hjt login tulkintaan apuja KIITOS!!

Joo, kun pistin sen combofix /u komennon tuli taas sama sininen ruutu ja sen jälkeen ilmoitus combofix poistettu ?

 

lataa se combofix koneelle

 

combofix ladattu uudelleen, mut sama homma. Ensiksi tulee vain sinen ruutu ja kursori---> ei tapahdu mitään. Kun kirjoittaa suorita kenttään combofix /u niin ilmoittaa et combofix poistettu. Eilen tuli (taas) uusi virus: Hacktool:w32/darkgain./ et semmosta. Onkohan tässä enään muuta tehtävissa kuin formatoida kaikki levyt vai oisko jotain vielä "takataskussa" millä selvittäis, ois vähän turhan paljon tärkeitä tiedostoja mitä ei viittisi hukata....

 

Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi.

Käynnistä koneesi vikasietotilaan:

sammuta ja käynnistä
käynnistyksen yhteydessä hakkaa F8 nappia
valitse nuolinäppäimellä vikasietotila
paina enter ja enter
valitse käyttäjätilisi
paina kyllä

Jossakin koneissa hakataan F8:sin sijasta F5:tä

" Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
" Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
" Paina Y käynnistääksesi skriptin.
" Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
" Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
" Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
" Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
" Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
" Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis:n lokin kera.

==============

Scannaa koneesi Kaspersky Online Scannerin

Ohjelman käynnistyessä kysytään sallitaanko ActiveX -komponentin asentamisen Kasperskyltä, klikkaa Kyllä.
" Ohjelma käynnistyy ja aloittaa viimeisimpien tunnistetiedostojen lataamisen.
" Kun skanneri on asennettu ja tunnistetiedot ladattu, klikkaa Next.
" Klikkaa nyt asetuksia, Scan Settings
" Tarkista asetuksista, että seuraavat ovat valittuina:
o Scan using the following Anti-Virus database:
+ Extended (Jos valittavissa, muuten valitse Standard)
o Scan Options:
+ Scan Archives
+ Scan Mail Bases
" Klikkaa OK
" Nyt valitse "select a target to scan" otsikon alta Oma Tietokone, My Computer
" Skannaus vie aikaa, joten ole kärsivällinen. Kun skannaus on valmis saat ilmoituksen, jos koneesi on saastunut.
" Klikkaa nyt Save as Text-painiketta.
" Tallenna tiedosto työpöydällesi.
" Mikäli haluat jatkaa asian käsittelyä foorumissa niin kopioi tiedoston sisältö viestiisi.

==============

Luo poistolista:
• Avaa HiJackThis
• Klikkaa "Configure" valintaa oikealla alhaalla
• Klikkaa "Misc Tools"
• Klikkaa boxia joka sanoo "Uninstall Manager"
• Klikkaa valintaa "Save list"
• Kopioi ja liitä kyseinen lista muistiosta ketjuusi

============

lataa The Avenger (c)

Klikkaa Avenger.zip filua avataksesi sen.
Pura Avenger.exe työpöydällesi.

Nyt, aukaise The Avenger

katso että täppi on kohdassa Scan for rootkits

Klikaa execute

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:48:30, on 3.2.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
D:\Program Files\F-Secure\Common\FSMA32.EXE
D:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
D:\Program Files\F-Secure\Common\FSMB32.EXE
D:\WINDOWS\System32\svchost.exe
D:\Program Files\F-Secure\Common\FCH32.EXE
D:\Program Files\F-Secure\Common\FAMEH32.EXE
D:\Program Files\F-Secure\Anti-Virus\fsqh.exe
D:\Program Files\F-Secure\Common\FNRB32.EXE
D:\Program Files\F-Secure\Anti-Virus\fssm32.exe
D:\Program Files\F-Secure\FSAUA\program\fsaua.exe
D:\Program Files\F-Secure\Common\FIH32.EXE
D:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
D:\Program Files\F-Secure\Anti-Virus\fsav32.exe
D:\Program Files\F-Secure\Common\FSM32.EXE
D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
D:\Program Files\F-Secure\FSGUI\fsguidll.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\Jarno J\Työpöytä\hjt\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [F-Secure Manager] "D:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDFix] D:\DOCUME~1\JARNOJ~1\TYPYT~1\SDFix\SDFix\RunThis.batx\RunThis.bat /second
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1233230595762
O20 - Winlogon Notify: !SASWinLogon - D:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - D:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - D:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - D:\Program Files\F-Secure\ORSP Client\fsorsp.exe

--
End of file - 5029 bytes

tässä ois toi sdfix joka ei tainnut mennä aivain oikein?

SDFix: Version 1.240
Run by Jarno J on ti 03.02.2009 at 19:38

Microsoft Windows XP [versio 5.1.2600]
Running From: D:\Documents and Settings\Jarno J\Työpöytä\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting

 

Ad-aware 6 Professional
Adobe Reader 9 - Suomi
CCleaner (remove only)
CloneDVD2
F-Secure Client Security - Internet-suojaus
F-Secure Client Security - Järjestelmänhallinta
F-Secure Client Security - Sähköpostin tarkistus
F-Secure Client Security - Web-liikenteen tarkistus
F-Secure Client Security - Virus- ja vakoilusuojaus
HijackThis 2.0.2
Hotfix-päivitys Windows XP:lle (KB952287)
Malwarebytes' Anti-Malware
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Nero Suite
Päivitys Windows XP:lle (KB951978)
Päivitys Windows XP:lle (KB955839)
Suojauspäivitys Windows Internet Explorer 7:lle (KB938127-v2)
Suojauspäivitys Windows Internet Explorer 7:lle (KB956390)
Suojauspäivitys Windows Internet Explorer 7:lle (KB958215)
Suojauspäivitys Windows Internet Explorer 7:lle (KB960714)
Suojauspäivitys Windows Media Playerille (KB952069)
Suojauspäivitys Windows XP:lle (KB923789)
Suojauspäivitys Windows XP:lle (KB938464)
Suojauspäivitys Windows XP:lle (KB946648)
Suojauspäivitys Windows XP:lle (KB950762)
Suojauspäivitys Windows XP:lle (KB950974)
Suojauspäivitys Windows XP:lle (KB951066)
Suojauspäivitys Windows XP:lle (KB951376-v2)
Suojauspäivitys Windows XP:lle (KB951698)
Suojauspäivitys Windows XP:lle (KB951748)
Suojauspäivitys Windows XP:lle (KB952954)
Suojauspäivitys Windows XP:lle (KB954211)
Suojauspäivitys Windows XP:lle (KB954459)
Suojauspäivitys Windows XP:lle (KB954600)
Suojauspäivitys Windows XP:lle (KB955069)
Suojauspäivitys Windows XP:lle (KB956391)
Suojauspäivitys Windows XP:lle (KB956802)
Suojauspäivitys Windows XP:lle (KB956803)
Suojauspäivitys Windows XP:lle (KB956841)
Suojauspäivitys Windows XP:lle (KB957097)
Suojauspäivitys Windows XP:lle (KB958215)
Suojauspäivitys Windows XP:lle (KB958644)
Suojauspäivitys Windows XP:lle (KB958687)
Suojauspäivitys Windows XP:lle (KB960714)
SUPERAntiSpyware Free Edition
Windows Internet Explorer 7
Windows XP Service Pack 3
WinISO 5.3

 

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished! Terminate.

 

Lataa OTMoveIt
OTMoveIt ja tallenna se työpöydällesi.

Tuplaklikkaa OTMoveIt.exe.
Klikkaa CleanUp!.
Valitse Yes kun kysytään "Begin cleanup Process?".
Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse.

HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt yrittää päästä nettin, niin anna sen päästä sinne.

 

KASPERSKY ONLINE SCANNER 7 REPORT
Tuesday, February 3, 2009
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Tuesday, February 03, 2009 18:03:57
Records in database: 1740753


Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\

Scan statistics
Files scanned 179745
Threat name 1
Infected objects 45
Suspicious objects 0
Duration of the scan 02:43:48

File name Threat name Threats count
C:\RECYCLER\S-0-3-19-100007057-100007857-100020734-1517.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

C:\RECYCLER\S-1-8-44-100019961-100013692-100008283-5374.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

C:\RECYCLER\S-3-2-66-100025044-100015277-100025561-1541.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

C:\RECYCLER\S-4-2-32-100028852-100024815-100011951-2224.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

C:\RECYCLER\S-5-4-99-100002258-100009252-100011241-9612.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

C:\RECYCLER\S-6-4-84-100018052-100031016-100026432-3066.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

C:\RECYCLER\S-7-2-61-100004443-100017977-100016346-5663.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

D:\RECYCLER\S-0-3-19-100007057-100007857-100020734-1517.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

D:\RECYCLER\S-1-0-71-100002670-100032555-100031809-1183.0OM.mwt Infected: Rootkit.Win32.TDSS.gxg 1

D:\RECYCLER\S-1-8-44-100019961-100013692-100008283-5374.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

D:\RECYCLER\S-3-2-66-100025044-100015277-100025561-1541.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

D:\RECYCLER\S-5-4-99-100002258-100009252-100011241-9612.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

D:\RECYCLER\S-6-4-84-100018052-100031016-100026432-3066.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

D:\RECYCLER\S-7-2-61-100004443-100017977-100016346-5663.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

E:\RECYCLER\S-0-3-19-100007057-100007857-100020734-1517.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

E:\RECYCLER\S-1-8-44-100019961-100013692-100008283-5374.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

E:\RECYCLER\S-3-2-66-100025044-100015277-100025561-1541.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

E:\RECYCLER\S-4-2-32-100028852-100024815-100011951-2224.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

E:\RECYCLER\S-5-4-99-100002258-100009252-100011241-9612.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

E:\RECYCLER\S-6-4-84-100018052-100031016-100026432-3066.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

E:\RECYCLER\S-7-2-61-100004443-100017977-100016346-5663.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

H:\RECYCLER\S-0-3-19-100007057-100007857-100020734-1517.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

H:\RECYCLER\S-1-8-44-100019961-100013692-100008283-5374.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

H:\RECYCLER\S-3-2-66-100025044-100015277-100025561-1541.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

H:\RECYCLER\S-5-4-99-100002258-100009252-100011241-9612.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

H:\RECYCLER\S-6-4-84-100018052-100031016-100026432-3066.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

H:\RECYCLER\S-7-2-61-100004443-100017977-100016346-5663.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

J:\RECYCLER\S-0-3-19-100007057-100007857-100020734-1517.0om Infected: Rootkit.Win32.TDSS.gxg 1

J:\RECYCLER\S-0-3-22-100014454-100032295-100005784-5517.0om Infected: Rootkit.Win32.TDSS.gxg 1

J:\RECYCLER\S-1-8-44-100019961-100013692-100008283-5374.0om Infected: Rootkit.Win32.TDSS.gxg 1

J:\RECYCLER\S-3-2-66-100025044-100015277-100025561-1541.0om Infected: Rootkit.Win32.TDSS.gxg 1

J:\RECYCLER\S-4-2-32-100028852-100024815-100011951-2224.0om Infected: Rootkit.Win32.TDSS.gxg 1

J:\RECYCLER\S-5-4-99-100002258-100009252-100011241-9612.0om Infected: Rootkit.Win32.TDSS.gxg 1

J:\RECYCLER\S-6-4-84-100018052-100031016-100026432-3066.0om Infected: Rootkit.Win32.TDSS.gxg 1

J:\RECYCLER\S-7-2-61-100004443-100017977-100016346-5663.0om Infected: Rootkit.Win32.TDSS.gxg 1

J:\RECYCLER\S-8-0-59-100005138-100027397-100026685-9653.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

K:\RECYCLER\S-0-3-19-100007057-100007857-100020734-1517.0om Infected: Rootkit.Win32.TDSS.gxg 1

K:\RECYCLER\S-0-3-22-100014454-100032295-100005784-5517.0om Infected: Rootkit.Win32.TDSS.gxg 1

K:\RECYCLER\S-1-8-44-100019961-100013692-100008283-5374.0om Infected: Rootkit.Win32.TDSS.gxg 1

K:\RECYCLER\S-3-2-66-100025044-100015277-100025561-1541.0om Infected: Rootkit.Win32.TDSS.gxg 1

K:\RECYCLER\S-4-2-32-100028852-100024815-100011951-2224.0om Infected: Rootkit.Win32.TDSS.gxg 1

K:\RECYCLER\S-5-4-99-100002258-100009252-100011241-9612.0om Infected: Rootkit.Win32.TDSS.gxg 1

K:\RECYCLER\S-6-4-84-100018052-100031016-100026432-3066.0om Infected: Rootkit.Win32.TDSS.gxg 1

K:\RECYCLER\S-7-2-61-100004443-100017977-100016346-5663.0om Infected: Rootkit.Win32.TDSS.gxg 1

K:\RECYCLER\S-8-0-59-100005138-100027397-100026685-9653.0om.mwt Infected: Rootkit.Win32.TDSS.gxg 1

The selected area was scanned.

 

Lataa OTMoveIt
OTMoveIt ja tallenna se työpöydällesi.

Tuplaklikkaa OTMoveIt.exe.
Klikkaa CleanUp!.
Valitse Yes kun kysytään "Begin cleanup Process?".
Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse.

HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt yrittää päästä nettin, niin anna sen päästä sinne.

end

 

otmoveit ajoi itsensä läpi ja poisti itsensä. Nyt näyttäis (vähän aikaas taas) toimivan muuten paitsi ei aukaise vieläkään muuta kuin kaksi kovalevyn osioo vielä jää 5 osioo käynnistymättä ja ilmoitta sitä recycler.. tiedoston puutetta (kansioitten hallinnan kautta aukeaa). Oiskohan tohon vielä jotain vinkkiä. HYVIN ON KYLLÄ TULLUTKIN APUJA JA MONTAA ERILAISTA ON KOKEILTU JA ONHAN NIITÄ VIIRUKSIAKIN SAATU HÄTISTWTTYÄ JO PARI SATAA..... Nyt ajoin f-securen, ad-awaren, malwabytesin ym niin viruksia ei löytynyt, mutta , mutta