1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

...

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi Dope 04.08.2007.

  1. Dope

    Dope Guest

    ...
     
    Moderaattorin viimeksi muokkaama: 22.03.2009
  2.  
  3. Dope

    Dope Guest

    ...
     
    Moderaattorin viimeksi muokkaama: 22.03.2009
  4. tomato71

    tomato71 Regular member

    Liittynyt:
    30.04.2006
    Viestejä:
    1,151
    Kiitokset:
    0
    Pisteet:
    46
    moi

    Moi!

    Lataa SmitfraudFix (by S!Ri) työpöydällesi.

    Tuplaklikkaa tiedostoa SmitfraudFix.exe

    Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
    Postita tämän tekstitiedoston sisältö viestiketjuusi.

    **Jos työkalu ei käynnisty työpöydältä niin siirrä SmitfraudFix.exe suoraan järjestelmäaseman juureen (yleensä C:). Kokeile sitten käynnistää ohjelma uudestaan sieltä.

    Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
    http://www.beyondlogic.org/consulting/processutil/processutil.htm
     
  5. Dope

    Dope Guest

    Tämmösen tekstijutun sain.

    Koodi:
    SmitFraudFix v2.208
    
    Scan done at 21:27:48,39, la 04.08.2007
    Run from C:\Documents and Settings\HP_Omistaja\Ty”p”yt„\SmitfraudFix
    OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode
    
    »»»»»»»»»»»»»»»»»»»»»»»» Process
    
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    c:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    c:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    c:\Program Files\Common Files\Symantec Shared\ccProxy.exe
    c:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    c:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Video ActiveX Access\imsmain.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    C:\WINDOWS\system32\RunDLL32.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
    C:\Program Files\Video ActiveX Access\imsmn.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
    C:\Program Files\UltimateZip 2007\uzqkst.exe
    C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    c:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
    C:\HP\KBD\KBD.EXE
    C:\WINDOWS\ALCXMNTR.EXE
    c:\windows\system\hpsysdrv.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Program Files\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\cmd.exe
    
    »»»»»»»»»»»»»»»»»»»»»»»» hosts
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» C:\
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Omistaja
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Omistaja\Application Data
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_OMI~1\Suosikit
    
    C:\DOCUME~1\HP_OMI~1\Suosikit\Online Security Test.url FOUND !
    
    »»»»»»»»»»»»»»»»»»»»»»»» Desktop
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 
    
    C:\Program Files\Video ActiveX Access\ FOUND !
    
    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
     
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Nykyinen kotisivu"
     
    
    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!
    
    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{c82e1789-207a-4b8a-806f-76b62dfac2a2}"="hutlet"
    
    [HKEY_CLASSES_ROOT\CLSID\{c82e1789-207a-4b8a-806f-76b62dfac2a2}\InProcServer32]
    @="C:\WINDOWS\system32\khtbpdl.dll"
    
    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{c82e1789-207a-4b8a-806f-76b62dfac2a2}\InProcServer32]
    @="C:\WINDOWS\system32\khtbpdl.dll"
    
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, following keys are not inevitably infected!!!
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» Rustock
    
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» DNS
    
    Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketinajoituksen miniportti
    DNS Server Search Order: 16.92.3.242
    DNS Server Search Order: 16.92.3.243
    DNS Server Search Order: 16.81.3.243
    DNS Server Search Order: 16.114.3.243
    
    Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketinajoituksen miniportti
    DNS Server Search Order: 212.146.0.10
    DNS Server Search Order: 212.146.30.200
    DNS Server Search Order: 212.146.30.201
    
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{47C50026-1417-4749-9E6B-C74BB47246EB}: DhcpNameServer=212.146.0.10 212.146.30.200 212.146.30.201
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{A213E28B-96CF-4BCB-863B-B3C4EE32CB43}: DhcpNameServer=16.92.3.242 16.92.3.243 16.81.3.243 16.114.3.243
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{47C50026-1417-4749-9E6B-C74BB47246EB}: DhcpNameServer=212.146.0.10 212.146.30.200 212.146.30.201
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{A213E28B-96CF-4BCB-863B-B3C4EE32CB43}: DhcpNameServer=16.92.3.242 16.92.3.243 16.81.3.243 16.114.3.243
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{47C50026-1417-4749-9E6B-C74BB47246EB}: DhcpNameServer=212.146.30.200 212.146.30.201 212.146.0.10
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{A213E28B-96CF-4BCB-863B-B3C4EE32CB43}: DhcpNameServer=16.92.3.242 16.92.3.243 16.81.3.243 16.114.3.243
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.146.0.10 212.146.30.200 212.146.30.201
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.146.0.10 212.146.30.200 212.146.30.201
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.146.30.200 212.146.30.201 212.146.0.10
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
    
    
    »»»»»»»»»»»»»»»»»»»»»»»» End
     
  6. tomato71

    tomato71 Regular member

    Liittynyt:
    30.04.2006
    Viestejä:
    1,151
    Kiitokset:
    0
    Pisteet:
    46
    Printtaa ohjeet ulos tai tallenna nämä tekstitiedostoon.

    Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi.

    Kun vikasietotilassa, tuplaklikkaa tiedostoa SmitfraudFix.exe
    Valitse optio #2 - Clean kirjoittamalla 2 ja painamalla "Enter" poistaaksesi tarttuneet tiedostot.

    Sinulta kysytään: "Registry cleaning - Do you want to clean the registry ?"; vastaa "Yes" kirjoittamalla Y ja paina "Enter" poistaaksesi työpöydän taustakuvan ja puhdistaaksesi tarttuneet rekisteriavaimet.

    Työkalu tarkistaa jos wininet.dll on tarttunut. Sinua saatetaan pyytää korvaamaan tarttunut .dll (jos löytyy); vastaa "Yes" kirjoittamalla Y ja painamalla "Enter".

    Työkalun saattaa tarvita käynnistää kone uudelleen; jos ei tee niin, käynnistä normaaliin Windowsiin.
    Tekstitiedosto ilmestyy, puhdistusprosessin jäljiltä; kopioi & liitä tämän raportin tulokset vastaukseesi.
    Raportti löytyy paikalliselta levyltäsi, useimmiten C:\rapport.txt.

    Varoitus : Ajamalla optio 2:n EI-tarttuneessa tietokoneessa, poistaa sinun työpöytäsi taustakuvan.

    Lähetä uusi hjt -loki ja smitfraudloki
     

Jaa tämä sivu