Malware Defence + Combofix + ajoin Spybotin

Koneeseeni latautui eilen Malware Defence. Käytössä oli AVG-virusohjelma, joka kyllä löysi viruksen, mutta ei estänyt eikä poistanut sitä. Yritin sen jälkeen asentaa DNA nettiturvan, Avastin ja Malwarebytes' Anti-Malwaren. Näiden asennus ei onnistunut. Löysin ohjeistanne Combofixin ohjeet ja ajoin sen. Kun Combofin teki raporttia, käynnistyivät asentamani virusohjelmat, toivottavasti ne eivät häirinneet Combofixiä. Alla Combofinin raportti. Olen nyt käynnistänyt Avastin, onko se riittävä torjuntaohjelma tai mitä pitää asentaa lisäksi. Ilmeisesti Malwarebytes' Anti-Malware ja DNA nettiturva pitää poistaa ettei ole päällekkäisiä ohjelmia käytössä.

Olen edelleen vikasietotilassa, miten jatkan tästä eteenpäin?

ComboFix 09-12-25.04 - Annette 26.12.2009 16:16:37.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.358.1035.18.1535.1077 [GMT 2:00]
Sijainti: c:\documents and settings\Annette.DNA-ANNETTE\Työpöytä\Annette.exe
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\ANNETT~1.DNA\LOCALS~1\Temp\wscsvc32.exe
c:\windows\system32\drivers\H8SRTivflwgamhs.sys
c:\windows\system32\H8SRTaaaouftbbn.dll
c:\windows\system32\H8SRTbcxipauxrp.dat
c:\windows\system32\H8SRTqausdghryv.dll
c:\windows\system32\krl32mainweq.dll
c:\windows\system32\srcr.dat

.
((((((((((((((((((((((((((((((((((((((( Ajurit/Palvelut )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys


((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-11-26 to 2009-12-26 )))))))))))))))))
.

2009-12-26 14:03 . 2009-12-26 14:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-26 11:37 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-26 11:37 . 2009-12-26 11:37 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-26 11:37 . 2009-12-26 11:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-26 11:37 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-26 11:23 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-12-26 11:23 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-12-26 11:23 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-12-26 11:23 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-12-26 11:23 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-12-26 11:23 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-12-26 11:23 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-12-26 11:23 . 2009-11-24 23:50 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-12-26 11:22 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-12-26 11:22 . 2009-12-26 11:22 -------- d-----w- c:\program files\Alwil Software
2009-12-26 10:57 . 2009-12-26 13:04 -------- d-----w- c:\program files\Windows Defender
2009-12-26 10:54 . 2009-12-26 14:03 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-25 21:00 . 2009-12-25 21:00 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\AVGTOOLBAR
2009-12-25 20:45 . 2009-12-25 20:45 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\F-Secure
2009-12-25 20:44 . 2009-12-25 22:32 -------- d-----w- c:\program files\DNA Nettiturva
2009-12-25 20:40 . 2009-12-25 20:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Conduit
2009-12-25 20:40 . 2009-12-25 20:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\BS_Player
2009-12-25 20:40 . 2009-12-25 20:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\AskToolbar
2009-12-25 19:04 . 2009-12-25 19:04 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-12-25 11:24 . 2009-12-25 11:24 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\AVS4YOU
2009-12-25 11:24 . 2009-12-25 11:24 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2009-12-25 11:22 . 2009-12-25 22:21 -------- d-----w- c:\program files\Common Files\AVSMedia
2009-12-25 11:22 . 2008-08-13 08:22 974848 ----a-w- c:\windows\system32\mfc70.dll
2009-12-25 11:22 . 2008-08-13 08:22 487424 ----a-w- c:\windows\system32\msvcp70.dll
2009-12-25 11:22 . 2008-08-13 08:22 344064 ----a-w- c:\windows\system32\msvcr70.dll
2009-12-25 11:22 . 2009-12-25 22:21 -------- d-----w- c:\program files\AVS4YOU
2009-12-25 11:22 . 2008-08-13 08:22 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2009-12-25 11:22 . 2008-08-13 08:22 24576 ----a-w- c:\windows\system32\msxml3a.dll
2009-12-24 11:03 . 2009-12-24 11:03 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-12-24 11:03 . 2009-12-24 11:03 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\BS_Player
2009-12-22 15:44 . 2009-12-22 15:44 -------- d-----w- c:\program files\Webteh
2009-12-22 15:44 . 2009-12-22 15:44 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\BSplayer PRO
2009-12-21 21:23 . 2009-12-26 13:43 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Local Settings\Application Data\AskToolbar
2009-12-21 21:23 . 2009-12-21 21:23 -------- d-----w- c:\program files\Ask.com
2009-12-21 21:22 . 2009-12-26 13:13 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\uTorrent
2009-12-01 16:03 . 2009-12-01 16:03 -------- d-----w- c:\program files\MSECache
2009-11-28 14:37 . 2009-11-28 14:37 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-26 14:28 . 2004-09-15 12:00 53622 ----a-w- c:\windows\system32\perfc00B.dat
2009-12-26 14:28 . 2004-09-15 12:00 295192 ----a-w- c:\windows\system32\perfh00B.dat
2009-12-26 13:22 . 2007-11-28 19:06 68648 -c--a-w- c:\documents and settings\Annette.DNA-ANNETTE\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-26 13:18 . 2008-01-26 17:09 -------- d-----w- c:\program files\Viewpoint
2009-12-25 22:42 . 2009-05-22 19:10 -------- d-----w- c:\documents and settings\All Users\Application Data\avg8
2009-12-25 22:17 . 2007-11-13 07:34 -------- d-----w- c:\documents and settings\All Users\Application Data\F-Secure
2009-12-25 21:45 . 2007-10-30 07:30 -------- d-----w- c:\documents and settings\All Users\Application Data\fssg
2009-12-25 20:45 . 2007-11-26 19:58 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\F-Secure
2009-12-22 15:25 . 2009-12-22 15:25 8790344 ----a-w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\uTorrent\BSplayer Pro 2.27 Build 959\bsplayer_pro227_Build_959.exe
2009-12-12 09:51 . 2009-12-12 09:52 2065688 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgcorex.dll
2009-11-28 14:36 . 2007-11-17 17:06 -------- d-----w- c:\program files\Google
2009-11-27 19:57 . 2009-12-12 09:52 3514648 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgui.exe
2009-11-27 19:57 . 2009-12-12 09:52 2029336 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgtray.exe
2009-10-29 07:43 . 2004-09-15 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:40 . 2004-09-15 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:40 . 2004-09-15 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-09-15 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:34 . 2004-09-15 12:00 270848 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-09-15 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-09-15 12:00 150016 ----a-w- c:\windows\system32\rastls.dll
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2009-09-02 12:56 1175944 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2009-09-02 1175944]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2009-09-02 1175944]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-03-28 1079296]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 1232896]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-28 39408]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-13 88209]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"AClntUsr"="c:\program files\Altiris\AClient\AClntUsr.EXE" [2008-09-18 184320]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-22 483328]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-12-11 30192]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-08 305440]
"F-Secure Manager"="c:\program files\DNA Nettiturva\Common\FSM32.EXE" [2009-07-09 199264]
"F-Secure TNB"="c:\program files\DNA Nettiturva\FSGUI\TNBUtil.exe" [2009-07-09 2349664]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 1232896]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-28 39408]

c:\documents and settings\Administrator\K„ynnist„-valikko\Ohjelmat\K„ynnistys\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\documents and settings\All Users\K„ynnist„-valikko\Ohjelmat\K„ynnistys\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1044-F000-7760-100000000002}\SC_Acrobat.exe [2007-10-30 25214]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-6 561213]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Altiris\\AClient\\AClntUsr.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26.12.2009 13:23 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26.12.2009 13:23 20560]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [26.10.2007 10:06 87936]
S2 Viewpoint Service;Viewpoint Service;"c:\program files\Viewpoint\Common\ViewpointService.exe" --> c:\program files\Viewpoint\Common\ViewpointService.exe [?]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\c:\program files\DNA Nettiturva\Anti-Virus\minifilter\fsgk.sys --> c:\program files\DNA Nettiturva\Anti-Virus\minifilter\fsgk.sys [?]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [16.12.2007 23:56 30192]
S4 F-Secure Filter;F-Secure File System Filter;\??\c:\program files\DNA Nettiturva\Anti-Virus\Win2K\FSfilter.sys --> c:\program files\DNA Nettiturva\Anti-Virus\Win2K\FSfilter.sys [?]
S4 F-Secure Recognizer;F-Secure File System Recognizer;\??\c:\program files\DNA Nettiturva\Anti-Virus\Win2K\FSrec.sys --> c:\program files\DNA Nettiturva\Anti-Virus\Win2K\FSrec.sys [?]
.
------- Täydentävä tarkistus -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1750559
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Lähetä &Bluetooth-laitteeseen... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Muunna Adobe PDF -muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Muunna linkin kohde Adobe PDF -muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Muunna linkin kohde nykyiseen PDF-muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Muunna nykyiseen PDF-muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Muunna valinta Adobe PDF -muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Muunna valinta nykyiseen PDF-muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Muunna valitut linkit Adobe PDF -muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Muunna valitut linkit nykyiseen PDF-muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
Trusted Zone: ambientedirect.com\ssl
Trusted Zone: light11.eu\www
DPF: {FEC580C4-1D50-4468-B4E0-682A2491A5F0} - hxxp://www.securycast.com/download/scprintcdcover.ocx
.
- - - - POISTETUT JÄMÄRIVIT - - - -

HKCU-Run-MFServer - c:\program files\Kjaeruff1\PVRManager\mfserver.exe
HKCU-Run-Malware Defense - c:\program files\Malware Defense\mdefense.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-26 16:26
Windows 5.1.2600 Service Pack 3 NTFS

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************
.
--------------------- LUKITUT REKISTERIAVAIMET ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\�•€|ÿÿÿÿ"•€|þ»Ów*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"
.
--------------------- Prosesseihin ladatut DLLt ---------------------

- - - - - - - > 'winlogon.exe'(924)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3948)
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\program files\Nokia\Nokia PC Suite 6\phonebrowser.dll
c:\program files\Nokia\Nokia PC Suite 6\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_fin.nlr
c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Muut prosessit ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\System32\SCardSvr.exe
c:\windows\AGRSMMSG.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\DNA Nettiturva\Common\FSMA32.EXE
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\Common Files\Nokia\MPAPI\MPAPI3s.exe
c:\windows\system32\wscntfy.exe
c:\program files\DNA Nettiturva\Common\FSLAUNCH.EXE
c:\\?\c:\windows\system32\WBEM\WMIADAP.EXE
.
**************************************************************************
.
Valmistumisajankohta: 2009-12-26 16:30:28 - kone käynnistettiin uudelleen
ComboFix-quarantined-files.txt 2009-12-26 14:30

Ennen ajoa: 1 778 593 792 tavua vapaana
Ajon jälkeen: 2 533 355 520 tavua vapaana

WindowsXP-KB310994-SP2-Pro-BootDisk-FIN.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - C89CDB8A5774EBBE479ECAF44775DB4F

 

Ajoin vielä Spybotin ja se löysi nämä, jotka poistin.

Voinko jo luottaa, että kone on puhdas?

Virus on ilmeisesti tullut jostain uTorrentista,miten voin välttää ne jatkossa?

Fraud.MalwareDefense: [SBI $655F7E78] Asetukset (Rekisteriavain, fixed)
HKEY_USERS\S-1-5-21-57989841-261478967-725345543-1005\Software\Malware Defense
WebTrends live: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
HitBox: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
Zedo: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
DoubleClick: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
AdRevolver: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
Clickbank: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
Tradedoubler: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
Right Media: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
Statcounter: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
CasaleMedia: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
HitBox: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
AdRevolver: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
LinkSynergy: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
MediaPlex: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
MediaPlex: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
FastClick: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
MediaPlex: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
HitBox: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
Adviva: Vakoilueväste (Internet Explorer: Annette) (Eväste, fixed)
--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---
2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-01-26 TeaTimer.exe (1.6.4.26)
2009-12-26 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-01-26 advcheck.dll (1.6.2.15)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-10-08 Includes\Adware.sbi (*)
2009-12-22 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2009-12-22 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2009-12-22 Includes\HijackersC.sbi (*)
2009-12-15 Includes\Keyloggers.sbi (*)
2009-12-22 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2009-12-15 Includes\Malware.sbi (*)
2009-12-23 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2009-12-15 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2009-12-22 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-11-03 Includes\Spyware.sbi (*)
2009-12-22 Includes\SpywareC.sbi (*)
2009-06-08 Includes\Tracks.uti
2009-12-08 Includes\Trojans.sbi (*)
2009-12-22 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

 

Hei. Tämä sama Malware Defence tuli Win XP Home Editioniin. Se sammuttaa koneen vähän väliin. Malwarebytes Anti-Malware ei käynnisty eikä toimi. Mikä avuksi?

 

Ajoin myös Malwaren ja yksi Troijalainen löytyi edelleen. Myös Avast löysi saman, poistin sen. Ajoin sitten uudelleen vielä Combofixin, kun ei tunnu pelittävän kunnolla, alla uusi logi. Järjestelmä ilmoittaa vähän väliä, että C:llä on vähän tilaa ja olen nyt poistanut sieltä jo kaikki mahdolliset ylimääräiset ohjelmat. Onko tämä viruksen tekosia myös?


Mitä vielä voin tehdä?

ComboFix 09-12-25.04 - Annette 26.12.2009 20:37:44.2.1 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.358.1035.18.1535.1246 [GMT 2:00]
Sijainti: c:\documents and settings\Annette.DNA-ANNETTE\Työpöytä\Annette.exe
AV: avast! antivirus 4.8.1368 [VPS 091226-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-11-26 to 2009-12-26 )))))))))))))))))
.

2009-12-26 15:43 . 2009-12-26 15:43 4844296 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-26 15:42 . 2009-12-26 15:42 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\Malwarebytes
2009-12-26 14:03 . 2009-12-26 15:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-26 11:37 . 2009-12-03 14:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-26 11:37 . 2009-12-26 17:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-26 11:37 . 2009-12-26 11:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-26 11:37 . 2009-12-03 14:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-26 11:23 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-12-26 11:23 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-12-26 11:23 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-12-26 11:23 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-12-26 11:23 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-12-26 11:23 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-12-26 11:23 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-12-26 11:23 . 2009-11-24 23:50 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-12-26 11:22 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-12-26 11:22 . 2009-12-26 11:22 -------- d-----w- c:\program files\Alwil Software
2009-12-26 10:57 . 2009-12-26 13:04 -------- d-----w- c:\program files\Windows Defender
2009-12-26 10:54 . 2009-12-26 14:03 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-25 21:00 . 2009-12-25 21:00 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\AVGTOOLBAR
2009-12-25 20:45 . 2009-12-25 20:45 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\F-Secure
2009-12-25 20:44 . 2009-12-25 22:32 -------- d-----w- c:\program files\DNA Nettiturva
2009-12-25 20:40 . 2009-12-25 20:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Conduit
2009-12-25 20:40 . 2009-12-25 20:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\BS_Player
2009-12-25 20:40 . 2009-12-25 20:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\AskToolbar
2009-12-25 19:04 . 2009-12-25 19:04 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-12-25 11:24 . 2009-12-25 11:24 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\AVS4YOU
2009-12-25 11:24 . 2009-12-25 11:24 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2009-12-25 11:22 . 2009-12-25 22:21 -------- d-----w- c:\program files\Common Files\AVSMedia
2009-12-25 11:22 . 2008-08-13 08:22 974848 ----a-w- c:\windows\system32\mfc70.dll
2009-12-25 11:22 . 2008-08-13 08:22 487424 ----a-w- c:\windows\system32\msvcp70.dll
2009-12-25 11:22 . 2008-08-13 08:22 344064 ----a-w- c:\windows\system32\msvcr70.dll
2009-12-25 11:22 . 2009-12-25 22:21 -------- d-----w- c:\program files\AVS4YOU
2009-12-25 11:22 . 2008-08-13 08:22 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2009-12-25 11:22 . 2008-08-13 08:22 24576 ----a-w- c:\windows\system32\msxml3a.dll
2009-12-24 11:03 . 2009-12-24 11:03 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-12-24 11:03 . 2009-12-24 11:03 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\BS_Player
2009-12-22 15:44 . 2009-12-22 15:44 -------- d-----w- c:\program files\Webteh
2009-12-22 15:44 . 2009-12-22 15:44 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\BSplayer PRO
2009-12-22 15:25 . 2009-12-22 15:25 8790344 ----a-w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\uTorrent\BSplayer Pro 2.27 Build 959\bsplayer_pro227_Build_959.exe
2009-12-21 21:22 . 2009-12-26 13:13 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\uTorrent
2009-12-12 09:52 . 2009-12-12 09:51 2065688 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgcorex.dll
2009-12-12 09:52 . 2009-11-27 19:57 3514648 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgui.exe
2009-12-12 09:52 . 2009-11-27 19:57 2029336 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgtray.exe
2009-12-01 16:03 . 2009-12-01 16:03 -------- d-----w- c:\program files\MSECache
2009-11-28 14:37 . 2009-11-28 14:37 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-26 18:35 . 2007-11-17 17:08 -------- d-----w- c:\program files\Common Files\Real
2009-12-26 18:30 . 2007-11-17 17:06 -------- d-----w- c:\program files\Google
2009-12-26 18:29 . 2004-09-15 12:00 53212 ----a-w- c:\windows\system32\perfc00B.dat
2009-12-26 18:29 . 2004-09-15 12:00 294622 ----a-w- c:\windows\system32\perfh00B.dat
2009-12-26 13:22 . 2007-11-28 19:06 68648 -c--a-w- c:\documents and settings\Annette.DNA-ANNETTE\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-26 13:18 . 2008-01-26 17:09 -------- d-----w- c:\program files\Viewpoint
2009-12-25 22:42 . 2009-05-22 19:10 -------- d-----w- c:\documents and settings\All Users\Application Data\avg8
2009-12-25 22:17 . 2007-11-13 07:34 -------- d-----w- c:\documents and settings\All Users\Application Data\F-Secure
2009-12-25 21:45 . 2007-10-30 07:30 -------- d-----w- c:\documents and settings\All Users\Application Data\fssg
2009-12-25 20:45 . 2007-11-26 19:58 -------- d-----w- c:\documents and settings\Annette.DNA-ANNETTE\Application Data\F-Secure
2009-10-29 07:43 . 2004-09-15 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:40 . 2004-09-15 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:40 . 2004-09-15 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-09-15 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:34 . 2004-09-15 12:00 270848 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-09-15 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-09-15 12:00 150016 ----a-w- c:\windows\system32\rastls.dll
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-03-28 1079296]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 1232896]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-13 88209]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"AClntUsr"="c:\program files\Altiris\AClient\AClntUsr.EXE" [2008-09-18 184320]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-22 483328]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-12-11 30192]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-08 305440]
"F-Secure Manager"="c:\program files\DNA Nettiturva\Common\FSM32.EXE" [2009-07-09 199264]
"F-Secure TNB"="c:\program files\DNA Nettiturva\FSGUI\TNBUtil.exe" [2009-07-09 2349664]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-12-03 1394000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 1232896]

c:\documents and settings\Administrator\K„ynnist„-valikko\Ohjelmat\K„ynnistys\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\documents and settings\All Users\K„ynnist„-valikko\Ohjelmat\K„ynnistys\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1044-F000-7760-100000000002}\SC_Acrobat.exe [2007-10-30 25214]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-6 561213]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Altiris\\AClient\\AClntUsr.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26.12.2009 13:23 114768]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26.12.2009 13:23 20560]
S2 Viewpoint Service;Viewpoint Service;"c:\program files\Viewpoint\Common\ViewpointService.exe" --> c:\program files\Viewpoint\Common\ViewpointService.exe [?]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\c:\program files\DNA Nettiturva\Anti-Virus\minifilter\fsgk.sys --> c:\program files\DNA Nettiturva\Anti-Virus\minifilter\fsgk.sys [?]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [16.12.2007 23:56 30192]
S3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [26.10.2007 10:06 87936]
S4 F-Secure Filter;F-Secure File System Filter;\??\c:\program files\DNA Nettiturva\Anti-Virus\Win2K\FSfilter.sys --> c:\program files\DNA Nettiturva\Anti-Virus\Win2K\FSfilter.sys [?]
S4 F-Secure Recognizer;F-Secure File System Recognizer;\??\c:\program files\DNA Nettiturva\Anti-Virus\Win2K\FSrec.sys --> c:\program files\DNA Nettiturva\Anti-Virus\Win2K\FSrec.sys [?]
.
------- Täydentävä tarkistus -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1750559
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Lähetä &Bluetooth-laitteeseen... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Muunna Adobe PDF -muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Muunna linkin kohde Adobe PDF -muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Muunna linkin kohde nykyiseen PDF-muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Muunna nykyiseen PDF-muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Muunna valinta Adobe PDF -muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Muunna valinta nykyiseen PDF-muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Muunna valitut linkit Adobe PDF -muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Muunna valitut linkit nykyiseen PDF-muotoon - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
Trusted Zone: ambientedirect.com\ssl
Trusted Zone: light11.eu\www
DPF: {FEC580C4-1D50-4468-B4E0-682A2491A5F0} - hxxp://www.securycast.com/download/scprintcdcover.ocx
.
- - - - POISTETUT JÄMÄRIVIT - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKU-Default-Run-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-26 20:44
Windows 5.1.2600 Service Pack 3 NTFS

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************
.
--------------------- Prosesseihin ladatut DLLt ---------------------

- - - - - - - > 'winlogon.exe'(228)
c:\windows\system32\Ati2evxx.dll
.
Valmistumisajankohta: 2009-12-26 20:46:54
ComboFix-quarantined-files.txt 2009-12-26 18:46
ComboFix2.txt 2009-12-26 14:30

Ennen ajoa: 79 638 528 tavua vapaana
Ajon jälkeen: 53 030 912 tavua vapaana

- - End Of File - - C2BAD21D9C0EEA28238EB802FD41BE06

 

Tässä edelliseen viesiin logi.

Malwarebytes' Anti-Malware 1.42
Tietokantaversio: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.12.2009 20:22:44
mbam-log-2009-12-26 (20-22-44).txt

Tarkistustyyppi: Täysi tarkistus (C:\|D:\|E:\|)
Tarkistetut kohteet: 218364
Kulunut aika: 55 minute(s), 24 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 1

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\H8SRTivflwgamhs.sys.vir (Malware.Packer) -> Quarantined and deleted successfully.

 

SUOSITTELEN LUKEMMAAN KOKO TEKSTIN EKANA LÄPI ENNENKU TEKKEEPI YHTÄÄN MITTÄÄN TUOSTA TEKSTIN SISÄLLÖSTÄ!!!

Toivottavasti enkku taittuu....
Allaolevassa linkissä on pientä artikkelia kysseisestä viruksesta ja vinkkiä että mitä kannattasi tehä...

http://www.2-viruses.com/remove-malware-defense

Lyhyesti voisin sannoo ite, että laittaa käyttis uusiksi (noppeempi ratkasu), jos on osioitu asemat ja omissa tiedostoissa ei oo mittään tähellistä taikka ne saapi taltteen ja tarkastettua jollaki "puhtaalla" konneella että ei oo pöpöjä tarttunu mukkaan varmuuskopioinnin aikana. Ja jos on usseempia asemia, niin kannattaa tarkistaa "System Volume Information" -piilokansiot kaikista asemista. Kyseiset kansiot saapi auki komennolla:
cacls "asema:\System Volume Information" /e /t /p kaikki:f
Ja sulettaan komennolla:
cacls "asema:\System Volume Information" /e /t /p kaikki:n
(HUOM! Home Edition XP:llä ei välttämättä hyväksy ylläolevia koomentoja rajoitusten takia)

System Volume Information -kansiot saa näkyviin seuraavanlaisesti: (HUOM! ohje vain XP-käyttöjärjestelmille)

1. Oma Tietokone
2. Ylläältä valikoista valihe "Työkalut"
3. Valihe sen valikon alta "Kansion Asetukset..."
4. Valihe "Näytä" -välilehti
5. Rullaa "lisäasetukset" -pikkuikkunnaa alemmas ja ota rasti pois kohasta "Piilota suojatut käyttöjärjestelmätiedostot (suositus)"...Tässä kohtaa Windows kyssyy varmistusta. Valitaan "Kyllä". Hieman alemmassa kohassa laita pallukka kohtaan "Näytä piilotetut tiedostot ja kansiot".
6. OK.
7. Käynnistä -> Suorita... TAI windows-logo-nappi+R ja kirjota "Suorita" -ikkunaan ylläoleva koodi joka aukassee "System Volume Information" -kansion/kansiot
8. Poista kaikki mahollinen mikä irti lähtee!!
9. Sama ku kohta 7. mutta kääntteisesti, eli sule kansio/kansiot ylläolevalla koodilla
10. Kohta 5. kääntteisesti, eli rasti takasi kohtaan "Piilota suojatut käyttöjärjestelmätiedostot (suositus)" ja pallukka kohtaan "Älä näytä piilotettuja tiedostoja ja kansioita".


Tämä Malware Defence -virus luokitellaan erittäin haitalliseksi!!!


Jos tullee lukemmaan se teksti hässäkkä, että kone sammuu itestään jonkin ajan kuluttua, niin käytä tätä komenttoo "Suorita..." -ikkunassa:
shutdown /a
TAI
shutdown -a
Kummatki ajjaa saman asian. Mutta jos sammuu iliman varotusta, niin sitten on jo huolestuttavan kuulosta eli pitäsi saaha se virus tuhottua mahollisimman pian pois sieltä konneelta.

::HUOMIOITAVIA ASIOITA::
- Ja kun tarkistatte konetta viruksista, niin kone pois verkosta ennen tarkistuksen alottamista ellei kysseessä oo Online tarkistus.

- Kahtokkaa että "cacls" -komennossa on se aseman jäläkkeen myös se kansion polku (esim. cacls "C:\System Volume Information".....), mutta kuhan EI Windows / Documents And Settings / Program Files / tai muu järjestelmäkansio, sillä sitten mennee ainaki winukki uusiksi!!!

- Jos takuita jälellä konneessa, niin kannattaa käyvä kysymässä että korjaako ne sen konneen takkuita vastaan ennenku ite tekkeepi mittään.

- Koneessa saa olla vain ja ainostaan YKSI viruksentorjunta -ohjelma kerrallaan!!

Toivottavasti tästä oli jottain apua


- Freyor -

 

Tuo komento ei toimi, ikkuna ei avaudu.

 

Katso pääsetkö System Volume Information -kansion sisälle....Kato että oot tehny kohta 5.

Tai jos tarkotit että "Suorita..." -ikkuna ei auvennut, niin klikkaa vasemmasta alalaista "Käynnistä" ja sieltä "Suorita...".

Jos ei vieläkkään, niin kirjota "Suorita..." -ikkunnaan "cmd"

avvauttuu komentokehote -ikkuna. Kirjota sinne tuo cacls -komento ja kato mitä se sannoo...

ja se sana "ASEMA:\" tarkottaa vaan kuvannoillisesti jotakin aseman kirjainta...Esim. C:\ tai D:\ tai E:\ jne jne jne.....

Ja toivottavasti oot lukenu tekstin läpi, sillä tuo "cacls" -komento voi aiheuttaa oikkeesti sitä päänvaivvaa jos sitä mennee summassa käyttämmään!!

 

Siis tarkoitin , että saan suorita-ikkunan auki, mutta kun kopioin komennon siihen, niin se ei avaa tiedostokansiota.

 

Eli kirjota tai kopsaa....oletan että sulla on Windows XP ja suomenkielinen järjestelmä::

cacls "C:\System Volume Information" /e /t /p kaikki:f

Jos saat tuolla auki, niin muista sitten myös sulukkee jälestäpäin komennolla

cacls "C:\System Volume Information" /e /t /p kaikki:n

Mutta jos et pääse ollenkaan tuonne kansioon, niin sillon eppäilen käyttöoikeutesi ei riitä siihen touhhuun....Eli sulla on sillon mahollisesti käytössä Home Edition versio XP:stä tai toinen mahollinen vaihtoehto on että et oo kirjautunu Järjestelmänvalvoja oikeuksilla, mutta jos joka tappauksessa et saa sitä kansioo auki, niin koita saaha jollaki keinolla se virus sieltä pois...Vaikkapa antamani linkin avulla. Se virus tunttuupi tekevän uusia pesäkkeitä ku syöpäläinen konsannaan...sikäli tymppee...mutta henkilökohtasesti laittasin käyttiksen uusiksi, ku siinä ei mee ku kaikenkaikkiaan noin 3 tuntia ohjelmistoinneen päivityksinneen..... CCleaner on hyvä ohjelma konneen pikasseen putsaukseen...Suomenkielinenki.

Jos ei näistä milläänlailla ollu apua, niin toivottasti joku toinen ossaapi selostaa paremmin niksejä taikka saisit jollaki keinolla konneen kunttoon...

Hyviä Tapaninpäiviä ja Uuven vuojen ootusta


- Freyor -

 

OK, kiitos. Ehkä on parasta ajaa kaikki uudelleen, niin ei sitten ainakaan tarvitse enää olla huolissaan haitoista. Mutta neuvotko vielä, että minkälainen virusohjelma olisi paras pitää koneella, jotta moiselta jatkossa välttyisi. Tai onko lupa neuvoa? AVG minulla oli, mutta se ei edes varoittanut, että koneelle tuli virus. Avastia taisi muutamat suositella. Pitääkö sen lisäksi olla joku muu esim. Spybot. Itse kun en näistä oikein ymmärrä.

Ja oikein hyvää uutta vuotta sinullekin!

 

Ylleesä monissa antivirus -ohjelmistoissa ei oo itessään palomuuria mikä oisi hyvä olla, sillä Windowsin oma palomuuri ei kata minkäänlaista suojjaa. Paha mennä sanommaan että mikä oisi se kaikista paras suojaus menetelmä....Tai no...Piuha irti niin homma on saletti mutta semmonen käytäntö on itellä näihin tietokone juttuihin että mikkäähän ei oo niin varmaa ku epävarma, se on tullu koettua niin monesti.

ite oon käyttäny F-Securea koska siinä on samassa sekä Anti-Virus ja palomuuri. Ja ku purkissa, eli ADSL-modeemissa on NAT-toiminta (router) päällä, tarkottaen sitä että on fyysinen palomuuri ja sitten konneella F-Securen palomuuri sekä Anti-Virus automaattinneen päivityksinneen ja Windows päivityksinneen, niin ei niitä pöpöjä sillon oo ilimmaantunu. Ku muistaa sekin että ei asentele mitä sattuu konneelle ja vierraile ihan millä tahansa sivustoilla ja sillon tällön putsailee konetta, niin pyssyy järjestyksessä.

Itelläki on tuo Spybot käytössä ja sillon tällön käytän Malwarebytes' Anti-Malware:a ja muistan päivitellä sitä aina ennen käyttöä samoin ku Spybottia, niin pyssyyvät ohjelmistot ajan tasalla. Myös CCleaner on kätevä väliaikasten ja ylimäärästen tiedostojen poistossa ja karsii rekisteristä hyvin turhia arvoja pois särkemättä rakentteita, eli ei laita rekisteriä siihen kunttoon että mikkään ohjelma ei kohta toimi, kuten joillaki rekisterin siivvous ohjelmilla on tapana.

AVG:ta jos käytät, niin oisi hyvä ainaki pari kerttaa hyvä tarkistaa päivitykset, jos ei automaattisesti päällä ja ainaki kerran kuukkauvessa tehä virustarkistus. Rinnalle oisi hyvä laittaa jonkinlainen palomuuri ohjelma.

Ja ennenku ruppeet laittammaan käyttöjärjestelmää uusiksi, niin ota joku virusturva ohjelma tikulle tai johonki valammiiksi että voit asenttaa ennenku ku kytket konetta nettiin...Eli muistaa ottaa piuha irti tai pistää purkki kiinni kunnes on käyttis laitettu ja piiri-, näytönohjain-, lähiverkko(LAN)- sekä äänikorttiajurit asennettu...Sitten virusturva (ja mahollinen palomuuriohjelma jos virusturvaohjelma ei sisällä palomuuria).

Jokkaisessa viruksentorjuntaohjelmassa on hyviä- ja haittapuolia, kuten AVG on ilimanen ja suhkoht kevyt, mutta vaattii käyttäjältä oma-alotteisuutta ja eikä sisällä palomuuria. Taas sitten F-Secure on mukkiin menevä jossa käyttäjän ei tarvihe panostaa tietokone osamistaan täyvellä tengulla ja se hoittaa omat päivittämisensä ja suojjaa liikennettä konneen ja netin välillä oman palomuurinsa avulla, mutta on hieman raskas hittaimmille konneille ja on maksullinen.

Googlettamalla löyttyy yhtä jos toista ohjelmaa, mutta ihan mitä tahansa ei kannata summassa ottaa ja ku hieman tutkii asiallisia foorumeita ja vertailusivustoja, niin löyttää itellensä sen omansa....Toinen antivirus ohjelma huommaa toisenlaisia viruksia, toinen toista, mutta ideahan on siinä että näissä on hyvä rahastaa ihmisiä, joten kannattaa olla tarkkaavainen, että ei silimät pyörreinä niin sanotusti usko kaikenmaaliman myyntipuhheita

Tosin Nortonia en suosittele, lähinnä verrattavissa Vista järjestelmään...Jota muuten elä elläissään laita konneellesi...Ennemmin Windows 7, jos siis joskus oot vaihtamassa konetta taikka käyttistä.

*pahottellee pitkiä sepustuksia*


::Lyhyesti muistutuksia ennen käyttöjärjestelmän uuvelleen asennusta::
- Varmista että sulla on konneen kaikki ajurit CD:llä/DVD:llä tai ladattuna netistä
- Lattaa valammiiksi antivirus ohjelmisto (ja ehkä palomuuriohjelmisto jos ei antivirus ohjelmisto ei sisällä palomuuria)
- Ota kone irti verkosta
- Ota talteen itsellesi tärkkeet tiedostot (mutta koska sinulla on virus/viruksia konneellasi, niin muista tarkistaa muistitikku taikka kovalevy viruksista ennen takasin kopioimista). Käytä tallennusvälinettä konneessasi vain sen ajan ku kopioit tiedostoja taltteen ja sen jäläkkeen pois, että ei syntyisi uusia pesäkkeitä konneeltasi tikulle.
- ELÄ kopioi koko "Omat Tiedostot" -kansiota tallennusvälineellesi, koska hyvin suurella todennäiköisyydellä sen kansion alla lymyillee viruksia ku peikkoja sillan alla, vaan ainoastaan tutut tiedostot.

Jos seuraavaa mennee monimutkaseksi....Niin kylymästi skippaa

::Kun laitat käyttöjärjestelmää uusiksi:: (TÄMÄ ON VAIN SUOSITUS)
- osioi C-asemalle 12 gigatavua ja D-asemalle (tai mikä kirjain onkaan seuraavana listassa) loput, jolloin käynnistyksen konneella pyssyy suhteellisen järissään eikä antivirusohjelman tarvihe ruksuttaa isoa kapasiteettia heti käynnistyessä.
- Kun alat asentammaan, asenna NTFS:llä ja EI pika-alustuksella. (ERITTÄIN SUOSITELTAVVAA)
- Kun Windows on asennettu ja oot päässy Windows-tilaan, alusta D-asema (tai mikä ikinä sen kirjain onkaan C-aseman jäläkkeen) pika-alustuksella. Asenna ja tallenna sinne kaikki omat ohjelmistot ja tiedostosi, MUTTA EI ASEMAN JUUREEN, vaan luo kansioita...
Esim. Musiikit, Ohjelmat, Kuvat....jne jne...
- Pyri pitämmään kone siistinä, niin säästyy monet vaivat ja ajat
- Elä asenna mittään C-asemalle (käyttöjärjestelmäasema) mikä ei oo pakollista, kuten antivirusohjelma, skype, messengeri, winamp, winrar, spybot, jne...
- Elä laita mittään "Omat Tiedostot" -kansioon, sillä jos joskus jouvut laittammaan käyttiksen uusiksi ja etkä pääse ottammaan tietoja taltteen, niin sitten on huonompi jutska. Ja ku tiedostot on toisella kuin käyttöjärjestelmäasemalla, niin käyttöjärjestelmän voipi laittaa huoletta uusiksi ja tiedostot pyssyy silti tallessa toisella asemalla.

No siinä ainaki jottain lyhyesti...palijon pystyy säätämmään ja tekemmään Windowsin kevyemmäksi, mutta arvelen että sulle varmaan riittäsi pienempiki määrä kirjotusta. Toivottavasti sulla ei nyt tämän takia mee yöunia

Ja kiitoksia toivotuksista.


- Freyor -

 

Tietokone ilmoittaa puuttuvia (.dll) tiedostoja eikä huoli Win Xp asennuslevykettä. Auttaisiko FORMAT-käskyllä kiintolevyn alustaminen? Avira AntiVir ei löydä viruksia ainakaan Windows-kansiosta.

 

No jos onnistaa, mutta sillon muistaa että jos on usseempia asemia, niin vasta viimesenä poistaa käyttöjärjestelmä asema....Tämä muistutus sillon jos haluat koko kovon tyhjäksi.
Mutta ei pitäsi olla mittään ongelmaa siinä, jos laittaa XP:n uusiksi, koska se kyllä kyssyy sitten ennen asennusta että haluatko alustaa aseman FAT32 pikana tai iliman vai NTFS pikana tai iliman.

::Jos ei huoli XP levyä::
- Huolliiko se mittään käynnistyslevyä, eli boottaavia CD/DVD levyjä?
- Onhan XP levy itessään kunnossa (testaa toisella konneella jos mahollista)
- Tarkista että BIOSin puolella Boot-kohta on sääjetty niin, että se tunnistaa CD/DVD levyt ensimmäisenä ja vasta sitten kiintolevy(t).
- Jos konneessa usseempi CD/DVD asema, niin mielluumin laittaa XP-levyn primary eli ykkös/pää CD/DVD-asemaan. (tällä ei pitäsi olla isompaa merkitystä, mutta mikkäähän ei oo niin varmaa ku epävarma, eli ottaapi varman päälle, ku on joskus tullu itelle vastaan tämmönenki tilanne että jostain syystä ei secondary eli toissijaselta asemalta oo tykänny lähtee toimimmaan...)

Hyvä homma jos ei näy viruksia, mutta kannattaa muistaa seki, että kaikki viruksentorjuntaohjelmat ei tunnista kaikkee ja sitten sillä oikkein hyvällä tuurilla mikkään ei löyvä mittään vaikka jottain oisikki konneella, mutta tämä taas epätodennäiköisempää. Järjestelmä saattaa olla myös muustaki syystä viallinen, esimerkiksi windowsin omasta väärinkirjotetusta kohasta joka on sekottanu konneen jollain tavalla, tämä voi tapahtua sillon esim. jos konneesta on lähteny jonkun kirjotuksen eli tallennuksen aikana virrat pois päältä.

Jos taas haluat ehtiä niitä DLL -tiedostoja, niin tämä seuraava linkki on hyvä apu...
http://www.dll-files.com/


- Freyor -

 

Piti säätää Boot-juttuja. Nyt uusi käyttöjärjestelmä asennettu. Eikä virustakaan tunnu enään olevan missään. Kiitos avusta.

 

Hieno homma Ja eipä mittään, ilo oli olla avuksi ja nyt piettään peukkuja että virukset kanssa pyssyy loitolla =D.

 

Hei, nyt on omankin koneen käyttis uusittu. Kiitos avusta minunkin puolestani.

Hyvää, ja toivottavasti viruksetonta, uutta vuotta!

 

Mukava kuulla Pääasia että on konneet nyt molemmilla kuosissa!!

Kiitos ja kuin myös...Hyvvää Ja Onnellista Uutta Vuotta!!

 

Sainpahan tuon saman Malware Defensen työkoneellenikin, jossa on symantec antivirus. Aika suoraan tuli läpi vaan jostakin web mainoksesta. Noh, aivan suoraan pääsin siitä eroon vain ajamalla combofixin. Tuo kyseinen Malware Defense vain estää jotenkin ajamsta tietyn nimisiä ohjelmia, monet malware removerit on estetty ja combofix.exe myös. Ei muuta kuin renamesin combofix.exe:n combo-fix.exe:ksi, ja yhdellä ajolla lähti Malware DEfense poistoon täysin, ei tartte uusiksi asennella mitään, vaikka voi olla suositeltavaa silti.