Hei! Olen yrittänyt tehdä kaikkeni löytämäni ohjeiden mukaan, muutaman päivän näytti hyvälle, kunnes avast alkoi jälleen huutaa Nyt on kone entistä enempi sekaisin, nettiin yrittää niin resurssienhallinta, service.exe, mservice.exe, NT ydin ja järjestelmä ja jokin ihme Generic host ja NDIS user mode (????) ja tänään kone varoitti jotain BIOSin laittomasta jutusta, ja sulki sen, troijalainenko sen tekee, minulla on ihan aito windows eikä mikään laiton!! Voisiko jo kiltti,kiltti,kiltti kertoa mitä minun pitää poistaa!!!!?? onko tämä oikea lista mikä tänne laitetaan?jos, niin mitä poistan ja miten?? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:15:52, on 6.6.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\Program Files\Sygate\SPF\smc.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Windows\mservice.exe C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\service.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Windows svchost] service.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [MSN] C:\Windows\mservice.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://plaza.fi/ O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing) O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe (file missing) O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe -- End of file - 7038 bytes kiitos jo etukäteem jos joku viitsii vastata
1.Lataa combofix.exe työpöydällesi yhdestä linkistä: combofix1 combofix2 2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia. 3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi. Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
Heip! oli yhteysongelmia muutaman päivän, mutta vika ilmeisesti soneran päässä. Ajoin läpi F-securen online tarkastuksen minkä jälkeen poisti seuraavat; Result: 14 malware found Backdoor.Win32.IRCBot (virus) • System Backdoor:W32/IRCBot.GNK (virus) • System • C:\WINDOWS\SERVICE.EXE • C:\DOCUMENTS AND SETTINGS\FJS-PC\LOCAL SETTINGS\TEMP\ERASEME_80327.EXE • C:\DOCUMENTS AND SETTINGS\FJS-PC\LOCAL SETTINGS\TEMP\ERASEME_81518.EXE Backdoor:W32/IRCBot.GNM (virus) • System • C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ISE32.EXE (Submitted) Backdoor:W32/IRCBot.GNS (virus) • System • C:\WINDOWS\MSERVICE.EXE • C:\DOCUMENTS AND SETTINGS\FJS-PC\LOCAL SETTINGS\TEMP\ERASEME_68153.EXE Backdoor:W32/SdBot.CKI (virus) • System • C:\WINDOWS\WINUDSPM.EXE Tracking Cookie (spyware) • System Trojan.Win32.VB.ddr (virus) • C:\DOCUMENTS AND SETTINGS\FJS-PC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\ZY3W4SU6\F[1].EXE (Renamed & Submitted) Statistics Scanned: • Files: 60300 • System: 3466 • Not scanned: 8 Actions: • Disinfected: 0 • Renamed: 1 • Deleted: 0 • None: 13 • Submitted: 2 Files not scanned: • C:\HIBERFIL.SYS • C:\PAGEFILE.SYS • C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT • C:\WINDOWS\SYSTEM32\CONFIG\SAM • C:\WINDOWS\SYSTEM32\CONFIG\SECURITY • C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE • C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM • C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{6F21C7C5-1AD5-4A1F-A94C-7D27E3763C06}.BIN mutta onko ongelma tosiaan poistunut, tähän mennessä avastin puhdistuksessa tullut aina takaisin, combofix sanoo näin; ComboFix 08-06-08.8 - FJS-PC 2008-06-13 0:10:37.2 - NTFSx86 Running from: C:\Documents and Settings\FJS-PC\Suosikit\Työpöytä\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2008-05-12 to 2008-06-12 ))))))))))))))))) . 2008-06-08 21:50 . 2008-06-08 21:50 <KANSIO> d-------- C:\fsaua.data 2008-06-03 22:17 . 2008-06-03 22:18 <KANSIO> d-------- C:\Program Files\Common Files\Adobe 2008-06-02 10:16 . 2008-06-02 10:16 3,423 --a------ C:\WINDOWS\is154890.exe 2008-05-31 17:57 . 2008-05-31 17:58 <KANSIO> dr------- C:\Documents and Settings\NetworkService\Suosikit 2008-05-30 21:45 . 2008-05-30 21:45 <KANSIO> d-------- C:\Program Files\Trend Micro 2008-05-30 19:24 . 2008-05-30 19:24 <KANSIO> d-------- C:\Documents and Settings\FJS-PC\Application Data\Malwarebytes 2008-05-30 19:23 . 2008-05-30 19:24 <KANSIO> d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-05-30 19:23 . 2008-05-30 19:23 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-05-30 19:23 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-05-30 19:23 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-30 08:47 . 2008-05-30 08:47 <KANSIO> d-------- C:\Program Files\Sygate 2008-05-30 08:47 . 2004-10-15 18:32 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll 2008-05-30 08:47 . 2004-10-15 18:17 60,496 --a------ C:\WINDOWS\system32\drivers\Teefer.sys 2008-05-30 08:47 . 2004-10-15 18:18 21,075 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys 2008-05-30 08:47 . 2004-10-15 18:32 14,568 --a------ C:\WINDOWS\system32\drivers\wg6n.sys 2008-05-30 08:47 . 2004-10-15 18:32 14,568 --a------ C:\WINDOWS\system32\drivers\wg5n.sys 2008-05-30 08:47 . 2004-10-15 18:32 14,568 --a------ C:\WINDOWS\system32\drivers\wg4n.sys 2008-05-30 08:47 . 2004-10-15 18:32 14,568 --a------ C:\WINDOWS\system32\drivers\wg3n.sys 2008-05-30 08:46 . 2008-05-30 08:46 <KANSIO> d-------- C:\Program Files\Common Files\Wise Installation Wizard . (((((((((((((((((((((((((((((((((((( Find3M-raportti )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-03 19:15 --------- d-----w C:\Documents and Settings\FJS-PC\Application Data\AdobeUM 2008-05-30 19:08 --------- d-----w C:\Program Files\Macrogaming 2008-05-13 20:18 --------- d-----w C:\Program Files\Webteh 2008-05-12 15:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-04-20 19:16 3,148 ----a-w C:\Documents and Settings\FJS-PC\Application Data\wklnhst.dat 2008-04-16 18:39 --------- d-----w C:\Program Files\Dofus 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll 2008-03-25 04:51 166,688 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-25 04:51 166,688 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll 2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys 2007-11-21 20:32 34,384 ----a-w C:\Documents and Settings\FJS-PC\Application Data\GDIPFONTCACHEV1.DAT 2007-02-07 10:42 2,764 ----a-w C:\Program Files\INSTALL.LOG . ((((((((((((((((((((((((((((( snapshot@2008-06-09_17.47.35,53 ))))))))))))))))))))))))))))))))))))))))) . + 2008-06-12 21:03:29 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_588.dat . (((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet ))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-09-15 15:00 15360] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-25 23:36 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2006-10-30 21:49 16269312 C:\WINDOWS\RTHDCPL.EXE] "SkyTel"="SkyTel.EXE" [2006-05-16 20:04 2879488 C:\WINDOWS\SkyTel.exe] "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12 90112] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 02:19 79224] "Windows svchost"="service.exe" [] "SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40 2577632] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-09-15 15:00 15360] C:\Documents and Settings\All Users\K„ynnist„-valikko\Ohjelmat\K„ynnistys\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 19:24 1694208 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus] "DisableMonitoring"=dword:00000001 ..ja mullehan tuo teksti ei sano mitn =) kiitos taas jos viitsit viisaammaksi kertoa niin ja muuten, sygate ilmoittaa seuraavasta kahdesta koko ajan; - Generic host Process for win32 services ja - NDIS user mode I/O Driver onko noi ihan asiaan kuuluvia, voiko ne hyväksyä vai mitä ihmettä??!! ja mitä tämäkin tarkoittaa; Application Hijacking has been detected The application: C:\WINDOWS\system32\wbem\wmiapsrv.exe try to launch another application: C:\Program Files\Windows Live\Messenger\msnmsgr.exe to go to remote host 207.46.109.29 ok? nimimerkki, tyhmiäkö kyselen =)
Avaa Muistio ja kopioi/liitä quoteboxin sisältö sinne: Tallenna se nimellä CFScript.txt Sitten raahaa CFScript ComboFix.exeen kuten alla. Käynnistä tietokone uudelleen pyydettäessä ja lähetä combofix.txt-tiedoston sisältö tänne. ============== scannaa hjt:llä merkkaa paina Fix checked R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Windows svchost] service.exe O4 - HKLM\..\Run: [MSN] C:\Windows\mservice.exe ================= Päivitä Malwarebytes ja aja se
File:: C:\Windows\mservice.exe C:\WINDOWS\service.exe C:\WINDOWS\is154890.exe C:\fsaua.data Nyt tuon punasella merkityn laitat tyhjään muistioon käynnistä nappi >apuohjelmat > muistio Kohde: työpöytä sittten vasemmasta ylä reunasta tiedosto > tallenna nimellä CFScript.txt tallenusmuoto kaikki tiedostot sitten raahaat sen kuvan osoitamalla tavalla combofix työstää tulee sininen taulu paina numeroa 1 ja enter
