HJT WinAntivirusPro 2006 tunkenut koneelle.

Näin siinä käy kun on varomaton. Kävin eräällä hämärämmällä sivulla hämäräpuuhissa ja koneelle pääsi paskiainen joka tunkee vähän väliä päätänsä ylös. Olen kokeillut tuhota sen Ewidolla ja SpyCatcherillä, mutta turhaan. Josko joku ystävälinen joka tietää miten/millä tosta pääsee eroon kertois.

kiitos jo etukäteen.

Logfile of HijackThis v1.99.1
Scan saved at 9:50:29, on 5.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe
C:\Program Files\Trillian\trillian.exe
C:\HJT\HijackThis.exe

F3 - REG:win.ini: run=
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: RivaTuner.lnk = C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe
O4 - Startup: Scheduler.lnk = C:\Program Files\SpyCatcher 2006\Scheduler daemon.exe
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156505260241
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEC29B62-691B-43FA-9C80-C9F8B218BD4B}: NameServer = 10.0.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{AEC29B62-691B-43FA-9C80-C9F8B218BD4B}: NameServer = 10.0.0.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{AEC29B62-691B-43FA-9C80-C9F8B218BD4B}: NameServer = 10.0.0.2
O20 - AppInit_DLLs: interceptor.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

Tän on voinut fiksata...
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
http://tinyurl.com/kou89
Tuolla tuonlaista?
http://www.tek-tips.com/viewthread.cfm?qid=1261669&page=1
Haut ainakaan anna mitään noille 17.

 

Logfile of HijackThis v1.99.1
Scan saved at 20:51:22, on 6.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Trillian\trillian.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HJT\HijackThis.exe

F3 - REG:win.ini: run=
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: (no name) - {5CB836D9-E4AC-4432-83D4-3A12EE892334} - C:\WINDOWS\system32\geedb.dll
O2 - BHO: (no name) - {668B1E21-4DE0-450A-AB10-121220442EA6} - C:\WINDOWS\system32\vturstt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - Startup: RivaTuner.lnk = C:\Program Files\RivaTuner v2.0 RC 16\RivaTuner.exe
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156505260241
O20 - AppInit_DLLs: interceptor.dll
O20 - Winlogon Notify: geedb - C:\WINDOWS\system32\geedb.dll
O20 - Winlogon Notify: vturstt - C:\WINDOWS\SYSTEM32\vturstt.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Mitäs hittoa noi geedb.dll ja vturstt.dll on?

 

Vundoa, jonka poisto ei ole helppoa.

Lataa VundoFix.exe työpöydällesi.
[*]Tupla-klikkaa VundoFix.exe ajaaksesi sen.
[*]Klikkaa Scan for Vundo valintaa.
[*]Kun skannaus on valmis, klikkaa Remove Vundo valintaa.
[*]Sinulta kysytään haluatko poistaa filut - klikkaa YES.
[*]Kun olet klikannut yes, työpöytäsi tyhjenee kun se alkaa poistamaan Vundoa.
[*]Kun se on valmis, fiksi ilmoittaa käynnistäväsi koneesi uudelleen, klikkaa OK.
[*]Postita C:\vundofix.txt lokin sekä tuoreen HijackThis lokin sisältö.


Huomaa: Se on mahdollista että VundoFix löysi tiedoston jota se ei pystynyt poistamaan.
Tässä tilanteessa, VundoFix ajaa itsensä rebootissa, seuraa vain yläpuolelle olevia ohjeita alkaen kohdasta "Klikkaa Scan for Vundo valintaa." kun VundoFix ilmaantuu uudelleenkäynnistyksen yhteydessä.

 

Ei löytänyt VundoFix mitään...olen varmaan onnistunut jotain poistamaan HJT:llä, Ewidolla tai Spycatherillä. No pitää kattoa josko noista pääsis eroon jollain muulla keinolla.

EDIT:
Lueskelin tosta Vundosta juttua ja päätin kokeilla delleen sen poistoa. Imuin VundoFix ohjelman uusiksi ja lisäksi Sysinternals Process Explorerin. Huomasin myös, että Toolbar888 oli päässyt asentumaan Add/Remove programsin mukaan ja poistin sen. Ajoin VundoFixin ja eikös se poistanut paskiaisen koneelta. Varmistin vielä Prosessisoftalla, että outoja prosesseja ei ollut bootin jälkeen. Kone puhdas.

Kiitos avusta

 

Uusi HjT-loki olis silti kiva nähdä

 

Joo oikeassa olet. Paskiainen ei näyttäytynyt vähään aikaan ja nyt se tuppas takas. Ajoin VundoFixin ja nyt lähti ne hämärät DLL filut bootin yhteydessä.

[bold]Vundo logi[/bold]

[bold]HJT logi[/bold]

 

Nuo fixiin:

F3 - REG:win.ini: run=
O2 - BHO: (no name) - {668B1E21-4DE0-450A-AB10-121220442EA6} - C:\WINDOWS\system32\vturstt.dll (file missing)
O2 - BHO: (no name) - {734B2E7F-5198-4EDF-88F5-6D0AB3E85C59} - C:\WINDOWS\system32\geedb.dll (file missing)

Tyhjennä -> C:\VundoFix Backups

Käynnistä uudelleen ja lähetä uusi HjT-loki.

Lisäksi virustorjunta ja palomuuri olisi hyvä olla olemassa