Ystäväni kone. Virus pesäke

Elikkäs olen nytten ystävi luona lomalla mutta tuntuu että kone on Tampereen "Viirus pesä" . se lataa windownsin ainakin 4 kertaa, sillä menee käynnistyessä varmaan 30 min ennen kuin saat netin auki... haluatteko/voitteko kertoa mitään tapaa millä saaha tää kone toimii taas... Windowsin levyä ei oo just nyt saatavilla. Haluatteko että laitan "Hijackthis" login esille... luulltavimmin tampereen saastunein kone .

 

Suosittelen kyllä laittamaan HJT-logia ja kenties Malwarebytes' Anti-Malware logia kans.

 

Siin HJT log


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Documents and Settings\AKK\Local Settings\Apps\2.0\8TETVTNY.26W\33Y6DVLP.J5O\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\CurseClient.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Doc Pro Scheduler] D:\PC Doc Pro v5\PC Doc Pro Scheduler.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-21-1801674531-1659004503-839522115-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CurseClientStartup.ccip
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: NordicBet - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\NordicBetMPP\MPPoker.exe (HKCU)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1263394408625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 4882 bytes


Ja tässä on se toinen...

Malwarebytes' Anti-Malware 1.44
Tietokantaversio: 3826
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

5.3.2010 21:39:50
mbam-log-2010-03-05 (21-39-43).txt

Tarkistustyyppi: Täysi tarkistus (C:\|D:\|)
Tarkistetut kohteet: 179228
Kulunut aika: 2 hour(s), 42 minute(s), 58 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 2

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
C:\System Volume Information\_restore{680BDFD1-14CF-4DEB-A760-A5F7DC74AF93}\RP309\A0081312.exe (Rogue.PCDocPro) -> No action taken.
D:\Asennus\PcDocPro_Setup.exe (Rogue.PCDocPro) -> No action taken.


Ja unohdin ilmoittaa että hiiri "kursori" tai vastaa va jumittaa joka 5 minuutti paikalleen ja jää siihen... mutta pystyn silti sulkemaan kansioita ja muutavastaa pienen haun jälkeen kun se kursori sattuu olemaan näkymätön 5-60 sekunttia jonkä jälkeen se toimii taas normaalisti pari minuuttia...

Hiiren vaihto ei ole auttanut... luultiin aluksi että vika on hiiressä

 

Ainakin tuo

Code:

C:\Documents and Settings\AKK\Local Settings\Apps\2.0\8TETVTNY.26W\33Y6DVLP.J5O\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\CurseClient.exe 

.. Iski silmään tuossa hjt logissa

Code:

C:\System Volume Information\_restore{680BDFD1-14CF-4DEB-A760-A5F7DC74AF93}\RP309\A0081312.exe (Rogue.PCDocPro) -> No action taken.
D:\Asennus\PcDocPro_Setup.exe (Rogue.PCDocPro) -> No action taken. 

Kannattaa poistaa.. Alempi ihan vain normaalisti ja tuo ylempi ottamalla järjestelmän palautus pois päältä ja takaisin päälle.

Ja noista pokereista kannattaa hankkiutua eroon, niistä tulee tunnetusti pöpö jos toinenkin

Samoin jos koneen speksit (tehot) olisivat tiedossa niin tietäisi missä päin sitä vikaa voisi olla..

 

Tota joo sanoppas miten katson/kerron ne teille...

Kone on myös muuten aivan täynnä pölyä ja muuta pas*** niin nopeutusko jos putsais...

 

Kyllähän se kannattaa puhtaana pitää.

 

Ei välttämättä nopeudu, mutta pysyy varmemmin käynnissä + ei ylikuumene.