07 15:51 . 2009-07-07 15:51 162432 ----a-w- c:\windows\system32\drivers\ithsgt.sys
2009-07-07 15:50 . 2009-07-07 15:50 12032 ----a-w- c:\windows\system32\drivers\lilsgt.sys
2009-06-28 17:21 . 2009-06-28 15:37 68088 ----a-w- c:\windows\War3Unin.dat
2009-06-28 15:47 . 2009-06-28 15:37 2829 ----a-w- c:\windows\War3Unin.pif
2009-06-28 15:47 . 2009-06-28 15:37 139264 ----a-w- c:\windows\War3Unin.exe
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="c:\program files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"Tarantula"="c:\program files\Razer\Tarantula\razerhid.exe" [2007-05-07 159744]
"DeathAdder"="c:\program files\Razer\DeathAdder\razerhid.exe" [2008-09-05 159744]
"avgnt"="d:\programs\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"WinampAgent"="d:\programs\Winamp\winampa.exe" [2009-07-01 37888]
"COMODO Internet Security"="d:\programs\Comodo\COMODO Internet Security\cfp.exe" [2009-08-26 1796368]
"iTunesHelper"="d:\programs\iTunes\iTunesHelper.exe" [2009-09-08 305440]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-14 149280]
"Malwarebytes Anti-Malware (reboot)"="d:\programs\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-09-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ ?????

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\\Programs\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\Programs\\Soulseek\\slsk.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"d:\\Programs\\Shareaza\\Shareaza.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Programs\\iTunes\\iTunes.exe"=
"c:\\PROGRA~1\\COMMON~1\\MICROW~1\\Agent\\MWAGENT.EXE"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [27.5.2009 1:01 64160]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [20.5.2009 10:28 132168]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [20.5.2009 10:28 25160]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;d:\programs\Avira\AntiVir Desktop\sched.exe [20.5.2009 9:03 108289]
R3 DAdderFltr;DeathAdder Mouse;c:\windows\system32\drivers\dadder.sys [12.4.2009 21:13 22784]
R3 TarFltr;Razer Tarantula USB Keyboard;c:\windows\system32\drivers\UsbFltr.sys [12.4.2009 21:06 45440]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\programs\Lavasoft\Ad-Aware\AAWService.exe [9.3.2009 22:06 1029456]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [21.6.2009 22:14 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [21.6.2009 22:14 8320]
S3 TTDec;ATI WDM Teletext Decoder (Microsoft Corporation);c:\windows\system32\drivers\atinttxx.sys [12.4.2009 18:25 13824]
.
'Ajoitetut tehtävät'-kansion sisältö

2009-09-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 09:34]
.
.
------- Täydentävä tarkistus -------
.
uStart Page = hxxp://telkku.com/
uInternet Settings,ProxyOverride = *.local
LSP: %SystemRoot%\system32\mwtsp.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Rami\Application Data\Mozilla\Firefox\Profiles\d8vf9csa.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.telkku.fi/
FF - plugin: d:\programs\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: d:\programs\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: d:\programs\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.
- - - - POISTETUT JÄMÄRIVIT - - - -

HKCU-Run-AdobeBridge - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-15 17:55
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose, ZwOpenFile

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************
.
--------------------- LUKITUT REKISTERIAVAIMET ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ÿcÓw*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
.
--------------------- Prosesseihin ladatut DLLt ---------------------

- - - - - - - > 'winlogon.exe'(600)
c:\windows\system32\Ati2evxx.dll
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'lsass.exe'(656)
c:\windows\system32\mwtsp.dll

- - - - - - - > 'explorer.exe'(564)
c:\windows\system32\WPDShServiceObj.dll
d:\programs\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
d:\programs\Nokia\Nokia PC Suite 7\NGSCM.DLL
d:\programs\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fin.nlr
d:\programs\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Muut prosessit ------------------------
.
c:\windows\system32\ati2evxx.exe
d:\programs\Comodo\COMODO Internet Security\cmdagent.exe
c:\windows\system32\ati2evxx.exe
d:\programs\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\CTSVCCDA.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\COMMON~1\MICROW~1\Agent\MWASER.EXE
c:\progra~1\COMMON~1\MICROW~1\Agent\MWAGENT.EXE
c:\program files\Razer\DeathAdder\razertra.exe
c:\program files\Razer\DeathAdder\razerofa.exe
c:\program files\Razer\Tarantula\razertra.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Valmistumisajankohta: 2009-09-15 17:58 - kone käynnistettiin uudelleen
ComboFix-quarantined-files.txt 2009-09-15 14:58

Ennen ajoa: 43 832 975 360 tavua vapaana
Ajon jälkeen: 43 708 268 544 tavua vapaana

WindowsXP-KB310994-SP2-Pro-BootDisk-FIN.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

Current=1 Default=1 Failed=0 LastKnownGood=9 Sets=1,2,3,4,5,6,7,8,9
262


HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:19, on 15.9.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Programs\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programs\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\Razer\Tarantula\razerhid.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
D:\Programs\Avira\AntiVir Desktop\avgnt.exe
D:\Programs\Comodo\COMODO Internet Security\cfp.exe
D:\Programs\iTunes\iTunesHelper.exe
D:\Programs\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Razer\DeathAdder\razertra.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\Program Files\Razer\Tarantula\razertra.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
D:\Programs\Mozilla Firefox\firefox.exe
D:\Programs\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://telkku.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Tarantula] C:\Program Files\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programs\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programs\Winamp\winampa.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "D:\Programs\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programs\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Programs\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Share...bin/AvSniff.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1239548748705
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Share...n/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E001C731-5E37-4538-A5CB-8168736A2360} (Confirmation) - http://qscan.bitdefender.com/cab/ActiveQscan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/software...15107/CTPID.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Programs\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programs\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-palvelu (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - D:\Programs\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Programs\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7496 bytes

 

*****************************************

Kirjoita windowsin käynnistävalikon suorita-kenttään ComboFix.exe /u paina OK

*************************************************************

Seuraavaksi poistamme kaikki käytetyt työkalut roskineen.

* TuplaklikkaaOTM.exe.
* Klikkaa CleanUp!.
* Valitse Yes kun kysytään "Begin cleanup Process?".
* Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.

---------------------------------------------------------------------

Lataa täältä työkalu erään rootkit-infektion tarkistusta varten.
Tuplaklikkaa TDdump.exeä.
Kun työkalu on valmis, loki avautuu.
Lähetä sen sisältö seuraavassa viestissäsi.
=>
.

 

TDSSserv not found

Oliko se siinä? Onko koneeni nyt puhdas? Onko Comodo Firewallin ja Avira Antiviruksen antama turva riittävä? Firefoxissa on myös CS Lite, WOT ja Adblock Plus. Olen ajatellut ostaa F-Securen.

Voinko poistaa työpöydältä nyt loput HijackThisistä TDdumpiin, ja uninstalloida? Vai suositteletko säilyttämään joitain näistä, satunnaisia tarkistuksia varten?

Pitäisikö minun vaihtaa salasanojani, onko niitä joku virus selvittänyt?

Käytän CCleaneria, osaatko neuvoa mitkä asetukset siinä olisi hyvä olla, ja mitä ei kannata laittaa? Ilmeisesti rekisterijuttuja minun ei kannata poistaa kunnen niistä mitään ymmärrä.

 

Se olisi siinä !!!

Onko Comodo Firewallin ja Avira Antiviruksen antama turva riittävä
_ Kyllä riittää.

- Älä laita F-Securea sun koneesi ei jaksa pyörittää sitä.

- Kaikki käytetyt työkalut jotka jäi jäljelle kannattaa poistaa.

- Salasanoja ei tarvitse vaihtaa, kuin Messegerin osalta.

- CCleanerin ohjeista => Lataus ja siivous ohjeet: TÄÄLLÄ

Tämän voisit lisätä virusturvaasi jos ei jo ole =>

* Asenna SpywareBlaster!
SpywareBlaster estää haittaohjelmien asentumista koneelle.
Lataus ja ohjeet: TÄÄLTÄ


.

 

Selvä, kiitoksia erittäin paljon avusta Asensin tuon SpywareBlasterin.

 

Kysyisin vielä, että mihin katosivat pagefile.sys -tiedostot juurihakemistoista?

 

pagefile.sys => Järjestelmätiedosto
(sivutustiedosto)

Mihinkä sinä sitä tarvitset ???
.

 

Ihmettelin vain, kun se on aina ennen ollut tuolla juurihakemistossa, ja nyt ei enää ole. Että onko se tärkeä tiedosto ja mihin se meni :O

 

Katso =>

Ohjauspaneeli => Järjestelmä => Lisäasetukset =>
Suorituskyky => Lisäasetukset => Näennäismuisti

Tämä on ainoa paikka mistä sitä voi käpistellä.
.

 

Ah, tajusin että tuo "piilota suojatut käyttöjärjestelmätiedostot" oli päällä nyt, ja ennen se ei ollut. Ei mitään.

 

Meikä luki koko tekstin Oli niin mielenkiintosta luettavaa. Itelläki ois ongelma. En saa poistettua vanhoja javoja mitenkään. Olen käyttänyt javaraa mutta se ei niitä pysty poistamaan tai ei ne ainakaan mihinkään häviä. Järjestelmä on vista ja melko uus kone.

Java(TM)6 update 7, Java(TM)6 update 15