Koneessa kutsumattomia vieraita

Enpä ole tänne aiemmin kirjoitellut, mutta nyt olisin avun tarpeessa. Elikkä: langattoman yhteyden päässä oleva kannettava on parin kk:n ajan temppuillut. Koneessa on Avast ja Windowsin oma palomuuri käytössä. Siivoukseen olen käyttänyt EasyCleaneria ja CCleaneria. Välillä myös Spybot on ollut käytössä ja Ad-Awareakin satunnaisesti läpi ajanut.

En ihan muista kuinka homma alkoi, mutta ainakin Spybot alkoi löytää aina uudelleen Zlob.VideoActiveXObject-pöpön ja sen mukana tuli aina eril. mainosrobotteja(?) (Tradedoubler, BlueStreak etc). Jossain vaiheessa otin Spybotin pois koneesta ja nyt sitä ei saa enää ladattua takaisin (palvelimeen ei muka saada yhteyttä). Myöskään Ad-Awarea ei saa päivitettyä (nykyinen versio ei kylläkään ilmoittele tällä hetkellä mitään ihmeellistä).
Avast löysi jossain vaiheessa ainakin Trojan32:Trojan-gen, UBS:Malware-gen, Win32:Rootkit-gen ja Win32:Fasec -nimisiä pöpöjä, joista pääsin ilmeisesti eroon. Mielestäni Avastin toiminnassa on jotakin hämärää, kun a-symboli näytön alakulmassa pyörii hyvin harvoin entiseen verrattuna.

Tällä hetkellä Avastin täystarkistus ei löydä mitään ongelmia, mutta ilmoittaa joka kerta, että "Asema C: käynnistyslohkoa ei voi tarkistaa" ja Avastin omasta lokista löytyy useita "Internal error has occurrred in module aswar..., Function setifaceupdatePackages has failed... -ilmoituksia. Joskus aika alkuvaiheessa huomasin ohjauspaneelin tietoturvakeskuksen kautta ettei Avast ollut päällä ollenkaan - en tiedä oliko tämä ongelmien syy vaiko seuraus?
Muistan , että kerran (olikohan?) Spybot ilmoitti että koneessa on joku "piilo-ohjelma: piilotettu prosessi C:WINDOWS/SYSTEM/ils.dll".

Siis tämän hetken oireet ilmenevät siten, että kone tuntuu aika hitaalta, ei anna ladata Spybotia eikä päivittää Ad-Awarea, Avast ei ehkä toimi kunnolla, Google-hakulinkit ohjautuvat usein vääriin osoitteisiin. Muuta en ainakaan just nyt muista.

Kirjoittelin näinkin pitkään, kun nämä jutut ei ole itsellä juurikaan hanskassa, enkä oikein tiedä mikä on olennaista. Joten jos joku viitsisi asiaan puuttua niin olisipa hieno homma! Kiitos jo etukäteen ja neuvot mielellään mahd. yksityiskohtaisesti.

 

Onkos sulla Malwarebytes' Anti-Malware koneella?

Jos ei, lataa Tästä

1. Asenna

2. Avaa Ja paina: ''Suorita Täysi tarkistus''

3. Kun ohjelma on ladannut, kopio logi tänne

4. Jos ohjelma löytää jotain, korjaa haitalliset kohteet

Lataa myös Hijack This Tästä

1. Asenna

2. Paina ''Do system scan and save a logfile''

3. Anna ohjelman ladata

4. Kopioi logi tänne

HUOM! Älä paina 'Fix Checked' koska ohjelma saattaa ymmärtää löydöt väärin, ja poistaa ehkä tarpeellisiakin tietoja
Edit: Unohdin yhden kohdan : D

 

Tuostahan puuttuu yksi kohta lisää;

1. Asenna

2. Päivitä malwarebytes ennen skannausta

3. Avaa Ja paina: ''Suorita Täysi tarkistus''

4. Kun ohjelma on ladannut, kopio logi tänne

5. Jos ohjelma löytää jotain, korjaa haitalliset kohteet

 

Morjens ja kiva että tartuitte asiaan!

Homma ei ole vielä edennyt mihinkään, kun en ole saanut edes MalwareBytes´ Antimalwarea ajettua. Ei ollut moista ennestään käyttänyt, eikä ollut koneellakaan, ja lataamisessa oli eilen hankaluuksia. Mbam-setup.exen sain kyllä hyvin, mutta kun etenin niin koneelle pukkasi joku Version Tracker Pro Windows 4.0-ohjelma. Uudella yrityksellä ohjauduin Advanced RegistryOptimizer By Sammsoft-sivulle!

Viimein lataus onnistui, tai ainakin työpöydältä löytyy nyt MalwareBytes´ Antimalware -pikakuvake. Klikkaaminen ei kyllä auta mitään. Jos menee reittiä käynnistä-kaikki ohjelmat-MBAM, niin pystyy kyllä avaamaan MalwareBytes´ Antimalware Helpin, mutta itse ohjelmaa en saanut sieltäkään auki. Lisää tai poista sovellus -valikosta selviää, että tiedoston koko on 4,04M.
Mitähän nyt yrittäisi?

 

onnistuuko vikasietotilaan meno?

Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi.

Käynnistä koneesi vikasietotilaan:

sammuta ja käynnistä
käynnistyksen yhteydessä hakkaa F8 nappia
valitse nuolinäppäimellä vikasietotila
paina enter ja enter
valitse käyttäjätilisi
paina kyllä

Jossakin koneissa hakataan F8:sin sijasta F5:tä

" Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
" Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
" Paina Y käynnistääksesi skriptin.
" Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
" Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
" Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
" Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
" Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
" Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi

miten on sen avastin kanssa onko se nyt ok
tietoturvakeskus valittaa jos se lisenssi siitä loppuu eli se pitää rekisteröidä uudelleen avastin sivulla

miten se keskus sanoo siitä

klikkaa sitä a-palloa alakulmassa -> valitse päivitä -> uusimmat virustunnisteet, mitä se siihen sanoo?

 

No niin. Vikasietotilaan meno onnistuu kyllä, mutta SDFix by AndyManche -linkistä klikatessa tulee vain "yhteyden muodostus epäonnistui"-ilmoitus (eli virus estää latauksen?)

Avast: lisenssi uusittu kesällä, virustunnisteet päivittyvät automaattisesti päivittäin (ja pop-up ilmoitus tulee ruudulle), itse ohjelman olen aina päivittänyt käsin ja nyt temppuilun aikaan päivityshaussa tulee välillä virheilmoituksia (koneessa nyt avast 4.8.1335, joka on ilmeisesti kuitenkin tuorein versio?).
Ajoin eilen täystarkistuksen normaaliajassa ja tuloksena ei mitään paitsi taas ilmoitus "Asema C: käynnistyslohkoa ei voi tarkistaa". Raporttikatselijasta löytyy lähipäiviltä muutama listattu virhe "Internal error has occurrred in module aswar..." ja varoitus "Function setifaceupdatePackages has failed...". Avast-pallo ei edelleenkään pyöri kuin erittäin harvoin.
Tietoturvakeskuksen mukaan Avast on toiminnassa ja a-palloa vasurilla klikatessa tulevassa näytössä taustasuojauksen kello käy (tosin tarkistettuja/tartuntoja-kohdissa on nollat (pitääköhän noin olla?).

Tätä en ole tainnut mainita: Google-hakujen ohjautuessa väärin palkissa vilahtaa ainakin joskus tämä muidenkin kiroama abcjmp (vai mikä se nyt oli?). Eli se pöpö koneessa siis ainakin lienee?

Että näin. Mitenköhän noita poistotyökaluja nyt saatais koneeseen ja käyttöön?

 

Aeropilot
Lue Yksityisviesti.

 

Liittyen warwasin yksityisviestiin:
Tällaisen sain aikaiseksi:

HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_tdssserv.sys
NextInstance REG_DWORD 1 (0x1)

HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_tdssserv.sys\0000
Service REG_SZ TDSSserv.sys
Legacy REG_DWORD 1 (0x1)
ConfigFlags REG_DWORD 0 (0x0)
Class REG_SZ LegacyDriver
ClassGUID REG_SZ {8ECC055D-047F-11D1-A537-0000F8753ED1}
DeviceDesc REG_SZ TDSSserv.sys
Capabilities REG_DWORD 0 (0x0)

HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_tdssserv.sys\0000\LogConf

HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_tdssserv.sys\0000\Control
ActiveService REG_SZ TDSSserv.sys

TDSS infection active!

 

LUE EKANA YKSITYISVIESTI



Aloitamme ComboFixilla. Ole hyvä ja klikkaa alla olevaa linkkiä lukeaksesi käyttöohjeet ja saadaksesi latauslinkit:

http://www.bleepingcomputer.com/combofix/fi/combofixin-kayttoohje

Varmistu, että luet ensin ohjeen huolellisesti ja asennat palautuskonsolin.

Windowsin palautuskonsoli mahdollistaa käynnistyksen erityiseen palautustilaan. Palautuskonsolin kautta voimme auttaa sinua helpommin mikäli haittaohjelmien poiston yhteydessä ilmenee ongelmia. Se on helppo toimenpide, joka vie vain muutaman hetken.

Asennuksen jälkeen sinun pitäisi nähdä sininen ruutu, jossa lukee:

Palautuskonsoli asennettiin onnistuneesti.

Jatka seuraavasti:

1. Sulje/ota pois päältä kaikki virustorjunta- ja haittaohjelmien poisto-ohjelmat, jotta ne eivät häiritse ComboFixin ajoa, ohje (englanniksi)
   Muista laittaa ne takaisin päälle ajon jälkeen.
   
   
2. Valitse Kyllä, jotta ComboFix jatkaa haittaohjelmien poistoa.

Kun ComboFix on valmis, se luo raportin.

Ole hyvä ja kopioi/liitä seuraavat raportit vastaukseesi:

C:\ComboFix.txt
uusi HijackThis-loki.

Varoitus: ÄLÄ aja ComboFixia ilman valvontaa. Se ei ole lelu ja sitä ei tule käyttää rutiininomaisesti päivittäin.

Sammuta ja käynnistä tietokone jollei ComboFix sitä tee

Skannaa HJT:lla Do a system scan and save a logfile

Lähetätkö seuraavat lokit
ComboFix:n C:\ComboFix.txt
HJT:n loki

 

Ennen Combofixiä tapahtui jo seuraavaa:

Ekan yksityisviestin ohjeiden seuraamisen jälkeen kone käynnistyi uudelleen ja jo käynnistysvaiheessa avast-pallo pyöri vinhasti ja avast ilmoitti kahdesta viruksesta (Win32:Fasec ja Win32:Tidserv) ja kehotti heittämään ne karanteeniin.
Koneen käynnistyttyä menin Avastiin katsomaan viruskaranteenin tilannetta. Sinne mennessähän käynnistystiedot tarkistetaan automaattisesti ja tässä tarkistusvaiheessa Avast ilmoitti, että koska muistista on löydetty virus niin olisi syytä keskeyttää ja tehdä tarkempi tsekkaus ennen Windowsin käynnistämistä (tai jotenkin noin).

Klikkasin "kyllä" ja sinipohjaisessa Windows-valikossa alkoi tsekkaus ja Avast löysi 7 virusta lisää: 2 kpl Documents and Settings/Local settings (Win32:Fasec, Patched-J), 2 kpl System Volume Information/restore (Win32:Fasec, Win32:Tidserv).
Windows/SYSTEM32/TDSS-tiedoistosta löytyi vielä 3 kpl (Win32:Fasec). Niiden yhteydessä kone kysyi varmistuksen, kun laitoin nekin karanteeniin ("Tiedosto on Windows-kansiossa, oletko varma?")

Eli nyt Avastin viruskaranteenissa on 9 virusta, voiko ne poistaa noin vain ja pitääkö tiedostot korvata jotenkin? Avast-pallo pyörii netissä liikuttaessa normaalin oloisesti ja kone tuntuu toimivan jo huomattavasti nopeammin.
Ajattelin ilmoitella tämän ennen Combofixin ajoa.

 

On siellä vielä lisää, eli ekana se toinen YV ja sitten ComboFix, kunhan on se XP kuten YV:ssä jo kysyin.

 

Nyt vasta pääsin jatkamaan hommaa...

Ensin korjaus edelliseen viestiin: siis viruksia alkoi löytyä tehtyäni TOISEN YV:n sisältämät toimenpiteet.
Koneessa on siis Windows XP Home Edition SP3. Combofix on nyt työpöydällä, mutta kun palautuskonsolia asennettaessa kirjoitan Suorita-luukkuun d:\i386\winnt32.exe /cmdcons, niin vastaukseksi tulee "ls viittaa kohteeseen, joka ei ole käytettävissä...". Windows-CD, jonka pistin asemaan oli SP2, mutta ymmärsin niin että sillä pitäisi homma hoitua. Vai onko koko SP2 asennettava ennen edellistä?

 

Sulle sopivan palautuskonsolin lataus:
http://www.microsoft.com/downloads/...FamilyID=15491F07-99F7-4A2D-983D-81C2137FF464

Tuon tiedoston raahat ComboFix:n kuvakkeen päälle jolloin ComboFix alkaa asentamaan palautuskonsolia ja sen jälkeen aloittaa tekemään puhdistuksia.


http://www.bleepingcomputer.com/combofix/fi/combofixin-kayttoohje

Hae uusi ComboFix jos tuo sinun on vanhempi kuin vaikka 12h

 

No niin, palautuskonsolin kanssa tuli ilmeisesti jotenkin sössittyä(?), mutta tässä nyt kuitenkin muistio. Yritän saada HijackThis-lokin tähän perään.

ComboFix 09-03-10.03 - Tarmo 2009-03-12 22:12:19.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1035.18.702.467 [GMT 2:00]
Sijainti: c:\documents and settings\Tarmo\Työpöytä\CF.exe
AV: avast! antivirus 4.8.1335 [VPS 090311-1] *On-access scanning disabled* (Updated)
* Uusi palautuspiste luotu

VAROITUS - PALAUTUSKONSOLIA EI OLE ASENNETTU !!
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Protect\track.sys
c:\program files\Microsoft Common
c:\windows\system32\TDSSpaxt.dat
c:\windows\system32\TDSSthym.log

.
((((((((((((((((((((((((((((((((((((((( Ajurit/Palvelut )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys


((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-02-12 to 2009-03-12 )))))))))))))))))
.

2009-03-10 23:48 . 2009-03-10 23:48 <KANSIO> d-------- c:\documents and settings\Tarmo\Application Data\Malwarebytes
2009-03-08 19:01 . 2009-03-08 19:01 2,688 --a------ c:\windows\system32\settings.aaw
2009-03-08 19:01 . 2009-03-08 19:01 1,104 --a------ c:\windows\system32\history.aaw

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-07 17:53 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-07 17:53 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2007-07-03 08:37 18,776 ----a-w c:\documents and settings\Tarmo\Application Data\GDIPFONTCACHEV1.DAT
2008-10-11 17:20 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Sivuhistoria\History.IE5\MSHist012008101120081012\index.dat
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-25 335872]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-03-15 185896]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-10 136600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"CARPService"="carpserv.exe" [2003-05-21 c:\windows\system32\carpserv.exe]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\K„ynnist„-valikko\Ohjelmat\K„ynnistys\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2007-07-02 593920]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-04 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-04 20560]
.
.
------- Täydentävä tarkistus -------
.
uStart Page = hxxp://finnish.toggle.com/index.php?rvs=hompag
IE: Vie Microsoft E&xceliin - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Tarmo\Application Data\Mozilla\Firefox\Profiles\ahta9lp8.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (FI)
FF - prefs.js: browser.startup.homepage - hxxp://fi.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fifficial
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-12 22:17:35
Windows 5.1.2600 Service Pack 3 NTFS

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************
.
--------------------- LUKITUT REKISTERIAVAIMET ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€| –Ów*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"
.
------------------------ Muut prosessit ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Valmistumisajankohta: 2009-03-12 22:21:48 - kone käynnistettiin uudelleen
ComboFix-quarantined-files.txt 2009-03-12 20:21:44

Ennen ajoa: 21 632 126 976 tavua vapaana
Ajon jälkeen: 21,563,678,720 tavua vapaana

100 --- E O F --- 2009-03-11 07:57:30

 

Ja tässä tämä:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:54:07, on 12.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://finnish.toggle.com/index.php?rvs=hompag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1183395881787
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 5378 bytes

 

Pahin saatiin jo pois \O/

Avaa HJT
Klikkaa Do a system scan only ja merkkaa seuraavat rivit:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://finnish.toggle.com/index.php?rvs=hompag

Sammuta kaikki muut ohjelmat paitsi palomuuri ja virustorjunta ja Klikkaa Fix checked

Sulje HJT

Lataa Malwarebytes' Anti-Malware työpöydällesi.

Jos linkki ei toimi, voit ladata myös seuraavista linkeistä:
Linkki1
Linkki2

• Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
• Lopuksi varmistu, että seuraavat on valittu: Päivitä Malwarebytes' Anti-Malware ja Käynnistä Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Lopeta.
• Jos päivitys löytyy, ohjelma lataa ja asentaa uusimman version. Jos päivityksien lataaminen ei onnistu, voit ladata päivitykset tästä. Tuplaklikkaa mbam-rules.exe asentaaksesi päivitykset.
• Kun ohjelma on latautunut ja päivitykset tehty, valitse Suorita täysi tarkistus ja klikkaa Tarkista.
• Kun tarkistus on valmis, klikkaa OK ja sitten Näytä tulokset nähdäksesi tulokset.
• Varmistu, että kaikki on merkitty ja klikkaa Poista valitut.
• Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
• Lähetä lokin sisältö seuraavassa viestissäsi.

Huom. Jos Mbam ei pystynyt poistamaan tiedostoa, se pyytää sinua käynnistämään koneesi uudelleen. Käynnistä koneesi silloin uudelleen heti. Mbam voi tehdä muutoksia rekisteriisi osana puhdistusta. Jos käytät suojausohjelmaa, joka havaitsee rekisterin muutokset, salli Mbamin tehdä muutokset.

Lähetätkö seuraavat lokit
Mbam:n log-päiväys.txt

HJT:n loki

 

Kuulostaa lupaavalta!

Poistin sen yhden rivin HJT:stä. Malwarebytesin ajon aikana avast löysi kolme Fasec-troijalaista SystemVolumeInformation-tiedostoista, heitin karanteeniin. Malwarebytes löysi kaksi kohdetta, ja deletointi onnistui, kts. alla:


Malwarebytes' Anti-Malware 1.34
Tietokantaversio: 1841
Windows 5.1.2600 Service Pack 3

13.3.2009 0:33:40
mbam-log-2009-03-13 (00-33-40).txt

Tarkistustyyppi: Täysi tarkistus (A:\|C:\|D:\|)
Tarkistetut kohteet: 87702
Kulunut aika: 37 minute(s), 11 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 1
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 1

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
HKEY_CURRENT_USER\SOFTWARE\Spyware Guard 2008 (Rogue.SpywareGuard) -> Quarantined and deleted successfully.

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
C:\WINDOWS\system32\TDSScfgb.dll (Rootkit.Agent) -> Quarantined and deleted successfully

 

Skannaa koneesi Kaspersky Online Skannerilla

1. Lue läpi vaatimukset ja yksityisyyssäännökset ja klikkaa Accept.
2. Skannerin ja virustietokannan lataus alkaa. Sinulta kysytään sallitko Kasperskyltä tulevan ohjelman asentamisen. Klikkaa Aja/Run.
3. Kun lataus on valmis, klikkaa Settings.
4. Varmistu, että seuraavat kohdat on valittu. Jos ne eivät ole, valitse ne ja klikkaa Save:
   • Spyware, Adware, Dialers, and other potentially dangerous programs
     Archives
     Mail databases
5. Klikkaa Oma Tietokone, My Computer Scan-kohdan alapuolelta.
6. Kun tarkistus on valmis, tulokset näytetään. Klikkaa View Scan Report.
7. Näet listan saastuneista kohteista. Klikkaa Save Report As....
8. Tallenna tiedosto työpöydällesi. Muuta Tiedostotyyppi/Files of type muotoon Tekstitiedosto/Text file(.txt) ennen kuin klikkaat Save.
9. Kopioi ja liitä tiedoston sisältö seuraavaan vastaukseesi uuden HijackThis-lokin kera

 

Ja vielä HJT ja nyt unelle mars :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:52:26, on 13.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1183395881787
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 5389 bytes

 

Olitkin ehtinyt lähettää yhden viestin tuohon väliin.

Eli tuo ylläoleva HJT on siis otettu ennen Kasperskylla scannaamista. Ajoin Kasperskyn ja tuloksena oli pyöreät nollat joka kohtaan eli mitään raportoitavaa ei löytynyt. Huomasin vasta kesken kaiken huomautuksen jossa sanottiin ettei muita virusohjelmia saisi oikeastaan olla tarkistuksen aikana päällä. En kuitenkaan enää ottanut avastia poies, toivottavasti ei vaikuttanut asiaan vai pitäiskö ajaa vielä uudelleen ilman sitä?

Ainakin Tehtävienhallinnassa prosessien määrä on pudonnut vanhojen hyvien aikojen tasolle!

Otin vielä yhden HJT:n:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:08:45, on 13.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1183395881787
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 5389 bytes