hit logia - yhdellä käyttäjällä Vista jumittaa sisään kirjautuessa, toisella käyttäjällä ei

Koneella monta käyttäjää, muilla ei ongelmia. Itse en pääse sisäänkirjautumisvaiheesta pidemmälle, jää musta ruutu. Tehtävienhallinta avautuu.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:38:41, on 14.3.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
F:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9e.exe
C:\Windows\system32\SearchFilterHost.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/ig?hl=fi
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FI_FI&c=71&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FI_FI&c=71&bd=Pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - F:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [avgnt] "F:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Paikallinen palvelu')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'Paikallinen palvelu')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Verkkopalvelu')
O4 - HKUS\S-1-5-21-296275614-3977417085-1486250540-1000\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Toivo')
O4 - HKUS\S-1-5-21-296275614-3977417085-1486250540-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Anniki')
O8 - Extra context menu item: V&ie Microsoft Exceliin - res://F:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Lähetä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Läh&etä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {8FD07749-EFFA-48C6-947C-45A8D7BF422F} (CLVistaGenie Control) - https://membership.cyberlink.com/vista/prog/CLVistaGenie.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - F:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - F:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - F:\Ohjelmat\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - F:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8290 bytes

 

1.Lataa combofix.exe työpöydällesi yhdestä linkistä:
combofix1
combofix2

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

=============

Ohje AVG:n Anti-Spyware 7.5:n käyttöön
Huom! Tässä ohjeessa sammutetaan tuo reaaliaikasuojaus (Shield). Näin vältetään tilanteet joissa suojaus estäisi esim HijackThis:n työkalun toimintaa.

Tallenna nämä ohjeet tekstitiedostoon tai tulosta nämä, muuten et pääse niihin käsiksi vikasietotilasta

Lataa AVG:n Anti-Spyware 7.5:n
ja tallenna ohjelma työpöydällesi.
o Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa.
o Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää.
o Käynnistä AVG:n Anti-Spyware.
o Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta.

o Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa.

o Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti.
o Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine".

o Sitten "Reports" valikon alta:
o Laita täppi kohtaan "Automatically generate report after every scan"
o Ota täppi pois kohdasta"Only if threats were found"

o Sitten klikkaa "Shield" kuvaketta ikkunan ylälaidassa
o "Resident shield is", muuta tila active:sta inactive:ksi
o Sulje ohjelma, ÄLÄ skannaa vielä.

Käynnistä koneesi vikasietotilaan,
sammuta ja käynnistä
käynnistyksen yhteydessä naputtele F8
valitse nuoli näppäimellä vikasietotila
paina enter ja enter

Toisissa koneissa paukutetaan F8:sin sijasta F5:tä

HUOM! Älä käytä muita ohjelmia AVG:n skannauksen aikana, tämä saattaa häiritä skannausta.
o Kun vikasietotilassa, käynnistä AVG:n Anti-Spyware.
o Klikkaa "Scanner" kuvaketta ikkunan ylälaidassa ja valitse "Scan" välilehti. Sitten klikkaa "Complete System Scan".
o Ewido aloittaa nyt tietokoneen skannaamisen, ole kärsivällinen sillä skannaus vie aikaa.

Kun skannaus on valmis:
TÄRKEÄÄ : Älä klikkaa "Save Scan Report" ennen kuin klikkaat "Apply all Actions"
o Varmistu, että Set all elements to: näyttää Quarantine (1), jos ei, klikkaa linkkiä ja valitse Quarantine popup-valikosta.
o Sinulta kysytään mitä tehdä jos infektioita löytyi, valitse silloin "Apply all actions"

o Sitten klikkaa "Reports" kuvaketta ohjelma yläosasta.
o Klikkaa "Save report as" painiketta ikkunan vasemmassa alalaidassa ja tallenna raportti työpöydälle.
o Sulje ohjelma, käynnistä kone normaalisti ja lähetä AVG:n raportti viestikejuusi.

 

ComboFix 08-03-14.4 - kaktus 2008-03-15 20:53:45.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1035.18.1177 [GMT 2:00]
Running from: C:\Users\Anniki\Desktop\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Users\Toivo\AppData\Roaming\inst.exe

.
((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2008-02-15 to 2008-03-15 )))))))))))))))))
.

Tiedostoja ei ole luotu tällä aikavälillä

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-15 18:47 --------- d-----w C:\Users\kaktus\AppData\Roaming\Grisoft
2008-03-15 17:09 --------- d-----w C:\Users\Toivo\AppData\Roaming\Grisoft
2008-03-15 16:57 --------- d-----w C:\Users\Anniki\AppData\Roaming\Skype
2008-03-15 14:07 --------- d-----w C:\Users\Anniki\AppData\Roaming\skypePM
2008-03-15 09:19 --------- d-----w C:\Users\Anniki\AppData\Roaming\Grisoft
2008-03-15 09:19 --------- d-----w C:\PROGRA~2\Grisoft
2008-03-15 07:14 13,072 ----a-w C:\Users\Anniki\AppData\Roaming\nvModes.dat
2008-03-14 04:29 13,025 ----a-w C:\Users\Siibe\AppData\Roaming\nvModes.dat
2008-03-12 19:50 --------- d-----w C:\Users\Toivo\AppData\Roaming\Skype
2008-03-12 18:50 42,211 ----a-w C:\Users\Toivo\AppData\Roaming\nvModes.dat
2008-03-12 18:50 --------- d-----w C:\Users\Toivo\AppData\Roaming\skypePM
2008-03-12 15:37 --------- d-----w C:\Program Files\Windows Mail
2008-03-12 15:07 --------- d-----w C:\PROGRA~2\Microsoft Help
2008-03-12 05:42 --------- d-----w C:\PROGRA~2\Lavasoft
2008-03-12 05:33 --------- d-----w C:\PROGRA~2\Spybot - Search & Destroy
2008-03-11 18:11 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-03-11 05:15 --------- d-----w C:\Users\Toivo\AppData\Roaming\Azureus
2008-03-11 05:15 --------- d-----w C:\Program Files\ZyXEL Technology Corporation
2008-03-03 05:34 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-29 16:43 --------- d-----w C:\Program Files\BUFFALO
2008-02-27 18:41 --------- d-----w C:\PROGRA~2\Avira
2008-02-27 18:36 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-02-26 05:14 --------- d-----w C:\PROGRA~2\CyberLink
2008-02-25 19:18 --------- d-----w C:\Program Files\CyberLink
2008-02-25 19:09 --------- d-----w C:\Users\Toivo\AppData\Roaming\Vso
2008-02-19 17:03 --------- d-----w C:\Users\Toivo\AppData\Roaming\PeerNetworking
2008-02-19 15:21 --------- d-----w C:\Users\Toivo\AppData\Roaming\LaCie
2008-02-18 15:45 --------- d-----w C:\PROGRA~2\DVD Shrink
2008-02-15 06:13 --------- d-----w C:\Program Files\Common Files\Adobe
2008-02-14 19:34 --------- d-----w C:\PROGRA~2\vsosdk
2008-02-14 01:11 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-14 01:11 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-14 01:06 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-14 01:06 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-14 01:06 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-14 01:06 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-14 01:06 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-14 01:06 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
2008-02-14 01:06 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-14 01:05 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-14 01:05 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-14 01:05 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-14 01:05 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-14 01:05 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-14 01:04 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-14 01:04 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-14 01:04 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-14 01:04 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-14 01:04 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-14 01:04 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-02-14 01:01 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-14 01:01 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-14 01:01 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-14 01:01 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-13 18:09 47,360 ----a-w C:\Windows\system32\drivers\pcouffin.sys
2008-02-13 18:09 47,360 ----a-w C:\Users\Toivo\AppData\Roaming\pcouffin.sys
2008-02-13 18:09 --------- d-----w C:\Program Files\vso
2008-02-03 13:59 292,352 ----a-w C:\Windows\System32\psisdecd.dll
2008-02-03 12:29 --------- d-----w C:\PROGRA~2\Office Genuine Advantage
2008-02-02 18:58 --------- d-----w C:\Program Files\Google
2008-02-02 10:52 --------- d-----w C:\Users\Toivo\AppData\Roaming\CyberLink
2008-02-01 17:14 --------- d-----w C:\PROGRA~2\Documents
2008-02-01 16:46 --------- d-----w C:\Users\Toivo\AppData\Roaming\AdobeUM
2008-01-31 07:44 --------- d-----w C:\PROGRA~2\Azureus
2008-01-30 19:01 --------- d-----w C:\Users\Toivo\AppData\Roaming\HP
2008-01-30 19:01 --------- d-----w C:\PROGRA~2\HP
2008-01-30 16:07 --------- d-----w C:\Users\Toivo\AppData\Roaming\Hewlett-Packard
2008-01-30 15:59 39,936 ----a-w C:\Windows\System32\dwmapi.dll
2008-01-30 15:59 2,016,256 ----a-w C:\Windows\System32\milcore.dll
2008-01-30 15:58 8,704 ----a-w C:\Windows\System32\hccoin.dll
2008-01-30 15:58 73,216 ----a-w C:\Windows\system32\drivers\usbccgp.sys
2008-01-30 15:58 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys
2008-01-30 15:58 38,912 ----a-w C:\Windows\system32\drivers\hidclass.sys
2008-01-30 15:58 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2008-01-30 15:58 25,472 ----a-w C:\Windows\system32\drivers\hidparse.sys
2008-01-30 15:58 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
2008-01-30 15:58 192,000 ----a-w C:\Windows\system32\drivers\usbhub.sys
2008-01-30 15:58 19,456 ----a-w C:\Windows\system32\drivers\usbohci.sys
2008-01-30 15:58 12,288 ----a-w C:\Windows\system32\drivers\hidusb.sys
2008-01-30 15:56 132,864 ----a-w C:\Windows\system32\drivers\usbvideo.sys
2008-01-30 15:50 29,184 ----a-w C:\Windows\system32\drivers\BTHUSB.SYS
2008-01-30 15:50 220,160 ----a-w C:\Windows\system32\drivers\bthport.sys
2008-01-30 15:50 19,456 ----a-w C:\Windows\system32\drivers\bthenum.sys
2008-01-30 15:50 181,760 ----a-w C:\Windows\System32\fsquirt.exe
2008-01-30 15:48 50,792 ----a-w C:\Windows\system32\drivers\termdd.sys
2008-01-30 15:48 50,280 ----a-w C:\Windows\system32\drivers\volmgr.sys
2008-01-30 15:48 28,776 ----a-w C:\Windows\system32\drivers\mssmbios.sys
2008-01-30 15:48 22,632 ----a-w C:\Windows\System32\streamci.dll
2008-01-30 15:48 140,392 ----a-w C:\Windows\system32\drivers\pci.sys
2008-01-30 15:48 13,928 ----a-w C:\Windows\system32\drivers\msisadrv.sys
2008-01-30 15:48 12,776 ----a-w C:\Windows\system32\drivers\swenum.sys
2008-01-30 15:46 0 --sha-r C:\Windows\system32\drivers\103C_HP_cNB_Pavilion Dv9000 (RW756EA#UUW)_Y5335KV_0U_QCNF7090F6Y_E436463-DH3_4A_I30B9_SQuanta_V65.2A_F.3C_T071114_WV3-0_L40B_M2047_J160_7AMD_8F82_91.60_#080127_N10DE0269;14E44312_(RW756EA#UUW)_XMOBILE_CN10_Z.MRK
2008-01-30 15:46 --------- d-----w C:\Program Files\Hewlett-Packard
2008-01-30 11:44 --------- d-----w C:\Program Files\DIFX
2008-01-30 06:18 --------- d-----w C:\Program Files\Microsoft Works
2008-01-30 06:16 --------- d-----w C:\Program Files\Microsoft.NET
2008-01-29 08:20 --------- d-----w C:\Users\Anniki\AppData\Roaming\Nero
2008-01-28 05:28 --------- d-----w C:\Program Files\Common Files\LightScribe
2008-01-27 20:24 --------- d-----w C:\Users\Toivo\AppData\Roaming\Nero
2008-01-27 20:24 --------- d-----w C:\PROGRA~2\Simple Star Shared
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-27 13:22 1232896]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 14:34 2159104 C:\WINDOWS\System32\oobefldr.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2008-01-27 13:43 1006264]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-15 08:02 815104]
"HP Health Check Scheduler"="C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 12:39 46704]
"WAWifiMessage"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 09:56 317152]
"hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 09:32 472800]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2007-02-04 15:27 77824]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-02-28 18:26 90191]
"avgnt"="F:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-27 20:49 249896]
"!AVG Anti-Spyware"="F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="%WINDIR%\SMINST\launcher.exe" [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"LogonHoursAction"= 2 (0x2)
"DontDisplayLogonHoursWarnings"= 1 (0x1)

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^ZyXEL G-260 Utility.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ZyXEL G-260 Utility.lnk
backup=C:\Windows\pss\ZyXEL G-260 Utility.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 F:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 F:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-12-13 19:10 1688872 C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--------- 2007-01-08 22:17 52256 F:\Program Files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-12-03 14:21 2213160 F:\Ohjelmat\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nero PhotoShow Media Manager]
--a------ 2007-02-08 01:51 229376 F:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 14:57 153136 C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-02-28 18:26 7770112 C:\Windows\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-02-28 18:26 81920 C:\Windows\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl]
--a------ 2006-11-06 10:58 159744 C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QPService]
--a------ 2006-12-02 16:32 167936 C:\Program Files\HP\QuickPlay\QPService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2007-03-14 21:01 71216 F:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--a------ 2006-11-02 14:36 201728 C:\Program Files\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{42161152-4EAC-4D23-B53A-4D8461C7A62B}"= UDP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{E27C2D62-F529-445F-AF6F-C8AB656CD008}"= TCP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{7FFD172C-53A6-4E30-A5E2-2489D9A7E20E}"= UDP:F:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{103DCD6D-D014-42DA-BA42-9E953865DF80}"= TCP:F:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{C1B1F732-AEC1-4B3D-99F5-14769CC2CE0F}"= UDP:F:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{1AA03D17-82CA-4143-AEA3-ACAFE6C45236}"= TCP:F:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A04B5681-E75C-4761-886B-C396C30A2CBC}"= F:\Program Files\CyberLink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"{A52FA746-0E04-41DC-8721-EB3B0EC59CB8}"= UDP:9000:Buffalo
"{AE8E8B56-A86D-46C6-97EC-99B5E8A08C96}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{DB973A67-778F-4E4B-B453-76C05BF4F460}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Users\\Toivo\\Downloads\\Buffalo\\HS-DHGL_206_013_us\\HS-DHGL_206_013_us\\LSUpdater.exe"= C:\Users\Toivo\Downloads\Buffalo\HS-DHGL_206_013_us\HS-DHGL_206_013_us\LSUpdater.exe:*:Enabled:BUFFALO HS-DHGL Updater Ver.2.06

R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2006-08-05 11:39]
R3 nvsmu;nvsmu;C:\Windows\system32\DRIVERS\nvsmu.sys [2006-09-15 10:44]
R3 R5U870FLx86;R5U870 UVC Lower Filter ;C:\Windows\system32\Drivers\R5U870FLx86.sys [2006-12-18 22:31]
R3 R5U870FUx86;R5U870 UVC Upper Filter ;C:\Windows\system32\Drivers\R5U870FUx86.sys [2006-12-18 22:31]
S2 SBSDWSCService;SBSD Security Center Service;F:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
S3 BCM43XV;Broadcom Extensible 802.11 Network Adapter Driver;C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-11-17 18:20]
S3 MODBDA2;DiBcom MOD3000 TV receiver;C:\Windows\system32\Drivers\yuanmodbda2.sys [2007-03-22 14:37]
S3 ZYXEL750;ZyAir G-260 Driver;C:\Windows\system32\DRIVERS\WlanUTG.sys [2006-04-17 09:13]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-15 20:55:56
Windows 6.0.6000 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-03-15 20:56:56
ComboFix-quarantined-files.txt 2008-03-15 18:56:53
.
2008-03-12 15:07:46 --- E O F ---

 

AVG ei löytänyt mitään. Sen verran on mennyt huonompaan suuntaan, että kun piti antaa admin oikeudet toiselle käyttäjälle, ei hänkään pääse enää sisään kirjautumisesta pidemmälle. Mutta onneksi loin ennen sitä uuden tavallisen käyttäjän, minkä kautta nyt kirjoitan tätä viestiä.

 

Johan tuo vista on oikeen käyttäjä ystävällinen käyttöjärjestelmä.
Mitäs siinä oikeen tapahtuu kun yrittää mennä
sillä aikasemalla käyttäjällä.

 

Käytännössä käyttäjälle Prosessien käynnistyminen jää kesken. Kun normaalisti käynnistyy n. 19 prosessia, kuten nytkin on käynnissä. Silloin käynnistyy tehtävähallintojen mukaan vain csrss.exe, dwm.exe, explorer.exe, winlogon.exe ja tietenkin taskmgr.exe. Mutta näyttö jää mustaksi, tehtävien hallinta on mahdollista avata ja on myös mahdollista kirjautua ulos tai ns. vaihtaa käyttäjää.

 

Vaikkutaa siltä että vistan käyttöjärjestelmä on saanut siipeensä.
Nyt on tuohon paha muuta sanoa. Jos poistaa toimimattomat käyttäjä tilin ja laittaa takasin uudestaan toisiko se takasin sen osan mitä se vaatii avautuakseen.
Niinkun olet luonut uuden tilin että pääset tänne kirjoitaan.
Jotain jää puutuumaan kun jää siihen mustaaan taulu vaiheeseen.

 

Muuten varmasti olisi hyvä ratkaisu, mutta kun kopioi sinne vanhan käyttäjän kansiot ym. Niin sitten ei enää toimikaan. Pitäisi tarttua näköjään viimeiseen oljenkorteen ja asentaa Vista uudestaan. Muuten, alussa virustorjunta ohjelmat löysivät semmoisia mörköjä kun TR/Drop.Agent.tir; TR/Agent.126293; BDS/Agent.aas.4. joku Agent oli vielä. Ne ovat nyt poistettu, mutta taitaa Vista olla sen verran saanut siipeensä, että ei enää toimi kunnolla. Pitäisi tutkia, löytyykö samanlaista korjaustoimintoa, kun XP:ssä on.

 

Näyttäisi olevan Nortonin jäänteitä. Eikö nekin voi sotkea koneeni toimintaa, jos antiviria on tarkoitus käyttää, ongelmani eivät välttämättä johdu siitä, mutta kuitenkin, miten saisi ne parhaiden pois?

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

 

Lataa: RegSeeker.zip työpöydälle:

Pura zip C:\RegSeeker\ kansioon. Sieltä käynnistät RegSeeker.exe ohjelman.
Oikeasa yläkulmassa on Languages.... linkki, josta valitset Suomenkielen.
Vasemmasta alakulmasta ruksit Luo vrmuuskopio ja sitten linkki Puhdista rekisteri
Ruksit kaikkiin muihin kohtiin paitsi "Käyttökelvottomat.." sitten "OK" (odotat hetken).
Ruutuun ilmestyy lista epäkelvoista rekisterimerkinnöistä, jotka alapalkista Valitse kohdasta
klikkaat Valitse kaikki jolloin valitut saavat keltaisen pohjavärin.
Alapalkin Toiminnot linkistä klikkaat Poista valitut kohteet
Ponnahdusikkunaan "Kaikki valitut kohteet poistetaan ? vastaat "OK".
Seuraavaan Ponnahdusikkunaan "Varmuuskopiot" vastaat "OK".
Klikaa vasemmalta Lopeta RegSeeker ja käynnistä koneesi uudelleen.