1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

Hijack This-logi syyniin. Voiko joku auttaa, please?

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi Cacomuco 12.02.2008.

  1. Kepetys

    Kepetys Member

    Liittynyt:
    27.01.2008
    Viestejä:
    81
    Kiitokset:
    0
    Pisteet:
    16
    Anteeksi, että tulen väliin, mutta auttaisko jos Cacomuco laittaisi vaikkapa kuvan kyseisistä tiedostoista ja vaikkapa kokeilisi poistaa ne sillä ohjelmalla joka poistaa lukituksen jokaisesta ohjelamsta jotta ne voidaan poistaa?
     
  2.  
  3. Cacomuco

    Cacomuco Regular member

    Liittynyt:
    30.01.2007
    Viestejä:
    206
    Kiitokset:
    0
    Pisteet:
    26
    Kiitos neuvosta Kepetys. Tuskin Hujo tulee mustikseksi vaikka neuvot välissä.

    Nyt tarttisi enää sun edelliset ohjeet suomeksi niin että mäkin ymmärrän :) :D
     
  4. Hujo

    Hujo Guest

    Saat työpöydästä kuvan:
    Prnscr/sysrq näppäimellä.

    Avaa sitten Paint ja paina CTRL + V.

    Kuvan pitäisi ilmestyä ja voit halutessasi vielä muokata sitä ja jättää tarpeettomat alueet pois.
    otat kuvake kohdat pikkusta askartelua Paintissa

    Tallenna lopuksi kuva ja syötä se kuva-hosting palveluun.

    Imaheshack http://imageshack.us/

    sieltä sitten osoite niin katellaan kuvia ;)

    otas se combofix loki tänne niin katellaan sitäkin
     
    Moderaattorin viimeksi muokkaama: 14.02.2008
  5. Cacomuco

    Cacomuco Regular member

    Liittynyt:
    30.01.2007
    Viestejä:
    206
    Kiitokset:
    0
    Pisteet:
    26
    OK, teen parhaani. Mutta pakko jatkaa huomenna, muuten nukun aamulla luennolla. :)

    Kiitos jälleen kerran avusta.
     
  6. Hujo

    Hujo Guest

    jeps ...
     
  7. Cacomuco

    Cacomuco Regular member

    Liittynyt:
    30.01.2007
    Viestejä:
    206
    Kiitokset:
    0
    Pisteet:
    26
  8. Cacomuco

    Cacomuco Regular member

    Liittynyt:
    30.01.2007
    Viestejä:
    206
    Kiitokset:
    0
    Pisteet:
    26
    Okei, tuossa linkissä (edellisessä postissa) nyt ottamani kuva. Toivottavasti saat sen auki!!
     
  9. Kepetys

    Kepetys Member

    Liittynyt:
    27.01.2008
    Viestejä:
    81
    Kiitokset:
    0
    Pisteet:
    16
    Hurl taitaapi olla RealPlayerin osa? Ja ieupdr2 on ainakin virus. Tosta combofixistä en tiedä, mutta anna Hujon hoitaa homma.
     
  10. Hujo

    Hujo Guest

    ota toi compofix tuosta kakkos linkistä ja aja se
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Teestämä

    Käynnistä > suorita laita siihen poksiin alla oleva ja paina Ok

    Combofix /u

    ja lataa tuosta linkistä uusi mikä ylenpänä on tässsä latikossa

    ============

    Noihin kahteen se polku pitäis saada

    ieubdr2
    hurl
     
    Moderaattorin viimeksi muokkaama: 16.02.2008
  11. Cacomuco

    Cacomuco Regular member

    Liittynyt:
    30.01.2007
    Viestejä:
    206
    Kiitokset:
    0
    Pisteet:
    26
    Nonniin, sain tuon Combofixin ajettua. Raportti tässä. Mutta mitäs tarkoitit sillä, että "noihin kahteen pitisi saada se polku"?


    ComboFix 08-02-16.2 - AH 2008-02-16 14:36:17.6 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.210 [GMT 2:00]
    Running from: C:\Documents and Settings\AH\Desktop\ComboFix(2).exe

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    ((((((((((((((((((((((((( Files Created from 2008-01-16 to 2008-02-16 )))))))))))))))))))))))))))))))
    .

    2008-02-16 14:35 . 2008-02-16 14:40 <DIR> d-------- C:\ComboFix(2)
    2008-02-16 12:57 . 2008-02-16 14:39 <DIR> d-------- C:\QooBox
    2008-02-16 12:57 . 2004-08-04 03:07 388,608 --a------ C:\WINDOWS\system32\kmd.exe
    2008-02-16 12:57 . 2000-08-31 08:00 212,480 --a------ C:\WINDOWS\system32\swxcacls.exe
    2008-02-16 12:57 . 2000-08-31 08:00 161,792 --a------ C:\WINDOWS\system32\swreg.exe
    2008-02-16 12:57 . 2000-08-31 08:00 136,704 --a------ C:\WINDOWS\system32\swsc.exe
    2008-02-16 12:57 . 2000-08-31 08:00 98,816 --a------ C:\WINDOWS\system32\sed.exe
    2008-02-16 12:57 . 2000-08-31 08:00 80,412 --a------ C:\WINDOWS\system32\grep.exe
    2008-02-16 12:57 . 2000-08-31 08:00 73,728 --a------ C:\WINDOWS\system32\fdsv.exe
    2008-02-16 12:57 . 2000-08-31 08:00 68,096 --a------ C:\WINDOWS\system32\zip.exe
    2008-02-16 12:57 . 2000-08-31 08:00 49,152 --a------ C:\WINDOWS\system32\VFind.exe
    2008-02-14 18:52 . 2008-02-14 18:52 0 --a------ C:\23990098.$$$
    2008-02-13 21:47 . 2008-02-14 11:18 <DIR> d-------- C:\Kaspersky
    2008-02-13 17:19 . 536,203,264 C:\hiberfil.sys
    2008-02-13 16:56 . 2008-02-13 16:57 <DIR> d-------- C:\WINDOWS\ERUNT
    2008-02-13 15:57 . 2008-02-13 15:57 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\OnlineArmor
    2008-02-13 15:57 . 2008-02-16 14:33 <DIR> d-------- C:\Documents and Settings\AH\Application Data\OnlineArmor
    2008-02-13 15:56 . 2007-11-08 06:37 68,608 --a------ C:\WINDOWS\system32\drivers\OADriver.sys
    2008-02-13 15:56 . 2007-09-29 00:06 25,600 --a------ C:\WINDOWS\system32\drivers\OAmon.sys
    2008-02-13 15:56 . 2007-09-29 00:06 18,944 --a------ C:\WINDOWS\system32\drivers\ndisrd.sys
    2008-02-13 11:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
    2008-02-13 11:34 . 2004-08-04 03:07 388,608 --a------ C:\kmd.exe
    2008-01-26 18:24 . 2008-01-26 18:24 <DIR> d-------- C:\Documents and Settings\AH\OngameNetwork
    2008-01-24 13:29 . 2008-01-24 13:31 769,536 --a------ C:\Documents and Settings\AH\Application Data\sfdnwin.dll

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-16 12:34 --------- d-----w C:\Program Files\Mozilla Firefox
    2008-02-16 12:32 805,306,368 --sha-w C:\pagefile.sys
    2008-02-14 18:47 --------- d-----w C:\Program Files\Ifi
    2008-02-14 18:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ifi
    2008-02-14 18:46 --------- d-----w C:\Program Files\SpywareBlaster
    2008-02-14 18:46 --------- d-----w C:\Documents and Settings\AH\Application Data\Lavasoft
    2008-02-13 14:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-02-13 14:27 --------- d-----w C:\Program Files\Comodo
    2008-02-13 14:27 --------- d-----w C:\Documents and Settings\AH\Application Data\Comodo
    2008-02-13 13:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Comodo
    2008-01-27 14:27 --------- d-----w C:\Program Files\PokerRoom.com
    2008-01-25 07:33 --------- d-----w C:\Documents and Settings\AH\Application Data\U3
    2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
    2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
    2007-11-23 09:20 139,008 ----a-w C:\WINDOWS\system32\guard32.dll
    2007-02-24 17:00 81,920 ----a-w C:\Documents and Settings\AH\Application Data\ezpinst.exe
    2007-02-24 17:00 47,360 ----a-w C:\Documents and Settings\AH\Application Data\pcouffin.sys
    .
    C:\WINDOWS\system32\user32.dll ... is infected !! (additional data below)
    577,024 2004-08-04 01:07:00 C:\WINDOWS\system32\user32.dll
    577,024 2004-08-04 01:07:00 C:\WINDOWS\system32\dllcache\user32.dll


    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 03:07 15360]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" [2005-10-28 16:25 94208]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Name of App"="C:\Program Files\SAMSUNG\FW LiveUpdate\FWManager.exe" [2007-04-05 15:29 684118]
    "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 22:46 57344]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
    "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
    "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 20:52 49152]
    "OnlineArmor GUI"="E:\Ohjelmat\Palomuurit" [ ]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 03:07 15360]

    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 20:40:10 210520]
    Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-07-09 18:38:05 688128]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{4F07DA45-8170-4859-9B5F-037EF2970034}"= E:\Ohjelmat\PALOMU~1\ONLINE~1\ONLINE~1\oaevent.dll [2007-11-16 07:50 633344]

    R1 NDISRD;NDISRD;C:\WINDOWS\system32\drivers\NDISRD.sys [2007-09-29 00:06]
    R1 OADevice;OADriver;C:\WINDOWS\system32\drivers\OADriver.sys [2007-11-08 06:37]
    R1 OAmon;OAmon;C:\WINDOWS\system32\drivers\OAmon.sys [2007-09-29 00:06]
    R2 SvcOnlineArmor;Online Armor;"E:\Ohjelmat\Palomuurit, Antivirukset, spyware-poistajat jne\Online Armor\Online Armor\oasrv.exe" [2007-11-16 07:51]
    S2 EYABBDBC;EYABBDBC;C:\WINDOWS\system32\eyabbdbc.box []

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cad5e977-a98c-11db-93dd-806d6172696f}]
    \Shell\AutoRun\command - D:\SH-S182M(TS-H652M).exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1c7bfa2-8924-11dc-b2a3-00112ff5f80d}]
    \Shell\AutoRun\command - F:\LaunchU3.exe -a

    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-16 14:40:13
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
     
  12. Hujo

    Hujo Guest

    >> C:\Documents and Settings\AH\Application Data\sfdnwin.dll <<< tämän näköinen on polku
     
  13. Cacomuco

    Cacomuco Regular member

    Liittynyt:
    30.01.2007
    Viestejä:
    206
    Kiitokset:
    0
    Pisteet:
    26
    Ahaaaaaaa....... Poistanko siis tuon filen?
     
  14. Hujo

    Hujo Guest

    se oli vain malli polku
    vieläkös ne jäpittää siellä poydällä kuvakkeet.
     
  15. Cacomuco

    Cacomuco Regular member

    Liittynyt:
    30.01.2007
    Viestejä:
    206
    Kiitokset:
    0
    Pisteet:
    26
    Juu juu, siellähän ne törröttävät kuten ennenkin :/

    Ärsyttääkö? =)
     
  16. Hujo

    Hujo Guest

    Mä hommasin saman laisen kuvakeen pöydälle.. combofix.exe

    siinä se jäpitti kamssa niin kauan kun klikkasin sitä hiiren oiken puoleisella napilla ja pistin poista .. lähti
     
  17. Cacomuco

    Cacomuco Regular member

    Liittynyt:
    30.01.2007
    Viestejä:
    206
    Kiitokset:
    0
    Pisteet:
    26
    Olen yrittänyt kyllä ihan perinteisesti poistaa noita kaikkia, mutta ei vaan suostu poistamaan. En mä siitä combofix-ikonista niin huolta kanna, kun tiedän, että laitoin sen siihen itse. Noi muut vähän häiritsee, varsinkin jos tuo ieupdr2 on jokin viirus....

    Et enää keksi mitään uutta lääkettä tähän asiaan...?
     
  18. Hujo

    Hujo Guest

    poistuuko työpöydältä joku muu kuva kun poistaa
     
  19. Cacomuco

    Cacomuco Regular member

    Liittynyt:
    30.01.2007
    Viestejä:
    206
    Kiitokset:
    0
    Pisteet:
    26
    Kyllä kuvat ja shotcutit ainakin saa poistettua ihan normaalisti...
     
  20. Hujo

    Hujo Guest

    Käynnistä > suorita laita siihen poksiin alla oleva ja paina Ok

    Combofix /u

     
  21. Cacomuco

    Cacomuco Regular member

    Liittynyt:
    30.01.2007
    Viestejä:
    206
    Kiitokset:
    0
    Pisteet:
    26
    OK, kuten viimeksikin, niin tuon tehdessäni kone siis ilmoittaa, että Combofix on un-installoitu, kuten ilmeisesti tarkoituskin. Tein tämän käskystäsi aikaisemminkin, mutta sittenhän se asennettiin uudestaan. Nyt se on joka tapauksessa un-instattu.
     

Jaa tämä sivu