Palaute
 
AfterDawn.com Keskustelualueet
  In English Suomeksi På svenska

Tiedote 3.11.2009

AfterDawn.com uudistui! Uuden ulkoasun lisäksi myös sivuston toimintaa on nopeutettu. download.fi:stä ja puhelinvertailu.com:sta tuttu ulkoasu on nyt otettu käyttöön kaikissa AfterDawn.com:n suomenkielisissä sivustoissa.

Lue lisää ja anna palautetta!

Sulje

AfterDawn > Keskustelu > PC > Virukset ja haittaohjelmat - HijackThis -logit > hjt-logi - Tietokoneen rekisterissä virus??

hjt-logi - Tietokoneen rekisterissä virus??

#1 5.7.2009 @ 20:16
_juho_
Lähetä yksityisviesti
 Newbie
Elikkäs ongelma alkoi tuossa pari viikkoa sitten:En päässyt internetiin ja syynä oli se että xp jumitti verkko-osoitteen noutamiseen.Tässä vaiheessa en epäillyt vielä virusta mutta sitten alkoi tapahtua muutakin mm. seuraavaa

- Tietoturvakeskus oli otettu pois päältä kokonaan
- Windows alkoi sulkemaan ohjelmiaan (resurssienhallinta,windows update) itsestään
- En päässyt minnekkään virustorjuntaa käsittelevälle sivustolle (virustorjunta.net,normanin sivut yms. kaikki virustorjuntaan liittyvät sivut) Lisäksi en päässyt windows/microsoft updateen
- En pystynyt päivittämään virustorjuntaa.

Kun kaikki alkoi käydä sietämättömäksi alustin kiintolevyni ja asensin uudestaan windowsin.Heti asennuksen jälkeen sama tahti jatkui: tietoturvakeskus katosi hetken päästä päältä, en päässyt mihinkään windows updateen/virustorjuntasivuille.
Epäilen että win32 tyyppinen virus olisi tunkeutunut järjestelmärekisteriin,koska se olisi kadonnut aika varmasti siinä vaiheessa kun alustin kiintolevyn.
Pääsin ainoastaan vikasietotilassa internettiin ja hyvin tuskaisesti.
Olisiko hjt-logistani apua?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:01:31, on 5.7.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\reader_s.exe
C:\WINDOWS.0\system32\10.tmp
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\Program Files\Norman\Npm\Bin\niu.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\cmd.exe
C:\WINDOWS.0\services.exe
C:\WINDOWS.0\system32\wpabaln.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Norman ZANDA] "C:\Program Files\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKLM\..\Run: [services] C:\WINDOWS.0\services.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS.0\System32\reader_s.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nvlsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1246621226484
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupd...b?1246621391671
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: ,C:\WINDOWS.0\TEMP\103187354mxx.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS.0\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Program Files\Norman\Npm\Bin\Elogsvc.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\Program Files\Norman\Npm\Bin\Njeeves.exe
O23 - Service: Norman ZANDA - Norman ASA - C:\Program Files\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Program Files\Norman\Ngs\Bin\Nprosec.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Program Files\Norman\Nse\Bin\NSESVC.EXE
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Program Files\Norman\Nvc\Bin\nvcoas.exe
O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Program Files\Norman\npm\bin\nvoy.exe
O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA - C:\Program Files\Norman\Npm\Bin\scheduler.exe
O23 - Service: sopidkc Service (sopidkc) - NewYork Lt - C:\WINDOWS.0\system32\sopidkc.exe
#2 5.7.2009 @ 23:44
79atanos
Siirry käyttäjän sivulleLähetä yksityisviesti
 Senior Member 3 tuotearviota
C:\WINDOWS.0\System32\reader_s.exe

Löytyy myös automaattisesti käynnistyvien ohjelmien riveistä:

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS.0\System32\reader_s.exe

Tuo on Virut. Joudut vielä kerran vetämään kaikki kiintolevyt sileiksi ja asentaman Winukan täydellisesti uudelleen, muuta keinoa ei ole.

Ja älä missään tapauksessa kytke tietokonetta nettiin ennen kuin olet varmistanut Winukan palomuurin olevan päällä! Tämän jälkeen hae joku palomuuri ja virustorjunta, ja päivitä järjestelmäsi tappiinsa asti. Asenna vasta sen jälkeen loput ohjelmat.

Ja mikäli olet jossain vaiheessa tuolla saastuneella koneella ottanut varmuuskopioita levykkeille/tikuille, niin älä vaan palauta niitä takaisin koneelle!

Tuossa logissasi on näköjään parikin virustorjuntaa päällekkäin, Norman ja AVG. Normannista päätellen se on tullut koneen mukana? Jos se siis sisältyy Winukan asennukseen, niin onko siinä palomuuri?, Jos ei ole, niin käytä väliaikaisesti sitä Winukan muuria.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 6.7.2009 @ 00:34
HP a6230.sc | Intel E4500 Core2Duo @2.2GHz | 2*1GbDDR2 SDRAM | HPw1907v | A-Link rr24(i) | näppis ja rotta HP | Vista32bit Home Basic SP2 | Elisa 2M/512k ADSL ...eipä tällä ihan Kuuhun asti mennä, eikä taida edes toimia!

Ennen postaamista; Keskustelualueen säännöt! ja Foorumin epävirallinen opas!
#3 6.7.2009 @ 13:29
kalminen
Siirry käyttäjän sivulleLähetä yksityisviesti
 Senior Member
Lisäystä Atanoksen ohjeeseen Joka oli aivan oikein tulkittu.

Kaikilta levyasemilta voit poimia tiedostoja talteen =>

Exe-tiedostojen lisäksi .scr. and .html .htm .asp .php .exe
-tiedostoja ei saa varmuuskopioida.

Kun asennat Winukan uusiksi.
Älä tee päälle asennusta niinkuin tuossa edellisessä vaan
Poista osiot kaikki ja luo ne uudelleen mihin sitten asennat uuden.

.

#4 6.7.2009 @ 19:52
_juho_
Lähetä yksityisviesti
 Newbie
Kiitos kummallekkin! nyt rupesi pelittämään =)
Virukseksi paljastui siis w32/virut niminen virus.
Oireet sopivat siihen.
Normanin diagnoosi virutista:
http://www.norman.com/security_center/vi...rchive/69284/fi
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 7.7.2009 @ 14:51

Laitevertailusta poimittua

Uusimmat keskustelut

Muuta

© 1999-2009 AfterDawn Oy rev1335