Hjt-Loki

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi Javiaani 06.01.2010.

  1. Javiaani

    Javiaani Member

    Liittynyt:
    11.06.2008
    Viestejä:
    12
    Kiitokset:
    0
    Pisteet:
    11
    Moro!
    Eli tietokone sekosi ykskaks, ja nyt alapalkissa oikealla näkyy Windows Security Alerts kuvake ja error kuvake.
    Suurin ongelma on että en saa asennettua mitään pöpöjen poisto ohjelmaa.
    Mutta tuossa olisi tuo loki jos siitä jotain selviää..
    Logfile of Trend Micro HijackThis v2.0.3 (BETA)
    Scan saved at 14:12:10, on 6.1.2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\nvsvc32.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\spoolsv.exe
    H:\WINDOWS\Explorer.EXE
    H:\Program Files\ASUS\EPU-4 Engine\FourEngine.exe
    H:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
    H:\Program Files\TP-LINK\TWCU\TWCU.exe
    H:\WINDOWS\system32\RUNDLL32.EXE
    H:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    H:\Program Files\ASUS\WLAN Card Utilities\Center.exe
    H:\Program Files\ASUS\TurboV\TurboV.exe
    H:\Program Files\Java\jre6\bin\jusched.exe
    K:\corel\CorelIOMonitor.exe
    H:\WINDOWS\system32\ctfmon.exe
    H:\Program Files\Vtune\TBPanel.exe
    H:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
    H:\Program Files\Pando Networks\Media Booster\PMB.exe
    H:\DOCUME~1\Me\LOCALS~1\Temp\settdebugx.exe
    H:\DOCUME~1\Me\LOCALS~1\Temp\wscsvc32.exe
    H:\Program Files\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe
    H:\Program Files\Java\jre6\bin\jqs.exe
    H:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    H:\WINDOWS\system32\IoctlSvc.exe
    H:\WINDOWS\system32\PnkBstrA.exe
    H:\WINDOWS\system32\PnkBstrB.exe
    H:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
    H:\WINDOWS\system32\svchost.exe
    H:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
    H:\WINDOWS\system32\wuauclt.exe
    H:\Program Files\Canon\CAL\CALMAIN.exe
    H:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
    H:\WINDOWS\system32\msiexec.exe
    H:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,H:\Program Files\Steam\UnDead.Injector.exe,
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [Six Engine] "H:\Program Files\ASUS\EPU-4 Engine\FourEngine.exe" -b
    O4 - HKLM\..\Run: [HDAudDeck] H:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
    O4 - HKLM\..\Run: [TWCU] "H:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui
    O4 - HKLM\..\Run: [NeroFilterCheck] H:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [NBKeyScan] "H:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
    O4 - HKLM\..\Run: [ASUS Update Checker] H:\Program Files\ASUS\ASUSUpdate\UpdateChecker\UpdateChecker.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [GrooveMonitor] "H:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "H:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKLM\..\Run: [Control Center] H:\Program Files\ASUS\WLAN Card Utilities\Center.exe
    O4 - HKLM\..\Run: [TurboV] "H:\Program Files\ASUS\TurboV\TurboV.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Corel File Shell Monitor] K:\corel\CorelIOMonitor.exe
    O4 - HKLM\..\Run: [Corel Photo Downloader] "H:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
    O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [TBPanel] H:\Program Files\Vtune\TBPanel.exe /A
    O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
    O4 - HKCU\..\Run: [TomTomHOME.exe] "H:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
    O4 - HKCU\..\Run: [uTorrent] "H:\Program Files\uTorrent\uTorrent.exe"
    O4 - HKCU\..\Run: [Pando Media Booster] H:\Program Files\Pando Networks\Media Booster\PMB.exe
    O4 - HKCU\..\Run: [settdebugx.exe] H:\DOCUME~1\Me\LOCALS~1\Temp\settdebugx.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://H:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
    O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253894212036
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - http://utilities.pcpitstop.com/Optimize3/pcpitstop2.dll
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O20 - AppInit_DLLs: H:\WINDOWS\system32\guard32.dll
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - H:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - H:\WINDOWS\system32\browseui.dll
    O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - H:\WINDOWS\system32\acs.exe
    O23 - Service: AODService - Unknown owner - H:\Program Files\AMD\OverDrive\AODAssist.exe
    O23 - Service: ASUS System Control Service (AsSysCtrlService) - Unknown owner - H:\Program Files\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe
    O23 - Service: ASWLSVC - Unknown owner - H:\WINDOWS\system32\ASWLSVC.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - H:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - H:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe (file missing)
    O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - Unknown owner - H:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Tapahtumaloki (Eventlog) - Unknown owner - H:\WINDOWS\system32\services.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Google-päivityspalvelu (gupdate) (gupdate) - Unknown owner - H:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: CD-levyjen kirjoittamisen IMAPI COM -palvelu (ImapiService) - Unknown owner - H:\WINDOWS\system32\imapi.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - H:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - H:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - H:\WINDOWS\system32\IoctlSvc.exe
    O23 - Service: Plug and Play (PlugPlay) - Unknown owner - H:\WINDOWS\system32\services.exe
    O23 - Service: PnkBstrA - Unknown owner - H:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - H:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - H:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
    O23 - Service: Etätyöpöydän ohjeen istunnonhallinta (RDSessMgr) - Unknown owner - H:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Älykortti (SCardSvr) - Unknown owner - H:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: TomTomHOMEService - TomTom - H:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
    O23 - Service: Aseman tilannevedos (VSS) - Unknown owner - H:\WINDOWS\System32\vssvc.exe
    O23 - Service: WMI resurssisovitin (WmiApSrv) - Unknown owner - H:\WINDOWS\system32\wbem\wmiapsrv.exe

    --
    End of file - 10591 bytes


    Kiitos etukäteen!
     
  2.  
  3. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    Kuulostaa aivan H8RST joululahjalta !!!

    *****************************************************************

    Laita varmuudeksi Windowsin palomuuri päälle Ohjauspanelin => tietoturvakeskuksesta.

    ***************************************************************

    Saatko tämän ajettua Malwarebytes Anti-Malware (tuskin)
    mutta jos saat laita raportti siitä.

    ----------------------------------------------------------------------------

    Lataa Combofix mistä tahansa alapuolella olevasta linkistä. Sinun täytyy uudelleennimetä se ennen tallennusta. Tallenna
    se työpöydällesi.
    - Uudelleen nimeäminen onnistuu Explorer selaimella parhaiten.

    Käytä nimeä => kompovix.exe

    Käytä linkkiä 3 helpoin =>

    Linkki 1
    Linkki 2
    Linkki 3

    * TÄRKEÄÄ !!! Tallenna ComboFix.exe työpöydällesi

    * Sulje/ota pois päältä kaikki virustorjunta- ja haittaohjelmien poisto-ohjelmat, jotta ne eivät häiritse ComboFixin ajoa.

    * Tuplaklikkaa Combofix.exe ja noudata ohjeita.

    * Osana skannausta Combofix tarkistaa onko palautuskonsoli asennettuna. Nykypäivän haittaohjelmien takia on erittäin suositeltua olla asennettuna palautuskonsoli ennen haittaohjelmien poistoa. Windowsin palautuskonsoli mahdollistaa käynnistyksen erityiseen palautustilaan. Palautuskonsolin kautta voimme auttaa sinua helpommin mikäli haittaohjelmien poiston yhteydessä ilmenee ongelmia.

    * Seuraa ohjeita ja salli Combofixin ladata ja asentaa Microsoftin palautuskonsoli, ja kun pyydetään, hyväksy ohjelman takuuehdot asentaaksesi palautuskonsolin.

    **Huomaa: Jos palautuskonsoli on jo asennettuna, Combofix jatkaa eteenpäin.

    [​IMG]

    Kun Microsoftin palautuskonsoli on asennettu, sinun pitäisi nähdä seuraava viesti:

    [​IMG]

    Klikkaa Kyllä jatkaaksesi skannausta.

    Kun ComboFix on valmis, se luo raportin. Ole hyvä ja kopioi/liitä seuraavat raportit vastaukseesi:
    C:\ComboFix.txt
    Uusi HijackThis-loki



    Varoitus: ÄLÄ aja ComboFixia ilman valvontaa. Se ei ole lelu ja sitä ei tule käyttää rutiininomaisesti päivittäin.

    Jos tarvitset apua, katso yksityiskohtaisempi ohje:
    http://www.bleepingcomputer.com/combofix/fi/combofixin-kayttoohje

    -------------------------------------------------------

    Poista ne rivit jotka ovat vielä jäljellä:

    Sammuta selain ja muut ohjelmat Fixin ajaksi. (ei virustorjuntaa)
    Käynnistä HijackThis:ja Scan ja ruksaa seuraavat punaisella listatut tiedostot
    (HJT sammuttaa ohjelman ei poista)

    F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,H:\Program Files\Steam\UnDead.Injector.exe,
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] H:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "H:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "H:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [settdebugx.exe] H:\DOCUME~1\Me\LOCALS~1\Temp\settdebugx.exe

    sekä sammuta ne.(fix Chekked) napista.

    Tyhjennä roskakori ja käynnistä koneesi uudelleen.

    Postita tänne seuraavat lokit:
    * Tuore HijackThis loki (Otetaan viimeisenä ennen postitusta)
    * C:\ComboFix.txt raportti
    * MB'AM ???
    * Auttoiko ???
    * Onko sulla ollut virusohjelmistoa koneella.
    *
     
  4. Javiaani

    Javiaani Member

    Liittynyt:
    11.06.2008
    Viestejä:
    12
    Kiitokset:
    0
    Pisteet:
    11
    Moro!
    Eli koneella oli avira,joka pyöri koko ajan kun virus iski.
    Eli en saanut ajettua mitään noista ohjelmista,koska enää ei edes windows käynnistynyt!
    Tässä tilanteessa formatoin koneen ja asensin windowsin uudelleen.
    Kiitos kuitenkin ohjeista!Toivottavasti jollain käy parempi tuuri..
     
    Viimeksi muokattu: 08.01.2010
  5. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    Murheellista OK
    .
     
  6. Kiwa358

    Kiwa358 Member

    Liittynyt:
    09.04.2007
    Viestejä:
    24
    Kiitokset:
    0
    Pisteet:
    11
    Minun konella on sama H8RST virus mutta heti käynistä windows jälkeen ja se menee jummiin , ei mitään ohjelma toimii ..eikä explorer ... enkä voi avaa omatiedosto. Konella Avast antivirus . Voisikö joku neuvoa minua miten voin poista Avast antivirus väliaikanen ? koska minusta virus tekee Avast jummi windows kansa ! Kiitoksia
     
    Viimeksi muokattu: 10.01.2010

Jaa tämä sivu