Ei kai taas virus?

jooseppi8 · 21.09.2009

Ei voi olla totta. Avira Antivir Guard ilmoitti taas viruksesta, samalla kun skannasin varmuuden vuoksi Malwarebytes' Anti-Malwarella. Mistä ihmeestä niitä aina tulee...

Virus or unwanted program 'TR/Crypt.ZPACK.Gen [trojan]'
detected in file 'C:\WINDOWS\system32\drivers\coitukchehdymp.sys.
Action performed: Delete file

Teinkö väärin poistaessani tiedoston? Kaspersky Online Scannerin Scan Critical Areas ei enää löytänyt mitään. Malwarebytes' Anti-Malware ei enää löytänyt mitään.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:03:43, on 21.9.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Programs\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programs\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\Razer\Tarantula\razerhid.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
D:\Programs\Avira\AntiVir Desktop\avgnt.exe
D:\Programs\Winamp\winampa.exe
D:\Programs\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
D:\Programs\Comodo\COMODO Internet Security\cfp.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
D:\Programs\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWASER.EXE
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
D:\Programs\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\Programs\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://telkku.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Tarantula] C:\Program Files\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programs\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programs\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programs\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Programs\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [COMODO Internet Security] "D:\Programs\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239548748705
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E001C731-5E37-4538-A5CB-8168736A2360} (Confirmation) - http://qscan.bitdefender.com/cab/ActiveQscan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15107/CTPID.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Programs\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programs\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-palvelu (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - D:\Programs\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Programs\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7515 bytes

AfterDawn

kalminen · 21.09.2009

Ei täällä pöpöjä näy, mutta Winukan päivitykset on
niin vanhoja, että vuotaapa hyvinkin.

.

jooseppi8 · 21.09.2009

Voisitko kuitenkin vielä auttaa jotenkin, pyydän? Tuntuu että jotain on vialla. Kone toimi hetken hyvin, mutta nyt taas kun oli sammutettuna ja käynnistin, niin kone käynnistyi 5 kertaa uudestaan nopeasti välähtävän sinisen ruudun kautta. Ja ihan kuin näppäimistön valot olisivat taas vilkahtaneet. Voiko virus tulla videotiedostosta? Tuntuu meinaan että jotakin tapahtui erään videon avaamisen jälkeen. Se video ei edes käynnistynyt. En enää ikinä käynnistä mitään videoita ilman että skannaan joka tiedoston ensin kaikilla virusohjelmilla

kalminen · 22.09.2009

En osannut selittää sinulle miksi sun kone
vuotaa viruksia.
- Wanhentunut käyttöjärjestelmä on reikäinen
kuin Emmentaalin juusto.
- Ei siihen tarvita videoita eikä mitään latauksia
Sun koneella on niinpaljon tietoturvareikiä, että
pöpöt tulee omia aikojaan, jos vain nettipiuha on kiinni.
- Tässä tapauksessa ladatun paketin scannaaminen ei auta enään
seon auttamattomasti myöhäistä.

- Päivitä Winukka ja IE ainakin seiskaan (7).

----------------------------------------------------------------

Ole hyvä ja lataa Combofix yhdestä alla olevista linkeistä:

Linkki 1
Linkki 2
Linkki 3

* TÄRKEÄÄ !!! Tallenna ComboFix.exe työpöydällesi

* Sulje/ota pois päältä kaikki virustorjunta- ja haittaohjelmien poisto-ohjelmat, jotta ne eivät häiritse ComboFixin ajoa.

* Tuplaklikkaa Combofix.exe ja noudata ohjeita.

* Osana skannausta Combofix tarkistaa onko palautuskonsoli asennettuna. Nykypäivän haittaohjelmien takia on erittäin suositeltua olla asennettuna palautuskonsoli ennen haittaohjelmien poistoa. Windowsin palautuskonsoli mahdollistaa käynnistyksen erityiseen palautustilaan. Palautuskonsolin kautta voimme auttaa sinua helpommin mikäli haittaohjelmien poiston yhteydessä ilmenee ongelmia.

* Seuraa ohjeita ja salli Combofixin ladata ja asentaa Microsoftin palautuskonsoli, ja kun pyydetään, hyväksy ohjelman takuuehdot asentaaksesi palautuskonsolin.

**Huomaa: Jos palautuskonsoli on jo asennettuna, Combofix jatkaa eteenpäin.

Kun Microsoftin palautuskonsoli on asennettu, sinun pitäisi nähdä seuraava viesti:

Klikkaa Kyllä jatkaaksesi skannausta.

Kun ComboFix on valmis, se luo raportin. Ole hyvä ja kopioi/liitä seuraavat raportit vastaukseesi:
C:\ComboFix.txt
Uusi HijackThis-loki

Varoitus: ÄLÄ aja ComboFixia ilman valvontaa. Se ei ole lelu ja sitä ei tule käyttää rutiininomaisesti päivittäin.

Jos tarvitset apua, katso yksityiskohtaisempi ohje:
http://www.bleepingcomputer.com/combofix/fi/combofixin-kayttoohje
.

jooseppi8 · 24.09.2009

Nyt tulee koko ajan Runtime error 216 at 00005AFE jne...

kalminen · 24.09.2009

Aja Combofix vikasietotilassa F 8
=>

jooseppi8 · 29.09.2009

Netissä on jotain aikakatkasuja ja satunnaisia hetkiä kun ei tapahdu mitään. Ensin poistin Aviran (Combofix ei suostunut käynnistymään vikasietotilassa koska Avira oli muka päällä) ja Comodon. Sitten ajoin ComboFixin:

ComboFix 09-09-28.01 - Rami 29.09.2009 13:53.3.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.358.1035.18.1535.1279 [GMT 3:00]
Sijainti: c:\documents and settings\Rami\Työpöytä\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Data

.
((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2009-08-28 to 2009-09-29 )))))))))))))))))
.

2009-09-29 10:18 . 2004-09-14 13:11 96768 -c----w- c:\windows\system32\dllcache\dpcdll.dll
2009-09-25 17:07 . 2009-09-25 17:43 -------- d-----w- c:\documents and settings\Rami\Application Data\Auslogics
2009-09-25 10:35 . 2009-09-25 10:35 -------- d-----w- c:\program files\iPod
2009-09-23 23:12 . 2009-09-23 23:12 -------- d-----w- c:\documents and settings\Rami\Local Settings\Application Data\Shareaza
2009-09-23 23:12 . 2009-09-23 23:12 -------- d-----w- c:\documents and settings\Rami\Application Data\Shareaza
2009-09-20 18:15 . 2004-09-14 13:12 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-09-18 08:26 . 2009-09-18 08:26 -------- d--h--w- c:\windows\system32\GroupPolicy
2009-09-16 12:10 . 2009-09-28 21:55 -------- d-----w- c:\documents and settings\Rami\Tracing
2009-09-16 12:08 . 2009-09-16 12:08 -------- d-----w- c:\program files\Microsoft
2009-09-16 12:07 . 2009-09-16 12:07 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-09-16 12:07 . 2009-09-16 12:08 -------- d-----w- c:\program files\Windows Live
2009-09-16 08:35 . 2005-08-25 16:18 118784 ----a-w- c:\windows\system32\MSSTDFMT.DLL
2009-09-14 14:20 . 2009-09-14 14:20 -------- d-----w- c:\documents and settings\Rami\Application Data\Malwarebytes
2009-09-14 14:19 . 2009-09-10 11:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-14 14:19 . 2009-09-14 14:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-14 14:19 . 2009-09-10 11:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-14 14:14 . 2009-09-14 14:14 -------- d-----w- c:\program files\Java
2009-09-14 09:52 . 2009-09-14 09:52 -------- d-----w- c:\windows\Sun
2009-09-14 09:50 . 2009-09-14 14:14 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-09-12 23:13 . 2009-09-12 23:13 -------- d--h--w- c:\windows\PIF
2009-09-12 22:57 . 2009-09-12 22:58 6290549 ----a-w- c:\windows\REGBK00.ZIP
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice\Työpöytä
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice\Tiedostot
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice\Suosikit
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice\Mallit
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice\Käynnistä-valikko
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\remoteservice
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\LocalService\Työpöytä
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\LocalService\Tiedostot
2009-09-12 22:30 . 2009-09-12 22:30 -------- d-----w- c:\documents and settings\LocalService\Mallit
2009-09-12 22:04 . 2009-09-12 22:04 -------- d-----w- c:\documents and settings\Rami\Local Settings\Application Data\Sophos
2009-09-12 20:26 . 2009-09-12 20:26 82850 ----a-w- c:\windows\winsbak2.reg
2009-09-12 17:08 . 2009-09-12 17:08 -------- d-----w- c:\documents and settings\All Users\Application Data\IObit
2009-09-12 16:10 . 2001-08-17 18:52 22400 -c--a-w- c:\windows\system32\dllcache\asc3350p.sys
2009-09-12 16:09 . 2001-10-05 13:30 66048 -c--a-w- c:\windows\system32\dllcache\s3legacy.dll
2009-09-12 16:09 . 2004-09-14 13:08 2150912 -c--a-w- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-09-11 11:04 . 2009-09-11 11:04 -------- d-----w- c:\program files\iPhone Configuration Utility
2009-09-11 11:01 . 2009-09-11 11:02 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-29 10:47 . 2009-04-13 06:40 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-09-26 22:27 . 2009-04-12 18:41 -------- d-----w- c:\documents and settings\Rami\Application Data\uTorrent
2009-09-26 16:20 . 2009-04-23 19:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-25 10:35 . 2009-06-01 08:13 -------- d-----w- c:\program files\Common Files\Apple
2009-09-24 21:44 . 2009-08-09 07:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Soulseek
2009-09-24 00:47 . 2009-08-18 17:11 -------- d-----w- c:\documents and settings\Rami\Application Data\vlc
2009-09-23 19:58 . 2009-04-12 17:48 409600 ----a-w- c:\windows\system32\wrap_oal.dll
2009-09-23 19:58 . 2003-03-28 03:24 114688 ----a-w- c:\windows\system32\OpenAL32.dll
2009-09-23 19:57 . 2009-04-12 16:35 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-23 19:49 . 2009-04-12 16:56 -------- d-----w- c:\program files\Creative
2009-09-23 19:07 . 2009-04-12 16:58 -------- d--h--w- c:\program files\Creative Installation Information
2009-09-21 13:53 . 2009-05-28 09:33 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-09-16 12:09 . 2009-04-12 15:30 14088 ----a-w- c:\documents and settings\Rami\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-13 09:43 . 2009-06-01 08:19 -------- d-----w- c:\documents and settings\Rami\Application Data\Apple Computer
2009-09-13 07:56 . 2009-09-12 20:25 -------- d-----w- c:\program files\Common Files\MicroWorld
2009-09-11 10:50 . 2009-06-01 08:15 -------- d-----w- c:\program files\QuickTime
2009-08-29 09:16 . 2009-08-23 14:23 -------- d-----w- c:\documents and settings\Rami\Application Data\OpenArena
2009-08-19 19:50 . 2009-08-19 19:48 29657 ----a-w- c:\windows\scunin.dat
2009-08-19 19:50 . 2009-08-19 19:48 967 ----a-w- c:\windows\ScUnin.pif
2009-08-19 19:50 . 2009-08-19 19:48 70656 ----a-w- c:\windows\ScUnin.exe
2009-08-05 18:54 . 2009-04-13 06:21 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-26 13:44 . 2009-07-26 13:44 48448 ----a-w- c:\windows\system32\sirenacm.dll
2009-07-11 15:06 . 2009-04-13 15:33 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-07 15:51 . 2009-07-07 15:51 162432 ----a-w- c:\windows\system32\drivers\ithsgt.sys
2009-07-07 15:50 . 2009-07-07 15:50 12032 ----a-w- c:\windows\system32\drivers\lilsgt.sys
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="c:\program files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"Tarantula"="c:\program files\Razer\Tarantula\razerhid.exe" [2007-05-07 159744]
"DeathAdder"="c:\program files\Razer\DeathAdder\razerhid.exe" [2008-09-05 159744]
"WinampAgent"="d:\programs\Winamp\winampa.exe" [2009-07-01 37888]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-14 149280]
"Malwarebytes Anti-Malware (reboot)"="d:\programs\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"CTSysVol"="c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="d:\programs\iTunes\iTunesHelper.exe" [2009-09-21 305440]
"P17Helper"="P17.dll" - c:\windows\system32\P17.dll [2005-05-03 64512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-09-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ ?????\0lsdelete

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\\Programs\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\Programs\\Soulseek\\slsk.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\PROGRA~1\\COMMON~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programs\\Shareaza\\Shareaza.exe"=
"d:\\Programs\\iTunes\\iTunes.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [27.5.2009 1:01 64160]
R3 DAdderFltr;DeathAdder Mouse;c:\windows\system32\drivers\dadder.sys [12.4.2009 21:13 22784]
R3 TarFltr;Razer Tarantula USB Keyboard;c:\windows\system32\drivers\UsbFltr.sys [12.4.2009 21:06 45440]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\programs\Lavasoft\Ad-Aware\AAWService.exe [9.3.2009 22:06 1028432]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [21.6.2009 22:14 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [21.6.2009 22:14 8320]
S3 p17filt;p17filt;c:\windows\system32\drivers\p17filt.sys [20.3.2006 18:34 1452032]
S3 TTDec;ATI WDM Teletext Decoder (Microsoft Corporation);c:\windows\system32\drivers\atinttxx.sys [12.4.2009 18:25 13824]
.
'Ajoitetut tehtävät'-kansion sisältö

2009-09-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 09:34]
.
.
------- Täydentävä tarkistus -------
.
uStart Page = hxxp://telkku.com/
uInternet Settings,ProxyOverride = *.local
LSP: %SystemRoot%\system32\mwtsp.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Rami\Application Data\Mozilla\Firefox\Profiles\d8vf9csa.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.telkku.fi/
FF - plugin: d:\programs\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: d:\programs\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: d:\programs\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-29 13:57
Windows 5.1.2600 Service Pack 2 NTFS

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************
.
--------------------- LUKITUT REKISTERIAVAIMET ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Classes\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}]
@Denied: (Full) (Administrators)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ÿcÓw*]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\PUBPLACE.HTT"
.
--------------------- Prosesseihin ladatut DLLt ---------------------

- - - - - - - > 'winlogon.exe'(252)
c:\windows\system32\Ati2evxx.dll
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(568)
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
Valmistumisajankohta: 2009-09-29 14:00
ComboFix-quarantined-files.txt 2009-09-29 11:00

Ennen ajoa: 42 851 987 456 tavua vapaana
Ajon jälkeen: 42 922 082 304 tavua vapaana

Current=1 Default=1 Failed=0 LastKnownGood=10 Sets=1,2,3,4,5,6,7,8,9,10
195

kalminen · 29.09.2009

Mene Käynnistä => Suorita => kopioi sinne ComboFix.exe /u ja OK

Ei täällä virukset kiusaa.

Kannattaisi kysellä tuosta rautapuolen Foorumilta
josko siellä joku tietäisi.

.

Kirjaudu tai liity jäseneksi

Ei kai taas virus?

jooseppi8 Member

kalminen Regular member

jooseppi8 Member

kalminen Regular member

jooseppi8 Member

kalminen Regular member

jooseppi8 Member

kalminen Regular member

Jaa tämä sivu

Kirjaudu tai liity jäseneksi

Ei kai taas virus?

jooseppi8 Member

kalminen Regular member

jooseppi8 Member

kalminen Regular member

jooseppi8 Member

kalminen Regular member

jooseppi8 Member

kalminen Regular member

Jaa tämä sivu

Hyödyllisiä hakuja