AVG löysi Backdoorin

Epäilin että koneen hitaalle tuntuvan latautumisten takana olisi jotain häikkää niin skannasin F-securella - ei löytynyt mitään.
Sen jälkeen skannasin AVG Anti_Spyvarella ja se löysi Backdoor.Agent.duj jonka laitoin karanteeniin. Tuo löytyi tommosesta > C:\System Volume Information\_restore{... ja pitkä sarja numeroita... \A0005420.exe
Onko tässä näkyvissä jotain outoa tai koneelle kuulumatonta roskaa?

Tässä HJT logi:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:09, on 1.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure Internet Security\FSAUA\program\fsaua.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Internet Security\FSAUA\program\fsus.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Seram Web - {CC17CB93-633F-407d-98F8-25DE790608BD} - C:\Program Files\Sunda Systems\Seram Web\webtra2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC1).lnk = C:\Program Files\Secunia\PSI (RC1)\psi.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: ThreatFire - Unknown owner - C:\Program Files\ThreatFire\TFService.exe (file missing)

--
End of file - 5421 bytes

 

1. Klikkaa käynnistä > Oma tietokone oikean puoleisella hiiren napilla
2. Valitse ominaisuudet
3. Valitse järjestelmän palauttaminen välilehti
4. Ruksi eteen ¤ poista järjestelmän palauttaminen kaikissa asemissa
5. Paina Käytä
6. Paina ok
7. Sammuta ja käynnistä
8. Ota ruksi pois ¤ poista järjestelmän palauttaminen kaikissa asemissa
9. Käytä ja OK

 

Muutako ei tarvita, eli logista ei löytynyt mitään epäilyttävää eikä uutta logia tarvitse lähettää.

KIITOS nopeasta vastauksesta!

 

scannaa hjt:llä merkkaa paina Fix checked

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

KIITOS...!
Kysyisin vielä seuraavaa: Voiko tuo AVG Anti_Spyvare aiheuttaa jotain ongelmaa F-Securelle kun ilmoitusalueella olevaan F-luvakkeeseen ilmestyi punainen ruksi ja se antoi ilmoituksen toimintahäiriöstä vai olisko johtunut muusta.

 

se saataa olla että avg:n anti-spyware 7,5 ei sovi oikeen f-securen kanssa samaan laatikkoon.
tai f-secure hylkii muita..

f- securessa aina tuppaa muutenkin olemaan noita toiminta häiriöitä jonka taki viskasin sen itseltä pois lisäksi on raskas ohjelma.

 

F-S on minulla 30 pv kokeiluversiona ja ilmeisesti en osta sitä juuri tuon ohjelman raskauden takia, samaa monet muutkin valittavat. Minulla on Pandan lisenssi vielä hetken voimassa. Taidan kokeilla vielä tuon PC-Toolsin virustorjuntaa ja palomuuria. Onko sinulla noista kokemusta/tietoa.

 

eipä oo tuosta kokemusta mutta eikös f-securessa ole oma palomuuri
silloin olis kaksi palomuuria käytössä.

sitten vielä tuokin ThreatFire, voi f-secure ottaa nokkiinsa tuostakin.

oo ite päätynyt avastiin ja sille palomuuri ja en vielä ole aatellut vaihella.

 

hei..!
Tuota ThreatFire ohjelman esiintymistä minäkin ihmettelen!!!!!
Kokeilin kyllä jossain vaiheessa sitä mutta siihen ei saa suomenkieltä niin luovuin ja poistin sen.
F-secure ja AVG eivät myöskään oikei näytä sopivan yhteen.

Nyt olen poistanut F-S:n ja AVG:n ja asensin Panda AV:n.
Kun olin poistanut edellä mainittujen tiedot kaikista löytämistäni paikoista niin katsoin mitä Windowsin tietoturvakeskus sanoo. Se ilmoitti että suojaus kunnossa ja ThreatFire huolehtii virussuojauksesta!!! vaikkei sitä löydy koneen tiedoista eikä etsi-toiminnalla, palomuurin puutetta valitti.
Panda asentui kuitenkin hyvin ja nyt turvakeskus ilmoittaa että ainakin yksi virussuoja on toiminnassa ja toimii oikein. Palomuuriksi asensin Sygaten jota olen käyttänyt joskus aikaisemminkin.

OLISKO VIELÄ TUTKITTAVAA JOLTAIN OSIN?

 

scannaas uusi hjt:n loki

 

tässä uusi loki:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:21, on 5.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\program files\panda software\panda antivirus 2007\WebProxy.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Hijaks\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\AvTask.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Seram Web - {CC17CB93-633F-407d-98F8-25DE790608BD} - C:\Program Files\Sunda Systems\Seram Web\webtra2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Käännä - Seram Web - res://C:\Program Files\Sunda Systems\Seram Web\webtra2.dll/TRANSLATETEXT.HTM
O8 - Extra context menu item: Käännä sana - Seram Web - res://C:\Program Files\Sunda Systems\Seram Web\webtra2.dll/TRANSLATESMARTWORD.HTM
O8 - Extra context menu item: Käännä sivu - Seram Web - res://C:\Program Files\Sunda Systems\Seram Web\webtra2.dll/TRANSLATEWEBPAGE.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 4491 bytes

 

aivan mukavalta tuo loki näyttää.

 

Kiitän avusta, toivottavasti nyt toimii oikein.

Jää kuitenkin outo tunne siitä että miksi Windowsin tietoturvakeskus ilmoitti siinä vaiheessa kun olin poistanut kaiken sen hetkisiin virustorjuntaohjelmiin liittyvät tiedot että Virustorjunta on käytössä ja siitä huolehtii ThreatFire. Sen olion poistanut jo aikaisemmin.

 

kaivetaas tuolla vielä

1.Lataa combofix.exe työpöydällesi yhdestä linkistä:
combofix1
combofix2

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

 

Suoritin tuon combofixin. Panda virustorjunta ilmoitti 2 kertaa "Epätoivottu ohjelma" Nimi oli Application/Psexec.A
Ruksasin vaihtoehdon "poista ohjelma" Toivottavasti ei sotkenut lokin muodostumista.

ComboFix 08-03-05.1 - oma 2008-03-06 9:43:15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1035.18.79 [GMT 2:00]
Running from: C:\Documents and Settings\oma\Työpöytä\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2008-02-06 to 2008-03-06 )))))))))))))))))
.

2008-03-06 09:44 . 2008-03-06 09:44 53,248 --a------ C:\WINDOWS\PSEXESVC.EXE
2008-03-05 20:35 . 2008-03-05 20:35 37 --a------ C:\WINDOWS\�7Ê
2008-03-04 22:01 . 2008-03-04 22:02 <KANSIO> d-------- C:\WINDOWS\system32\NtmsData
2008-03-03 22:09 . 2008-03-03 22:09 <KANSIO> d-------- C:\Documents and Settings\oma\Application Data\Talkback
2008-03-03 21:16 . 2008-03-04 20:15 37 --a------ C:\WINDOWS\(7Ê
2008-03-03 21:14 . 2008-03-03 21:14 37 --a------ C:\WINDOWS\r007
2008-03-03 21:09 . 2008-03-06 09:41 <KANSIO> d-------- C:\WINDOWS\system32\PAV
2008-03-03 21:09 . 2008-03-03 21:09 <KANSIO> d-------- C:\Program Files\Panda Software
2008-03-03 21:09 . 2003-03-18 18:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.DLL
2008-03-03 21:09 . 2007-01-23 17:49 71,680 --------- C:\WINDOWS\system32\drivers\PAVDRV51.SYS
2008-03-03 21:09 . 2006-05-02 09:40 49,152 --a------ C:\WINDOWS\system32\pavcpl.cpl
2008-03-03 21:09 . 2006-07-14 13:46 45,056 --a------ C:\WINDOWS\system32\avldr.dll
2008-03-03 21:09 . 2008-03-03 21:09 248 --a------ C:\WINDOWS\system32\PavCPL.dat
2008-03-03 20:37 . 2004-08-10 16:51 59,984 --a------ C:\WINDOWS\system32\drivers\Teefer.sys
2008-03-03 20:37 . 2004-08-10 16:53 21,075 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys
2008-03-03 20:37 . 2004-08-10 17:05 14,240 --a------ C:\WINDOWS\system32\drivers\wg6n.sys
2008-03-03 20:37 . 2004-08-10 17:05 14,240 --a------ C:\WINDOWS\system32\drivers\wg5n.sys
2008-03-03 20:37 . 2004-08-10 17:05 14,240 --a------ C:\WINDOWS\system32\drivers\wg4n.sys
2008-03-03 20:37 . 2004-08-10 17:05 14,240 --a------ C:\WINDOWS\system32\drivers\wg3n.sys
2008-03-03 20:36 . 2008-03-03 20:36 <KANSIO> d-------- C:\Program Files\Sygate
2008-03-03 20:36 . 2004-08-10 17:05 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll
2008-03-03 20:15 . 2008-03-03 20:15 <KANSIO> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-03-03 16:32 . 2008-03-05 09:42 <KANSIO> d-------- C:\Program Files\SpywareBlaster
2008-03-02 23:37 . 2008-03-04 20:42 <KANSIO> d-------- C:\Program Files\Windows Live Safety Center
2008-03-02 15:33 . 2008-03-02 15:33 <KANSIO> dr------- C:\Documents and Settings\Järjestelmänvalvoja\Omat tiedostot
2008-03-02 15:33 . 2008-03-02 15:33 <KANSIO> dr------- C:\Documents and Settings\Järjestelmänvalvoja\Omat tiedostot
2008-03-02 15:28 . 2008-02-16 02:30 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Verkkoympäristö
2008-03-02 15:28 . 2008-02-16 02:30 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Verkkoympäristö
2008-03-02 15:28 . 2008-02-16 02:30 <KANSIO> d-------- C:\Documents and Settings\Järjestelmänvalvoja\Työpöytä
2008-03-02 15:28 . 2008-02-16 02:30 <KANSIO> d-------- C:\Documents and Settings\Järjestelmänvalvoja\Työpöytä
2008-03-02 15:28 . 2008-02-16 02:30 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Tulostinympäristö
2008-03-02 15:28 . 2008-02-16 02:30 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Tulostinympäristö
2008-03-02 15:28 . 2008-02-16 02:30 <KANSIO> d-------- C:\Documents and Settings\Järjestelmänvalvoja\Suosikit
2008-03-02 15:28 . 2008-02-16 02:30 <KANSIO> d-------- C:\Documents and Settings\Järjestelmänvalvoja\Suosikit
2008-03-02 15:28 . 2008-02-16 00:38 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Mallit
2008-03-02 15:28 . 2008-02-16 00:38 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Mallit
2008-03-02 15:28 . 2008-02-16 02:30 <KANSIO> dr------- C:\Documents and Settings\Järjestelmänvalvoja\Käynnistä-valikko
2008-03-02 15:28 . 2008-02-16 02:30 <KANSIO> dr------- C:\Documents and Settings\Järjestelmänvalvoja\Käynnistä-valikko
2008-03-01 21:56 . 2008-03-01 21:57 <KANSIO> d-------- C:\Hijaks
2008-02-29 23:05 . 2008-02-29 23:05 <KANSIO> d-------- C:\Documents and Settings\LocalService\Käynnistä-valikko
2008-02-29 23:00 . 2008-03-05 09:43 <KANSIO> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-02-29 22:59 . 2008-02-15 10:21 12,608 --a--c--- C:\WINDOWS\system32\drivers\TfKbMon.sys
2008-02-29 21:47 . 2008-02-29 21:47 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\fssg
2008-02-21 18:45 . 2008-02-21 18:45 754 --a--c--- C:\WINDOWS\WORDPAD.INI
2008-02-21 13:02 . 2008-02-21 13:02 <KANSIO> d-------- C:\WINDOWS\Performance
2008-02-21 13:00 . 2008-02-21 13:14 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Corporation
2008-02-17 20:16 . 2008-03-05 21:17 <KANSIO> d-------- C:\Documents and Settings\oma\Contacts
2008-02-17 15:15 . 2008-02-17 15:15 19,376 --ah-c--- C:\WINDOWS\system32\mlfcache.dat
2008-02-17 14:55 . 2008-02-17 14:55 <KANSIO> d-------- C:\Program Files\Google
2008-02-17 14:22 . 2008-02-17 14:22 <KANSIO> dr------- C:\Documents and Settings\oma\Application Data\Brother
2008-02-16 22:07 . 2008-02-17 11:45 <KANSIO> d-------- C:\Program Files\Skype
2008-02-16 22:07 . 2008-02-16 22:10 <KANSIO> d-------- C:\Documents and Settings\oma\Application Data\Skype
2008-02-16 21:31 . 2007-07-30 19:19 271,224 --a--c--- C:\WINDOWS\system32\mucltui.dll
2008-02-16 21:31 . 2007-07-30 19:18 30,072 --a--c--- C:\WINDOWS\system32\mucltui.dll.mui
2008-02-16 20:09 . 2008-02-16 22:07 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Skype
2008-02-16 20:07 . 2008-02-16 20:07 <KANSIO> d-------- C:\Documents and Settings\oma\Application Data\Template
2008-02-16 19:58 . 2008-02-16 19:59 <KANSIO> d-------- C:\Program Files\Paint.NET
2008-02-16 17:43 . 2008-02-16 18:02 3,225 --a--c--- C:\WINDOWS\mozver.dat
2008-02-16 17:40 . 2008-03-06 09:30 <KANSIO> d-------- C:\Documents and Settings\oma\Application Data\SiteAdvisor
2008-02-16 17:40 . 2008-02-16 17:40 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\SiteAdvisor
2008-02-16 17:40 . 2008-02-16 17:40 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\McAfee
2008-02-16 13:25 . 2008-02-16 13:25 <KANSIO> d-------- C:\Program Files\Microsoft Silverlight
2008-02-16 13:24 . 2008-02-16 13:24 <KANSIO> d-------- C:\Program Files\Windows Media Connect 2
2008-02-16 13:24 . 2004-09-15 14:00 221,184 --a--c--- C:\WINDOWS\system32\wmpns.dll
2008-02-16 13:22 . 2008-02-16 13:22 <KANSIO> d-------- C:\WINDOWS\system32\LogFiles
2008-02-16 13:22 . 2008-02-16 13:23 <KANSIO> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-02-16 12:55 . 2008-02-16 13:00 <KANSIO> d-------- C:\Program Files\Windows Live
2008-02-16 12:55 . 2008-02-16 12:59 <KANSIO> d--hsc--- C:\Program Files\Common Files\WindowsLiveInstaller
2008-02-16 12:55 . 2008-02-16 12:55 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-02-16 12:27 . 2008-02-16 12:27 <KANSIO> d-------- C:\Program Files\Sunda Systems
2008-02-16 12:26 . 2008-02-16 12:26 <KANSIO> d-------- C:\Documents and Settings\oma\Application Data\Sunda Systems
2008-02-16 12:20 . 2008-02-16 12:20 <KANSIO> d-------- C:\Program Files\Secunia
2008-02-16 12:19 . 2008-02-16 12:19 <KANSIO> d-------- C:\WINDOWS\Sun
2008-02-16 12:08 . 2008-02-16 12:08 <KANSIO> d-------- C:\Program Files\Java
2008-02-16 12:08 . 2008-02-16 12:08 <KANSIO> d-------- C:\Program Files\Common Files\Java
2008-02-16 12:08 . 2007-12-14 01:59 69,632 --a--c--- C:\WINDOWS\system32\javacpl.cpl
2008-02-16 11:42 . 2008-02-16 11:42 2,422 --a--c--- C:\WINDOWS\system32\wpa.bak
2008-02-16 10:39 . 2008-02-16 10:39 <KANSIO> d-------- C:\Documents and Settings\oma\Application Data\Thunderbird
2008-02-16 10:33 . 2008-03-05 16:29 <KANSIO> d-------- C:\Program Files\Mozilla Thunderbird
2008-02-16 10:33 . 2008-02-16 18:02 <KANSIO> d-------- C:\Program Files\Mozilla Sunbird
2008-02-16 09:57 . 2008-02-23 02:03 <KANSIO> d-------- C:\Documents and Settings\oma\Application Data\Toshiba
2008-02-16 09:56 . 2008-02-23 02:05 98 --a--c--- C:\WINDOWS\WirelessFTP.INI
2008-02-16 09:52 . 2008-02-16 09:52 0 --a--c--- C:\WINDOWS\tosOBEX.INI
2008-02-16 09:49 . 2008-02-16 09:49 <KANSIO> d-------- C:\Program Files\Toshiba
2008-02-16 09:24 . 2008-02-16 09:25 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Creative
2008-02-16 09:18 . 2008-02-16 09:25 <KANSIO> d-------- C:\Documents and Settings\oma\Application Data\Creative
2008-02-16 09:15 . 2000-05-22 10:58 647,872 -----c--- C:\WINDOWS\system32\Mscomct2.ocx
2008-02-16 09:15 . 1999-10-10 19:00 41,984 -----c--- C:\WINDOWS\Ctregrun.exe
2008-02-16 09:15 . 2003-06-12 23:25 7,062 --a--c--- C:\WINDOWS\system32\audiopid.vxd
2008-02-16 09:13 . 2008-02-16 09:13 <KANSIO> d-------- C:\WINDOWS\CtDrvInstall
2008-02-16 09:10 . 2008-02-16 09:19 <KANSIO> d-------- C:\Program Files\Creative
2008-02-16 08:58 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\drivers\usbprint.sys
2008-02-16 08:58 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-02-16 08:58 . 2008-02-18 00:19 462 --a--c--- C:\WINDOWS\BRWMARK.INI
2008-02-16 08:58 . 2008-02-16 08:58 184 --a--c--- C:\WINDOWS\system32\brsvc01a.bsi
2008-02-16 08:58 . 2008-02-16 08:58 30 --a--c--- C:\WINDOWS\system32\brss01a.ini
2008-02-16 08:58 . 2008-02-16 08:58 27 --a--c--- C:\WINDOWS\BRPP2KA.INI
2008-02-16 08:57 . 2008-02-16 08:57 <KANSIO> d-------- C:\Program Files\Brother
2008-02-16 08:56 . 2005-04-08 15:48 163,840 -----c--- C:\WINDOWS\system32\NSSearch.dll
2008-02-16 08:56 . 2004-12-10 16:35 147,456 -----c--- C:\WINDOWS\brunin03.dll

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-03 19:09 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-16 23:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Backup
2008-02-16 06:57 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-02-15 23:01 --------- d-----w C:\Program Files\ATI Technologies
2008-02-15 22:42 --------- d-----w C:\Program Files\microsoft frontpage
2008-01-22 09:18 7,808 -c--a-w C:\WINDOWS\system32\drivers\psi_mf.sys
2007-12-07 01:07 659,456 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{CC17CB93-633F-407D-98F8-25DE790608BD}

[HKEY_CLASSES_ROOT\clsid\{cc17cb93-633f-407d-98f8-25de790608bd}]
[HKEY_CLASSES_ROOT\WebTra.WebTraObj.1]
[HKEY_CLASSES_ROOT\TypeLib\{215F151F-7DDC-493e-95D5-4A0A98048EB8}]
[HKEY_CLASSES_ROOT\WebTra.WebTraObj]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{CC17CB93-633F-407D-98F8-25DE790608BD}"= C:\Program Files\Sunda Systems\Seram Web\webtra2.dll [2008-01-20 21:32 625664]

[HKEY_CLASSES_ROOT\clsid\{cc17cb93-633f-407d-98f8-25de790608bd}]
[HKEY_CLASSES_ROOT\WebTra.WebTraObj.1]
[HKEY_CLASSES_ROOT\TypeLib\{215F151F-7DDC-493e-95D5-4A0A98048EB8}]
[HKEY_CLASSES_ROOT\WebTra.WebTraObj]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-09-15 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 09:00 81920 C:\WINDOWS\SOUNDMAN.EXE]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-08-13 19:05 2532576]
"APVXDWIN"="C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.exe" [2007-01-25 18:50 321072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-09-15 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll 2006-07-14 13:46 45056 C:\WINDOWS\system32\avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50]
R3 V0230Vfx;V0230Vfx;C:\WINDOWS\system32\DRIVERS\V0230Vfx.sys [2006-03-23 19:00]
R3 V0230VID;Live! Cam Video IM Pro;C:\WINDOWS\system32\DRIVERS\V0230VID.sys [2006-09-28 19:01]
S0 TfFsMon;TfFsMon;C:\WINDOWS\system32\drivers\TfFsMon.sys []
S0 TfSysMon;TfSysMon;C:\WINDOWS\system32\drivers\TfSysMon.sys []
S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-01-22 11:18]
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []
S3 TfNetMon;TfNetMon;C:\WINDOWS\system32\drivers\TfNetMon.sys []
S4 ThreatFire;ThreatFire;C:\Program Files\ThreatFire\TFService.exe service []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 09:44:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
Completion time: 2008-03-06 9:44:58
.
2008-02-16 11:06:19 --- E O F ---

 

Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi.

Käynnistä koneesi vikasietotilaan:

sammuta ja käynnistä
käynnistyksen yhteydessä hakkaa F8 nappia
valitse nuolinäppäimellä vikasietotila
paina enter ja enter
valitse käyttäjätilisi
paina kyllä

Jossakin koneissa hakataan F8:sin sijasta F5:tä

" Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
" Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
" Paina Y käynnistääksesi skriptin.
" Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
" Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
" Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
" Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
" Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
" Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis:n lokin kera.

 

tässä olis pyytämäsi tiedot:


SDFix: Version 1.153

Run by oma on to 06.03.2008 at 14:38

Microsoft Windows XP [versio 5.1.2600]
Running From: C:\DOCUME~1\oma\TYPYT~1\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 14:43:20
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a9401ce36]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000a9401ce36]

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\\x90\x2022\x20ac|\xff\xff\xff\xff"\x2022\x20ac|\xfe\xbb\xd3w\2]
"b049C053C7D38EE4AB9A00CB3B5D2472"="C?\Program Files\Common Files\Microsoft Shared\Web Folders\PUBPLACE.HTT"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D\n\21]
"DisplayName"="\xb973\x7791"
"DeviceDesc"="\xb973\x7791"
"ProviderName"="\x27fc\21\xee18\x7c90\x286c\21\b"
"MFG"="\xc1bf\b\xe12b\x1803\x64c"
"ReinstallString"=".10.1000.5"
"DeviceInstanceIds"=str(7):"f:\ati\rs480\sbdrv\smbus\smbusati.inf"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Wed 15 Sep 2004 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Sat 16 Feb 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:03, on 6.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\program files\panda software\panda antivirus 2007\WebProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Hijaks\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Seram Web - {CC17CB93-633F-407d-98F8-25DE790608BD} - C:\Program Files\Sunda Systems\Seram Web\webtra2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 4290 bytes

 

Löytyykös tuo kansio vielä
C:\Program Files\ThreatFire

 

Ei löydy - ProgranFiles kansiosta
- etsi-toiminnalla eikä
- suorita-toiminnalla

Ei sitä löytynyt aikaisemminkaan mutta silloin näkyi lokissa, nyt on hävinnyt jos oikein tulkitsen.

Taitaapi olla nyt puhdas siltä osin.

ISO Kiitos ja kumarrus sinulle opastuksesta ja vaivannäöstäsi

 

Lataa Deckard's System Scanner
Työpöydällesi.

Huomioi: Sinulla tulee olla Järjestelmänvalvojan oikeudet ajaaksesi ohjelman.

[*]Sulje kaikki avoimet ikkunat ja ohjelmat.
[*]Tupla Klikkaa Dss.exe tiedostoa ajaaksesi ohjelman, seuraa ohjeita.
[*]Kun Scannaus on valmis 2 textitiedostoa pitäisi avautua, Main.txt ja extra.txt
[*]Näppäile Kopioi ( CTRL+A -> CTRL + C ) ja liitä ( CTRL + V )
[*]kopioi ja liitä main.txt ja extra.txt sisältö seuraavaan vastaukseesi.