command.exe + muut

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi suoliis 19.08.2006.

Viestiketjun tila:
Viestiketju on suljettu.
  1. suoliis

    suoliis Guest

    Logfile of HijackThis v1.99.1
    Scan saved at 20:30:19, on 19.8.2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\RunDll32.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
    D:\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
    C:\WINDOWS\cGVydHNh\command.exe
    D:\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
    D:\Sonera Tietoturva\Common\FSMA32.EXE
    D:\Sonera Tietoturva\Common\FSMB32.EXE
    D:\Sonera Tietoturva\Common\FCH32.EXE
    D:\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
    D:\Sonera Tietoturva\Anti-Virus\FSGK32.EXE
    D:\Sonera Tietoturva\Common\FAMEH32.EXE
    D:\Sonera Tietoturva\Anti-Virus\fsrw.exe
    D:\Sonera Tietoturva\FWES\Program\fsdfwd.exe
    D:\Sonera Tietoturva\FSPC\fspc.exe
    D:\Sonera Tietoturva\Anti-Virus\fssm32.exe
    D:\Sonera Tietoturva\Anti-Virus\fsav32.exe
    D:\Sonera Tietoturva\Common\FSM32.EXE
    D:\SONERA~1\ANTI-S~1\fsaw.exe
    D:\Sonera Tietoturva\FSGUI\fsguidll.exe
    C:\WINDOWS\System32\taskmgr.exe
    D:\Program Files\firefox.exe
    D:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fi\msntb.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "D:\Sonera Tietoturva\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "D:\Sonera Tietoturva\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKLM\..\Run: [F-Secure Startup Wizard] "D:\Sonera Tietoturva\FSGUI\FSSW.EXE" /reboot
    O4 - HKLM\..\Run: [News Service] "D:\Sonera Tietoturva\FSGUI\ispnews.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Sonera Tietoturva.lnk = D:\Sonera Tietoturva\backweb\4436233\Program\fspex.exe
    O8 - Extra context menu item: &Estä tämä kohoikkuna - D:\Sonera Tietoturva\Anti-Spyware\blockpopups.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra button: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - D:\Sonera Tietoturva\FSPC\fspcmsie.dll
    O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - D:\Sonera Tietoturva\FSPC\fspcmsie.dll
    O9 - Extra 'Tools' menuitem: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - D:\Sonera Tietoturva\FSPC\fspcmsie.dll
    O9 - Extra button: IE-suojaus - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - D:\Sonera Tietoturva\Anti-Spyware\ieshield.dll
    O9 - Extra 'Tools' menuitem: IE-suojaus... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - D:\Sonera Tietoturva\Anti-Spyware\ieshield.dll
    O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\i4jqle151h.dll
    O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\kt48l7hu1.dll (file missing)
    O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\kt48l7hu1.dll (file missing)
    O20 - Winlogon Notify: ssqpq - ssqpq.dll (file missing)
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Sonera Tietoturva - D:\SONERA~1\backweb\4436233\Program\SERVIC~1.EXE
    O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - D:\Sonera Tietoturva\Anti-Virus\fsgk32st.exe
    O23 - Service: fsbwsys - F-Secure Corp. - D:\Sonera Tietoturva\backweb\4436233\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Sonera Tietoturva\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - D:\Sonera Tietoturva\FSPC\fshttps\fshttps.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Sonera Tietoturva\Common\FSMA32.EXE


    Tuolla on ilmeisesti töhkää, kuten command.exe, jota en osaa poistaa. Kansiota kun ei löydy millään.
    Apua kaivataan.
     
  2.  
  3. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    1. Lataa http://download.bleepingcomputer.com/sUBs/combofix.exe
    combofix.exe tiedosto työpöydällesi.
    2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
    3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
    Huom! ]Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen

    Lähetä uusi HjT-loki ja combofixin loki.
     
  4. aaxxeell

    aaxxeell Regular member

    Liittynyt:
    28.07.2005
    Viestejä:
    2,145
    Kiitokset:
    0
    Pisteet:
    46
    @suoliis

    Kyllä kaiken voit hoitaa yhdessä ketjussa: http://keskustelu.afterdawn.com/thread_view.cfm/380764
    Tuo Nolop tekstitiedoston on jäänyt vielä edellisestä.

    En tiedä miten kemisti suhtautuu mutta tietokone olisi ensin päivitettävä ennekuin kananttaa edes fixailla. Sillä tämä kone on saastunut sitä mukaan kun se korjataan.
     
    Viimeksi muokattu: 19.08.2006
Viestiketjun tila:
Viestiketju on suljettu.

Jaa tämä sivu