Ötöjä Spyware Doctorin mukaan. HjT-loki mukana

Moi.

Spyware Doctor löysi Rootkit Agentin (Rootkit.Agent.CL) ja Trojan Popuperin, muttei halua tehdä niille mitään ennenkuin maksan. Uusi ohjelma minulle, uudet löydöt myöskin. Normanin virustorjunta, AVG anti-spyware, a-squared free, ad-avare 2007 ja spyware blaster eivät ilmeisesti toimineet tarpeeksi hyvin.

Avusta, neuvoista ja tiedoista olisin kiitollinen ja iloinen.

HijackThis-loki:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:32, on 28.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Ohjelmat\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Ohjelmat\DAEMON Tools\daemon.exe
C:\Ohjelmat\Norman\Nvc\BIN\NIP.EXE
C:\WINDOWS\system32\svchost.exe
C:\Ohjelmat\GetRight\getright.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Ohjelmat\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\alg.exe
C:\Ohjelmat\SUoja\Spyware Doctor\pctsAuxs.exe
C:\Ohjelmat\SUoja\Spyware Doctor\pctsSvc.exe
C:\Ohjelmat\SUoja\Spyware Doctor\pctsGui.exe
C:\Ohjelmat\SUoja\Spyware Doctor\pctsTray.exe
C:\Ohjelmat\Mozilla Firefox\firefox.exe
C:\Ohjelmat\Suoja\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Ohjelmat\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmat\Winamp\winampa.exe
O4 - HKLM\..\Run: [ISTray] "C:\Ohjelmat\SUoja\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Ohjelmat\Suoja\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Ohjelmat\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Ohjelmat\GetRight\getright.exe
O4 - Global Startup: TMMonitor.lnk = C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
O8 - Extra context menu item: Download with GetRight - C:\Ohjelmat\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Ohjelmat\GetRight\GRbrowse.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: Norman NJeeves - Unknown owner - C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Ohjelmat\SUoja\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Ohjelmat\SUoja\Spyware Doctor\pctsSvc.exe

--
End of file - 6273 bytes

 

Javan päivitys ja välimuistin tyhjennys:

1. Klikkaa Käynnistä -> Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.
2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
Niissä pitäisi olla seuraava kuva vieressä:

3. Valitse kaikki entiset Java versiosi ja valitse Poista.
4. Asenna uusin Java päivitys seuraavasta linkistä..
5. Käynnistä kone uudelleen asennuksen jälkeen:

http://java.sun.com/javase/downloads/index.jsp

Rullaa alas kohteeseen Java Runtime Environment (JRE) 6u4

Paina Download

Ruksaa Accept, ota offline installation, tallenna vaikka työpöydälle ja asenna se.

6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).

7. General Settings -osion alla, vedä liukusäädintä (Disk Space) pienemmälle, ja klikkaa Delete Files -nappia.

(Jotkut javapohjaiset ohjelmat saattavat tarvita enemmän levytilaa.
Jos huomaat säädön pienentämisen jälkeen koneessa hitautta, siirrä liukusäädintä isommalle).

8. Varmista että kaikki kaksi valintaa ovat rastitettuja:

*Applications and Applets

*Trace and Log Files

Ja paina OK -nappia

9. Klikkaa OK "Temporary Files Settings" -ikkunassasi.

10. Klikkaa OK jättääksesi Java asetusikkunasi.

===========

Escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.

Laita virus log tänne.

===========

Tarkista koneesi F-Securen online skannerilla

Huom, skanneri toimii vain Internet Explorer selaimella

* Lue sivun ohjeet huolella läpi
* Klikkaa Start scanning
* Mikäli saat Internet Explorer -suojausvaroituksen, klikkaa Asenna
* Klikkaa Accept
* Klikkaa Custom Scan
* Säädä asetukset seuraavasti

o "Virus Scan Option" kohdasta valitse Scan whole system
o "Other Scan Option" kohdasta valitse Scan All Files
o Valitse Scan whole system for rootkits
o Valitse Scan whole system for spyware
o Laita ruksi kohtaan Scan inside archives
o Varmista että Use advanced heuristics on valittuna

* Klikkaa Start
* Skannaus käynnistyy kun tarvittavat tiedostot/päivitykset on ladattu
* Odota kärsivällisesti
* Kun sakannaus on suoritettu, klikkaa Automatic cleaning
* Klikkaa Show Report
* Raportti aukeaa selaimessa, kopioi teksti kokonaan
* Liitä kopioitu teksti esim. muistioon tai Wordiin ja tallenna työpöydälle
* Voit sulkea skannerin
* Lähetä raportti viestiketjuusi

Älä tee muuta sillä voi aiheuttaa koneen jumiutumisen

 

"8. Varmista että kaikki kaksi valintaa ovat rastitettuja:
*Applications and Applets
*Trace and Log Files "

Javan ohjauspaneelin kohdassa Java näkyy Java Applet runtime settings sekä Java Application Runtime settings. Application Runtime settings näyttää olevan enabled, ja Applet runtme settingsissä ei lue onko se päällä vai ei. Mistään en kuitenkaan löydä rasitusmahdollisuutta em. kohdille, varsinkaan temporary files settings -ikkunasta.

 

kun otat tuon uuden javan siinä kaksi kohtaa

*Applications and Applets

*Trace and Log Files

 

Vanha Java poistettu, uusi installoitu (Java(TM) 6 update 4), ja kone käynnistetty uudelleen. Ei löydy.

 

Ohjauspaneli se kavikuppi > tuplalikkaa sitä > settings nappi > Delete files klikkaa > jokos näkyy

*Applications and Applets

*Trace and Log Files

 

Löytyi. Rastitettuja olivat. Hävettää.

 

eihäm niittä joka nurkaa tule koneelta koluttua kun menee vain nettiin.

 

Päivitetty eScan ei löytänyt mitään. "Total number of errors 4", mutta viruksia tms. ei löytynyt.

Spyware Doctor löytää Rootkit Agentin vieläkin.

 

Mistä löytää ja ajoiko ton f-securen

 

Thu Feb 28 16:42:23 2008 => ***** Scanning complete. *****
Thu Feb 28 16:42:23 2008 => Total Number of Files Scanned: 103215
Thu Feb 28 16:42:23 2008 => Total Number of Virus(es) Found: 0
Thu Feb 28 16:42:23 2008 => Total Number of Disinfected Files: 0
Thu Feb 28 16:42:23 2008 => Total Number of Files Renamed: 0
Thu Feb 28 16:42:23 2008 => Total Number of Deleted Files: 0
Thu Feb 28 16:42:23 2008 => Total Number of Errors: 4
Thu Feb 28 16:42:23 2008 => Time Elapsed: 02:00:46
Thu Feb 28 16:42:23 2008 => Virus Database Date: 2008/02/28
Thu Feb 28 16:42:23 2008 => Virus Database Count: 585361

Thu Feb 28 16:42:23 2008 => Scan Completed.


F-Secure skannaa vielä.

 

Noita erroreita tulee ohjelmien poistoistakin
eipä vaaralista

 

F-Securelta tämmöisiä terveisiä:

Result: 0 malware found
Statistics
Scanned:

* Files: 234550
* System: 5199
* Not scanned: 72

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 0
* Submitted: 0

Spyware Doctor kuitenkin väittää, että tietokoneessani on 2 uhkaa ja 71 tartuntaa: Rootkit.Agent 70 infektiota ja Trojan.Popuper 1 infektio. Silloin kun Sw Doctor lopetti, tuli näytön oikeaan alalaitaan outo popup-ilmoitus Doctorilta sanatarkkaan näin: "yhtään 71 infektiota ei löydetty".

?

 

taitaa parasta heittää koko Spyware Doctor koneelta pihalle.

1.Lataa combofix.exe työpöydällesi yhdestä linkistä:
combofix1
combofix2

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

=============

Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi.

Käynnistä koneesi vikasietotilaan:

sammuta ja käynnistä
käynnistyksen yhteydessä hakkaa F8 nappia
valitse nuolinäppäimellä vikasietotila
paina enter ja enter
valitse käyttäjätilisi
paina kyllä

Jossakin koneissa hakataan F8:sin sijasta F5:tä

" Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
" Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
" Paina Y käynnistääksesi skriptin.
" Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
" Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
" Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
" Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
" Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
" Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis:n lokin kera.

===========

scannaa hjt:llä merkkaa paina Fix checked

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

 

Ok. Kiitos paljon tähänastisesta avusta. Nyt täytyy kuitenkin lopettaa ja lukea tenttiin. Palaan vielä asiaan.

Tämmöinenkin outous on koneella tpahtunut silloin tällöin. Kone toimii ihan hyvin. Silloin tällöin messengeriä illalla käytettäessä on kuitenkin tullut ilmoitus, jossa Norman-virustorjunta käynnistää asennuksen. Ikäänkuin mulla ei olisi jo Normania isntalloituna koneelle. En tiedä liittyykö tämä mihinkään, mutta se on ainoa juttu mitä olen ihmetellyt koneen käytöksessä. Tätä siis tapahtuu vain Messengeriä käytettäessä silloin tällöin. Ehkä 4 kertaa vuoden alusta lähtien. En ole installoinut Normania uudelleen. Normanin (ja muutkin anti-virusspywaret) päivitän tasaiseen tahtiin.

 

combofix:


ComboFix 08-02-25.3 - Fujitsu-Siemens 2008-02-29 13:26:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.514 [GMT 2:00]
Running from: C:\Downloadsit\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-01-28 to 2008-02-29 )))))))))))))))))))))))))))))))
.

2008-02-28 16:42 . 2008-02-28 16:42 0 --a------ C:\23990098.$$$
2008-02-28 14:37 . 2008-02-28 14:37 <DIR> d-------- C:\Downloads
2008-02-28 14:35 . 2008-02-28 14:35 <DIR> d-------- C:\Uusi kansio
2008-02-28 14:27 . 2008-02-28 14:37 <DIR> d-------- C:\Kaspersky
2008-02-28 13:51 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-28 13:50 . 2008-02-28 13:51 <DIR> d-------- C:\Program Files\Java
2008-02-28 13:50 . 2008-02-28 13:50 <DIR> d-------- C:\Program Files\Common Files\Java
2008-02-27 16:34 . 2008-02-28 22:46 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-02-11 21:31 . 2008-02-11 21:36 <DIR> d-------- C:\Documents and Settings\Fujitsu-Siemens\Application Data\Winamp
2008-02-05 22:17 . 2008-02-05 22:17 7,680 --ahs---- C:\WINDOWS\Thumbs.db

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-27 22:13 10,774 ----a-w C:\Documents and Settings\Fujitsu-Siemens\Application Data\wklnhst.dat
2008-02-27 18:58 --------- d-----w C:\Documents and Settings\Fujitsu-Siemens\Application Data\Azureus
2008-02-11 12:56 19,512 ----a-w C:\WINDOWS\system32\drivers\nvcw32mf.sys
2008-02-05 19:14 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-23 16:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-23 16:11 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-01-23 15:50 --------- d-----w C:\Documents and Settings\Fujitsu-Siemens\Application Data\Lavasoft
2008-01-11 05:53 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-01-04 19:04 --------- d-----w C:\Program Files\Windows Media Connect 2
2007-12-28 22:41 --------- d-----w C:\Documents and Settings\Fujitsu-Siemens\Application Data\InstallShield
2007-12-19 23:01 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-12-14 09:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-08 05:21 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-12-06 11:01 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-12-06 11:00 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-12-06 11:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-12-06 04:59 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-12-04 18:38 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 18:38 550,912 ----a-w C:\WINDOWS\system32\dllcache\oleaut32.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"DAEMON Tools"="C:\Ohjelmat\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 14:56 64512]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-23 20:08 16050688 C:\WINDOWS\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"Norman ZANDA"="C:\Ohjelmat\Norman\Npm\bin\ZLH.exe" [2007-08-09 13:40 183352]
"!AVG Anti-Spyware"="C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-08-17 15:23 8478720]
"nwiz"="nwiz.exe" [2007-08-17 15:23 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-08-17 15:23 81920]
"WinampAgent"="C:\Ohjelmat\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
GetRight - Tray Icon.lnk - C:\Ohjelmat\GetRight\getright.exe [2007-01-26 18:50:18 4531264]
TMMonitor.lnk - C:\Ohjelmat\TotalMedia 3\TMMonitor.exe [2007-10-31 21:30:44 258048]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Ohjelmat\\Azureus\\Azureus.exe"=
"C:\\Ohjelmat\\LimeWire\\LimeWire.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Pelit\\Iwar 2\\EdgeOfChaos.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Pelit\\Iwar 2\\bin\\release\\loader.exe"=
"C:\\Pelit\\pikku\\LieroX\\LieroX v0.56 Pack 1.9\\LieroX.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9910:TCP"= 9910:TCP:*isabled:BitComet 9910 TCP
"9910:UDP"= 9910:UDP:*isabled:BitComet 9910 UDP
"4242:TCP"= 4242:TCP:*isabled:Nodezilla

R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-01-08 02:01]
R2 Ndiskio;Ndiskio;C:\Ohjelmat\Norman\Nse\bin\NDISKIO.SYS [2007-01-02 09:55]
R3 AF15BDA;AF9015 BDA Filter;C:\WINDOWS\system32\Drivers\AF15BDA.sys [2006-09-28 05:47]
R3 NvcMFlt;NvcMFlt;C:\WINDOWS\system32\DRIVERS\nvcw32mf.sys [2008-02-11 14:56]
R3 nvcoas;Norman Virus Control on-access component;C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe [2007-12-12 11:45]
R3 NVCScheduler;Norman Virus Control Scheduler;C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE [2007-05-23 12:23]
S3 jbridgep;jbridgep;C:\DOCUME~1\FUJITS~1\LOCALS~1\Temp\jbridgep.sys []
S3 nvcfsr;nvcfsr;C:\Ohjelmat\Norman\Nvc\bin\nvcfsr.sys [2007-01-09 14:25]
S3 nvcoafl51;nvcoafl51;C:\Ohjelmat\Norman\Nvc\bin\nvcoafl51.sys [2007-01-09 14:25]
S3 nvcoaft51;nvcoaft51;C:\Ohjelmat\Norman\Nvc\bin\nvcoaft51.sys [2007-01-09 14:25]
S3 nvcoarc51;nvcoarc51;C:\Ohjelmat\Norman\Nvc\bin\nvcoarc51.sys [2007-01-09 14:25]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 13:28:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-02-29 13:28:49
.
2008-02-13 11:11:28 --- E O F ---

 

Otas se sdfix ja uusi hjt:n loki scannaten

 

SDfix- ja HjT-logit tässä. HjT login otin kahteen kertaan, ennen ja jälkeen tämän:

" scannaa hjt:llä merkkaa paina Fix checked
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE "

Ehkä turhaan kahteen kertaan? Tuota 04 -HKLM?..?Run: [Alcmtr] alcmtr.exe -tiedostoa ei kyllä löytynyt, joten laitoin Fix checkedin vaan 02 - BHO:lle.


--------------------------------------------------------------------
Tässä SDfix:


SDFix: Version 1.149

Run by Administrator on pe 29.02.2008 at 14:16

Microsoft Windows XP [versio 5.1.2600]
Running From: C:\Ohjelmat\Suoja\SDFix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 14:32:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:a869cd30
"s2"=dword:390deff3
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:07,39,ec,80,03,e4,d1,08,e1,97,ef,49,67,6f,3e,50,f0,97,bc,64,a9,..
"p0"="C:\Ohjelmat\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5c,95,70,d6,ad,82,ea,b8,fc,3d,ad,4b,80,81,a5,96,b2,..
"khjeh"=hex:45,5f,56,08,5b,ce,e8,6b,ca,93,a4,3b,55,ac,4e,21,51,b0,78,73,cb,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:80,30,9d,ea,7a,a8,55,3d,08,c2,03,fe,84,fe,6b,db,39,f6,1e,af,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:07,39,ec,80,03,e4,d1,08,e1,97,ef,49,67,6f,3e,50,f0,97,bc,64,a9,..
"p0"="C:\Ohjelmat\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5c,95,70,d6,ad,82,ea,b8,fc,3d,ad,4b,80,81,a5,96,b2,..
"khjeh"=hex:45,5f,56,08,5b,ce,e8,6b,ca,93,a4,3b,55,ac,4e,21,51,b0,78,73,cb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:80,30,9d,ea,7a,a8,55,3d,08,c2,03,fe,84,fe,6b,db,39,f6,1e,af,7f,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Ohjelmat\\Azureus\\Azureus.exe"="C:\\Ohjelmat\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Ohjelmat\\LimeWire\\LimeWire.exe"="C:\\Ohjelmat\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*isabledxpsp2res.dll,-22019"
"C:\\Ohjelmat\\TotalMedia 3\\TotalMedia.exe"="C:\\Ohjelmat\\TotalMedia 3\\TotalMedia.exe:LocalSubNet:Enabled:ArcSoft TotalMedia 3"
"C:\\Pelit\\Iwar 2\\EdgeOfChaos.exe"="C:\\Pelit\\Iwar 2\\EdgeOfChaos.exe:*:Enabled:Edge of Chaos Autorun"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\Pelit\\Iwar 2\\bin\\release\\loader.exe"="C:\\Pelit\\Iwar 2\\bin\\release\\loader.exe:*:Enabled:Independence War 2 Loader"
"C:\\Pelit\\pikku\\LieroX\\LieroX v0.56 Pack 1.9\\LieroX.exe"="C:\\Pelit\\pikku\\LieroX\\LieroX v0.56 Pack 1.9\\LieroX.exe:*:Enabled:LieroX"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Fri 9 Feb 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 3 Feb 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sun 21 Oct 2007 165,232 A..H. --- "C:\Documents and Settings\Fujitsu-Siemens\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll"
Fri 29 Feb 2008 5,686 A.SH. --- "C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\SBE1.tmp"

Finished!

---------------------------------------------------------------------

Hijack ennen Fix checkediä:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:25, on 29.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Ohjelmat\Norman\npm\bin\niu.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Ohjelmat\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Ohjelmat\DAEMON Tools\daemon.exe
C:\Ohjelmat\Norman\Nvc\BIN\NIP.EXE
C:\Ohjelmat\Norman\Nvc\bin\cclaw.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Ohjelmat\GetRight\getright.exe
C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Ohjelmat\Suoja\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Ohjelmat\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmat\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Ohjelmat\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Ohjelmat\GetRight\getright.exe
O4 - Global Startup: TMMonitor.lnk = C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
O8 - Extra context menu item: Download with GetRight - C:\Ohjelmat\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Ohjelmat\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: Norman NJeeves - Unknown owner - C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6127 bytes

------------------------------------------------------------------

ja HjT Fix checkedin jälkeen:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:39, on 29.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Ohjelmat\Norman\npm\bin\niu.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE
C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Ohjelmat\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Ohjelmat\DAEMON Tools\daemon.exe
C:\Ohjelmat\Norman\Nvc\BIN\NIP.EXE
C:\Ohjelmat\Norman\Nvc\bin\cclaw.exe
C:\Ohjelmat\GetRight\getright.exe
C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Ohjelmat\Suoja\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Ohjelmat\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Ohjelmat\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmat\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Ohjelmat\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Ohjelmat\GetRight\getright.exe
O4 - Global Startup: TMMonitor.lnk = C:\Ohjelmat\TotalMedia 3\TMMonitor.exe
O8 - Extra context menu item: Download with GetRight - C:\Ohjelmat\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Ohjelmat\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Ohjelmat\Suoja\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Ohjelmat\Suoja\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Ohjelmat\Suoja\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Ohjelmat\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: Norman NJeeves - Unknown owner - C:\Ohjelmat\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Ohjelmat\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Ohjelmat\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Ohjelmat\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6029 bytes

 

Loki kunnossa.

 

Kiitos paljon avusta.

Kiitos myös Spyware Doctorille...