Hei, Koneessani lienee vakava tietoturvaongelma. Aina välillä saan näytölle varoituksen, että löydetty Ardamax.xxx-haittaohjelma, jonka olen aina poistanut ja estänyt mm. sellaisen omituisen yhteydeluonnin palomuurilla kuin wwp.greenwhichmeantime.com. Tuo Ardamax viittaa keyloggeriin, joka on minulle mahdollisimman vaarallinen, koska siirtelen rahaa jonkin verran koneeni avulla Internetissä. Olisi tuhoisaa jos tuollainen virus pääsisi tekemään sen mitä on tarkoitus. Minulla on koneella Avast Antivirus, Sygate Personal Firewall, Ewido anti-malware, spybot ja olen käyttänyt pandan sekä symantecin online scannereita. Tästä huolimatta en oikein löydä lähdettä, että miksi virusvaroituksia vain tulee, vaikka poistankin varmasti lähteen esim. ewidolla. Kun uudelleenkäynnistän koneen, samat ryönät vain ilmestyvät takaisin. Miten lähtisin selvittämään tätä? Miten saa Winsecure.exen pois koneeltani lopullisesti? Käytännössä siis miten löydän alkuperäisen aiheuttajan ongelmalle? Apu olisi tarpeen! Tässä vielä hijackthis-dokumentti. Mielestäni siellä ei kuitenkaan ollut mitään vaarallista. Edit: Käynnistin koneeni uudelleen ja sieltähän pomppasi tälläinen C:\WINDOWS\system32\Firewall.exe. Ei vaikuta normaalilta! Logfile of HijackThis v1.99.1 Scan saved at 1:28:33 PM, on 06/11/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\Firewall.exe C:\Program Files\Google\Google Talk\googletalk.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Monitor Calibration Wizard\MCW.exe C:\Documents and Settings\Tommi\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pokeritieto.fi/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O1 - Hosts: 66.98.136.25 auto.search.msn.es O1 - Hosts: 66.98.136.25 auto.search.msn.es O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Firewall.exe] C:\WINDOWS\system32\Firewall.exe O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MCW Startup] "C:\Program Files\Monitor Calibration Wizard\MCW.exe" /s /p O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - Unknown owner - C:\Program Files\PostgreSQL\8.0\bin\pg_ctl.exe" runservice -N "pgsql-8.0" -D "C:\Program Files\PostgreSQL\8.0\data\ (file missing) O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
Do a system scan only, merkkaa C:\WINDOWS\system32\Firewall.exe O4 - HKLM\..\Run: [Firewall.exe] C:\WINDOWS\system32\Firewall.exe Etsi ja poista: WINDOWS -> system32 -> [bold]Firewall.exe[/bold] Ja vielä siitä Ardamax ohjelmasta. Kyllä, se on keylogger, ottaa talteen kaiken mitä koneelle näppäilee. MUTTA sen ei pitäisi olla virus. Virus softat eivät tykkää tuosta ohjelmasta, jonka voi ladata netistä juuri sen takia, koska se ottaa talteen tietoja. Kokeile tätä: Ohjauspaneeli -> lisää/poista -> Ardamax jos löytyy niin poista se, ja sitten poista kansio: C:\Program Files\HJB Mutta sitten [bold]Ardmax[/bold] on jo virus keylogger. [bold]Näistä en ole varma. jos olet itse asentanut, niin voit jättää nämä fixaamatta, paitsi jos joku toinen taidokkaampi ilmoittaa näiden olevan viruksia [/bold] O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe Ja hae koneellesi SpywareBlaster ja SpywareGuard. Molemmat toimivat taustalla estäen spywarejen asentumisen koneelle. Parasta onkin, ettei niitä edes huomaa kun ne pyörivät taustalla.
Nämä kans fixiin: O1 - Hosts: 66.98.136.25 auto.search.msn.es O1 - Hosts: 66.98.136.25 auto.search.msn.es O9-rivit fixiin vain jos et ole PartyPokeria itse asentanut. Lisäksi tee tämä: Skannaa koneesi http://www.kaspersky.com/downloads/kws/kavwebscan.html Kaspersky Online Skannerilla Sinulta kysytään sallitko ActiveX -komponentin asentamisen Kasperskyltä, klikkaa Kyllä. Ohjelma käynnistyy ja aloittaa viimeisimpien tunnistetiedostojen lataamisen. Kun skanneri on asennettu ja tunnistetiedot ladattu, klikkaa Next. Klikkaa nyt asetuksia, Scan Settings Tarkista asetuksista, että seuraavat ovat valittuina: o Scan using the following Anti-Virus database: + Extended (Jos valittavissa, muuten valitse Standard) o Scan Options: + Scan Archives + Scan Mail Bases Klikkaa OK Nyt valitse "select a target to scan" otsikon alta Oma Tietokone, My Computer Skannaus vie aikaa, joten ole kärsivällinen. Kun skannaus on valmis saat ilmoituksen, jos koneesi on saastunut. Klikkaa nyt Save as Text-painiketta. Tallenna tiedosto työpöydällesi. Kopioi ja Liitä tiedoston sisältö seuraavaan vastaukseesi.
Ihan ensimmäiseksi ajoin tuon BitDefenderin online scannerin. Vaikutti hyvältä softalta, koska myös TEKI jotain asialle, toisin kun symantecin tai pandan vastaavat BitDefender teki tälläistä: :\System Volume Information\_restore{C2C48D8A-1043-4D90-9BAD-DD6E755C6B47}\RP43\A0007292.exe Infected with: Trojan.Ardamax.A C:\System Volume Information\_restore{C2C48D8A-1043-4D90-9BAD-DD6E755C6B47}\RP43\A0007292.exe Disinfection failed C:\System Volume Information\_restore{C2C48D8A-1043-4D90-9BAD-DD6E755C6B47}\RP43\A0007292.exe Deleted C:\WINDOWS\system32\WinSecure.003 Infected with: Trojan.Keylogger.Ardamax.D C:\WINDOWS\system32\WinSecure.003 Disinfection failed C:\WINDOWS\system32\WinSecure.003 Deleted C:\WINDOWS\system32\WinSecure.006 Infected with: Trojan.Keylogger.Ardamax.D C:\WINDOWS\system32\WinSecure.006 Disinfection failed C:\WINDOWS\system32\WinSecure.006 Deleted C:\WINDOWS\system32\WinSecure.007 Infected with: Trojan.Keylogger.Ardamax.D C:\WINDOWS\system32\WinSecure.007 Disinfection failed C:\WINDOWS\system32\WinSecure.007 Deleted Seuraavaksi ajan tuon Kasperskyn!
Panda poistaa kyllä virukset, ei muita Kaspersky ei poista mitään, mutta löytää ihan toisella tavalla kun esim. Symantec tai Panda. Mielestäni paremmin kuin BitDefender.
Onko mahdollista, että mato tai troijalainen pystyy hämäämään onlinetutkia niin, että ne eivät löydä mitään? Koneen oma F-secure tai mikä vain ohjelma on shittiä jos kone on kunnolla saastunut.
Harvemmin on asia näin, periaatteessa mahdollista, jos joku rootkit piilottaa muut pöpöt. Ja F-secure imee "kunnon virusten" kanssa peukkua, se on nähty
Kannattaisiko System Restore olla disabloitu jatkuvasti? Olen ymmärtänyt, että jotkin haittaohjelmat väärinkäyttävät sitä palauttalla sieltä jo poistettuja objekteja.
Kaspersky löysi tälläistä: C:\System Volume Information\_restore{C2C48D8A-1043-4D90-9BAD-DD6E755C6B47}\RP43\A0007311.exe Infected: Trojan.Win32.Small.ip skipped C:\System Volume Information\_restore{C2C48D8A-1043-4D90-9BAD-DD6E755C6B47}\RP43\A0007342.exe Infected: Trojan.Win32.Small.ip skipped C:\WINDOWS\system32\WinSecure.004 Infected: Trojan-Spy.Win32.Ardamax.b skipped Otin System Restoren pois käytöstä. Miksi noita WinSecure.xxx-juttuja tulee lisää?
Se on makuasia ja riippuu käyttäjästä. Ns. peruskäyttäjällä on ainakin parempi mielestäni olla se päällä. Koska suurimmalla osalla ei ole imagea, niin muuten voisi tulla format c:, jos tulee paha hätä eikä ole imagea eikä järjestelmän palautusta päällä Se säilöö viruksia, se on totta. Tietääkseni pöpöt eivät kyllä palauta sieltä muita pöpöjä. Poista se winsecure-juttu ja tee tämä: Lataa http://www.bleepingcomputer.com/files/oldtimer/WinPFind.zip WinPFind työpöydällesi. Pura tiedoston WinPFind.zip sisältö (kansio WinPFind) C aseman juureen. Mene sitten kansioon C:\WinPFind ja tuplaklikkaa tiedostoa WinPFind.exe, ohjelma käynnistyy. Paina Start Scan painiketta ja odota kunnes skannaus on valmis. Ohjelma skannaa todella suuren määrään tiedostoja etsien vastaavuutta haittaohjelmille tyypillisiin tiedostoihin, joten ole kärsivällinen ja anna ohjelman skannata. Skannaus saattaa kestää jopa yli 30 minuuttia. Kun skannaus on valmis, ohjelma näyttää skannaustuloksen. Paina Copy to Clipboard painiketta, tulos kopioituu leikepöydälle. Avaa sitten Muistio ja liitä tulos siihen, tallenna dokumentti työpöydälle nimellä WinPFind loki. Liitä sitten tämän dokumentin sisältö viestiketjuusi.
Tälläinen tiedosto myös löytyy jatkuvasti uudelleen: C:\WINDOWS\Prefetch WINSECURE.EXE-3A73EF4A.pf Miten oikein saisin poistettua tuon ardamax.b:n? Ei tunnu poistuvan.
Tyhjennä se prefetch-kansio ja etsi Etsi-toiminnolla, jos winsecure.exejä on lisää. Jos löytyy, poista.
Kiitoksia avustasi. Toivoisin, että ongelmat ovat nyt hoidettu: 1) Winsecure-tiedostoja ei enää löytynyt searchilla 2) Onko kombinaatio Sygate Personal Firewall, Ewido, Spywareguard ja Avast Antivirus hyvä ja turvallinen yhdistelmä koneeni suojaamiseksi jatkossa vai suosittelisitko jonkin ohjelman korvaamista toisella tuotteella? 3) Poistin system restoren käytöstä, koska en pidä ominaisuudesta. Käytän jatkossa myös firefoxia, jospa se olis Exploreria turvallisempi todellakin. Tässä vielä logi PFindistä Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... UPX! 05/31/2006 12:02:04 PM 624640 C:\WINDOWS\SYSTEM32\aswBoot.exe PEC2 08/23/2001 3:00:00 PM 41397 C:\WINDOWS\SYSTEM32\dfrg.msc PECompact2 05/03/2006 9:26:24 PM 5818784 C:\WINDOWS\SYSTEM32\MRT.exe aspack 05/03/2006 9:26:24 PM 5818784 C:\WINDOWS\SYSTEM32\MRT.exe aspack 08/04/2004 12:56:38 AM 708096 C:\WINDOWS\SYSTEM32\ntdll.dll Umonitor 08/04/2004 12:56:46 AM 657920 C:\WINDOWS\SYSTEM32\rasdlg.dll winsync 08/23/2001 3:00:00 PM 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu Checking %System%\Drivers folder and sub-folders... PTech 08/03/2004 10:41:38 PM 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 06/11/2006 3:11:20 PM S 2048 C:\WINDOWS\bootstat.dat 06/05/2006 7:20:16 PM RH 749 C:\WINDOWS\WindowsShell.Manifest 06/05/2006 7:20:20 PM H 65 C:\WINDOWS\Downloaded Program Files\desktop.ini 06/05/2006 7:20:40 PM HS 67 C:\WINDOWS\Fonts\desktop.ini 06/05/2006 7:53:06 PM H 0 C:\WINDOWS\inf\oem8.inf 06/05/2006 7:55:10 PM H 0 C:\WINDOWS\inf\oem9.inf 06/05/2006 7:20:20 PM H 65 C:\WINDOWS\Offline Web Pages\desktop.ini 06/05/2006 7:20:28 PM RHS 727 C:\WINDOWS\PCHealth\HelpCtr\PackageStore\package_1.cab 06/05/2006 7:20:28 PM RHS 19854 C:\WINDOWS\PCHealth\HelpCtr\PackageStore\package_2.cab 06/05/2006 7:20:28 PM RHS 243124 C:\WINDOWS\PCHealth\HelpCtr\PackageStore\package_3.cab 06/08/2006 2:40:10 PM RHS 305145 C:\WINDOWS\PCHealth\HelpCtr\PackageStore\package_7.cab 06/08/2006 2:41:42 PM RHS 68327 C:\WINDOWS\PCHealth\HelpCtr\PackageStore\package_8.cab 06/05/2006 7:21:00 PM H 229376 C:\WINDOWS\repair\ntuser.dat 06/05/2006 7:20:16 PM RH 749 C:\WINDOWS\system32\cdplayer.exe.manifest 06/05/2006 7:20:20 PM RH 488 C:\WINDOWS\system32\logonui.exe.manifest 06/05/2006 7:20:16 PM RH 749 C:\WINDOWS\system32\ncpa.cpl.manifest 06/05/2006 7:20:16 PM RH 749 C:\WINDOWS\system32\nwc.cpl.manifest 06/05/2006 7:20:16 PM RH 749 C:\WINDOWS\system32\sapi.cpl.manifest 06/05/2006 7:20:20 PM RH 488 C:\WINDOWS\system32\WindowsLogon.manifest 06/05/2006 7:20:16 PM RH 749 C:\WINDOWS\system32\wuaucpl.cpl.manifest 04/18/2006 10:17:08 AM S 14054 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB908531.cat 05/18/2006 11:11:30 PM S 225411 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\oem10.CAT 05/10/2006 12:35:00 PM S 7803 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\oem12.CAT 06/11/2006 3:12:26 PM H 1024 C:\WINDOWS\system32\config\default.LOG 06/11/2006 3:12:00 PM H 1024 C:\WINDOWS\system32\config\SAM.LOG 06/11/2006 3:12:26 PM H 1024 C:\WINDOWS\system32\config\SECURITY.LOG 06/11/2006 3:15:14 PM H 1024 C:\WINDOWS\system32\config\software.LOG 06/11/2006 3:13:10 PM H 1024 C:\WINDOWS\system32\config\system.LOG 06/05/2006 10:12:44 PM H 1024 C:\WINDOWS\system32\config\TempKey.LOG 06/05/2006 10:12:44 PM H 1024 C:\WINDOWS\system32\config\userdiff.LOG 06/09/2006 8:26:58 PM H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG 06/05/2006 10:14:28 PM HS 62 C:\WINDOWS\system32\config\systemprofile\Application Data\desktop.ini 06/08/2006 2:46:40 PM S 688 C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5 06/08/2006 2:46:40 PM S 70226 C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\Content\F482C95F83F1B59228F1B1E720F2EDF1 06/08/2006 2:46:40 PM S 94 C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5 06/08/2006 2:46:40 PM S 128 C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\F482C95F83F1B59228F1B1E720F2EDF1 06/05/2006 10:14:28 PM HS 62 C:\WINDOWS\system32\config\systemprofile\Local Settings\desktop.ini 06/05/2006 7:20:30 PM HS 113 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\desktop.ini 06/05/2006 7:20:30 PM HS 113 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\desktop.ini 06/05/2006 7:20:30 PM HS 67 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\desktop.ini 06/05/2006 7:20:30 PM HS 67 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\desktop.ini 06/05/2006 7:20:30 PM HS 67 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8J2ILN6K\desktop.ini 06/05/2006 7:20:30 PM HS 67 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\AX5C2B4T\desktop.ini 06/05/2006 7:20:30 PM HS 67 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BFPR0YYH\desktop.ini 06/05/2006 7:20:30 PM HS 67 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\G97H68FC\desktop.ini 06/05/2006 7:20:20 PM HS 181 C:\WINDOWS\system32\config\systemprofile\SendTo\desktop.ini 06/05/2006 10:14:28 PM HS 62 C:\WINDOWS\system32\config\systemprofile\Start Menu\desktop.ini 06/05/2006 7:20:54 PM HS 206 C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\desktop.ini 06/05/2006 7:20:54 PM HS 482 C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\desktop.ini 06/05/2006 7:20:54 PM HS 348 C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\Accessibility\desktop.ini 06/05/2006 7:20:54 PM HS 84 C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\Entertainment\desktop.ini 06/05/2006 7:20:54 PM HS 84 C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\desktop.ini 06/05/2006 7:33:30 PM HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\03ecd0d2-7e88-42a6-8a66-41444d1e52f6 06/05/2006 7:33:30 PM HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred 06/11/2006 3:11:26 PM H 6 C:\WINDOWS\Tasks\SA.DAT Checking for CPL files... Microsoft Corporation 08/04/2004 12:56:58 AM 68608 C:\WINDOWS\SYSTEM32\access.cpl Realtek Semiconductor Corp. 05/08/2006 4:03:02 PM 18796544 C:\WINDOWS\SYSTEM32\alsndmgr.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 549888 C:\WINDOWS\SYSTEM32\appwiz.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 135168 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 80384 C:\WINDOWS\SYSTEM32\firewall.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 155136 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 358400 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 129536 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 380416 C:\WINDOWS\SYSTEM32\irprops.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 68608 C:\WINDOWS\SYSTEM32\joy.cpl Microsoft Corporation 08/23/2001 3:00:00 PM 187904 C:\WINDOWS\SYSTEM32\main.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 618496 C:\WINDOWS\SYSTEM32\mmsys.cpl Microsoft Corporation 08/23/2001 3:00:00 PM 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 257024 C:\WINDOWS\SYSTEM32\nusrmgr.cpl 03/09/2006 3:29:00 PM 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl Microsoft Corporation 08/23/2001 3:00:00 PM 36864 C:\WINDOWS\SYSTEM32\nwc.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 114688 C:\WINDOWS\SYSTEM32\powercfg.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 298496 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 08/23/2001 3:00:00 PM 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 94208 C:\WINDOWS\SYSTEM32\timedate.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 148480 C:\WINDOWS\SYSTEM32\wscui.cpl Microsoft Corporation 05/26/2005 4:16:30 AM 174360 C:\WINDOWS\SYSTEM32\wuaucpl.cpl Microsoft Corporation 08/04/2004 12:56:58 AM 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl Microsoft Corporation 08/23/2001 3:00:00 PM 187904 C:\WINDOWS\SYSTEM32\dllcache\main.cpl Microsoft Corporation 08/23/2001 3:00:00 PM 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 08/23/2001 3:00:00 PM 36864 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl Microsoft Corporation 08/23/2001 3:00:00 PM 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl Realtek Semiconductor Corp. 08/17/2005 1:25:20 PM R 18771968 C:\WINDOWS\SYSTEM32\ReinstallBackups\0004\DriverFiles\ALSNDMGR.CPL »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 06/05/2006 7:20:54 PM HS 84 C:\Documents and Settings\All Users\Start Menu\Programs\Startup\desktop.ini Checking files in %ALLUSERSPROFILE%\Application Data folder... 06/05/2006 10:14:28 PM HS 62 C:\Documents and Settings\All Users\Application Data\desktop.ini Checking files in %USERPROFILE%\Startup folder... 06/06/2006 10:58:02 PM 988 C:\Documents and Settings\Tommi\Start Menu\Programs\Startup\Adobe Gamma.lnk 06/05/2006 7:20:54 PM HS 84 C:\Documents and Settings\Tommi\Start Menu\Programs\Startup\desktop.ini 06/11/2006 2:23:50 PM 650 C:\Documents and Settings\Tommi\Start Menu\Programs\Startup\SpywareGuard.lnk Checking files in %USERPROFILE%\Application Data folder... 06/05/2006 10:14:28 PM HS 62 C:\Documents and Settings\Tommi\Application Data\desktop.ini »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] SV1 = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] {81559C35-8464-49F7-BB0E-07A383BEF910} = C:\Program Files\SpywareGuard\spywareguard.dll [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\avast {472083B0-C522-11CF-8763-00608CC02F24} = C:\Program Files\Alwil Software\Avast4\ashShell.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Program Files\ewido anti-malware\context.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Program Files\Nero\Nero 7\Nero BackItUp\NBShell.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\avast {472083B0-C522-11CF-8763-00608CC02F24} = C:\Program Files\Alwil Software\Avast4\ashShell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Program Files\Nero\Nero 7\Nero BackItUp\NBShell.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Program Files\ewido anti-malware\context.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7D4D6379-F301-4311-BEBA-E26EB0561882} = C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} AcroIEHlprObj Class = C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4A368E80-174F-4872-96B5-0B27DDD11DB2} SpywareGuardDLBLOCK.CBrowserHelper = C:\Program Files\SpywareGuard\dlprotect.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F} = C:\Program Files\Spybot - Search & Destroy\SDHelper.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tip of the Day = %SystemRoot%\System32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} MenuText = Uninstall BitDefender Online Scanner v8 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263} ButtonText = Oheistiedot : [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478} = [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Address : %SystemRoot%\System32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Address : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] SmcService C:\PROGRA~1\Sygate\SPF\smc.exe -startgui avast! C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup NvMediaCenter RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit NeroFilterCheck C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe SoundMan SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] googletalk "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart MsnMsgr "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background MCW Startup "C:\Program Files\Monitor Calibration Wizard\MCW.exe" /s /p [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = Explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 06/11/2006 3:16:12 PM Löytyykö omituisuuksia?
Näyttäis olevan ok Yhdistelmä kuulostaa hyvältä, lisäksi siihen Spywareblaster. Vaihda sitten kaikki salasanat (mielellään vielä joltain toiselta koneelta) ja ota yhteyttä pankkiin ja luottokorttifirmaan.
No niin...Olisikohan haittaohjelma sitten poistunut. Prefetch-kansio on tyhjä, winsecure.xxx tiedostoja ei enää löydy ja Kaspersky ei löydä mitään. Vaihdoin salasanani pankkiin ja pokerisaiteille, joissa pelaan. Pidän melko epätodennäköisenä, että mitään tietojani kuitenkaan pääsi vuotamaan, koska estin nämä epäilyttävät yhteydenotot. Mielenkiintoista olisi tietää, että mistä tämä ongelma lähti. Olisiko ollut siitä, että Windowsissani oli vain SP1 ja kun menin nettiin sillä, sain kerran jonkinlaisen erikoisen pop upin, joka viittaa juuri näin sysprotect-paskoihin, vaikka surffailin vaan perussivuilla. Mielestäni en ole asentanut mitään vaaralliselta vaikuttavaa. Hieman tästä jäi sellainen olo, että on syytä alkaa vainoharhaisemmaksi. Aiemmin olen käyttänyt samoja salasanoja ja ajatellut, että ei niitä viruksia niin vain itsellään tule, mutta tämä avasi silmäni, että niitä voi tulla salakavalasti ja ovat kiusallisia (laajentuvat). Vielä sellainen kysymys, että pitäisikö noita cookiesseja käsitellä, vai onko samantekevää tallentuuko niitä koneelleni? Ne eivät nyt kuitenkaan mitään salasanoja varastele, mutta kaikki saitit eivät toimi jos keksejä ei ole.
Juu, jos mukana on yksikin downloader, niin voi olla kone täynnä p*skaa hyvin pian Sitä on mahdoton sanoa, että mistä se on peräisin. Myös sähköpostien yms. salasanat kannattaa vaihtaa. Spywareblaster estää haitalliset cookiet, muilla ei niin väliä Toki voi laittaa poistamaan cookiet kun selain suljetaan jos haluaa.
