Itsepäinen ongelma, HJT-logini

JMNY · 11.10.2007

Hello!
Putsailen työkaverin konetta ja sain poistettua "paljon" ryönää,on ajettu SpyBot, AD-aware, AVG-anti spyware jne.

jäljellä on jotain...joka lähtisi varmaankin kaupallisilla örkinpoisto ohjelmilla kai...
mutta en viitsi sentään kaverin koneelle ostaa.

Advanced WindowsCare V2 Personal ilmoittaa 18 ongelmallista rekisteri avainta.
XoftSpySE
löytää CWS-HomeSearcs rekisteriavaimen

Spy Sweeper löytää seuraavanlaisia örkkejä (CWS variantteja)jne.
Trojan Horse found: agent.ay downloader
Adware found: coolwebsearch (cws)
Adware found: cws-aboutblank
Adware found: cws_hotoffers_desktophijacker
Adware found: cws_ns3
Adware found: cws_tiny0
Trojan Horse found: trojan-downloader-bqadsearch
Trojan Horse found: trojan-downloader-winshow
Adware found: cws_videoc

SpyWare Doctor löysi seuraaviaPC Tools Spyware Doctor PC Tools Spyware Doctor
DateStatus
10.10.2007 12:51:56:941Palvelu Aloitettiin
Spyware Doctor Palvelu Sovellus Aloitettiin
10.10.2007 12:51:57:572Alustavat Tulokset
ActiveX osa on immunisoitu, Prosessoitu 15 nimikettä.
10.10.2007 12:53:27:412Skannaus Aloitettu
SkannausTyyppi - Intelli-Scan

10.10.2007 12:53:51:46Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{0E677C13-0072-F800-99BE-2283DB292E1F}

10.10.2007 12:54:06:758Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I,
NextInstance

10.10.2007 12:54:06:758Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
Service

10.10.2007 12:54:06:758Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
Legacy

10.10.2007 12:54:06:768Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
ConfigFlags

10.10.2007 12:54:06:768Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
Class

10.10.2007 12:54:06:768Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
ClassGUID

10.10.2007 12:54:06:778Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
DeviceDesc

10.10.2007 12:54:06:778Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000

10.10.2007 12:54:06:778Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I

10.10.2007 12:54:13:588Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F},
(Default)

10.10.2007 12:54:13:598Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data,
(Default)

10.10.2007 12:54:13:598Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data,
Data_1

10.10.2007 12:54:13:608Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data,
Data_2

10.10.2007 12:54:13:608Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data3

10.10.2007 12:54:13:608Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data0

10.10.2007 12:54:13:608Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data1

10.10.2007 12:54:13:608Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data2

10.10.2007 12:54:13:618Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data4

10.10.2007 12:54:13:618Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data5

10.10.2007 12:54:13:618Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data6

10.10.2007 12:54:13:618Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data7

10.10.2007 12:54:13:618Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data9

10.10.2007 12:54:13:618Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
DataA

10.10.2007 12:54:13:628Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
DataB

10.10.2007 12:54:13:628Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
DataF

10.10.2007 12:54:13:628Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
DataC

10.10.2007 12:54:13:628Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data10

10.10.2007 12:54:13:628Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data11

10.10.2007 12:54:13:628Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data12

10.10.2007 12:54:13:628Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data14

10.10.2007 12:54:13:638Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data15

10.10.2007 12:54:13:638Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data16

10.10.2007 12:54:13:638Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data18

10.10.2007 12:54:13:638Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data19

10.10.2007 12:54:13:638Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data1A

10.10.2007 12:54:13:638Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data1B

10.10.2007 12:54:13:648Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data1C

10.10.2007 12:54:13:648Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data1D

10.10.2007 12:54:13:648Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data1E

10.10.2007 12:54:13:648Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data1F

10.10.2007 12:54:13:648Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data20

10.10.2007 12:54:13:648Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data21

10.10.2007 12:54:13:658Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD,
Data22

10.10.2007 12:54:13:658Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data\MD

10.10.2007 12:54:13:658Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\Data

10.10.2007 12:54:13:658Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\InprocServer32,
ThreadingModel

10.10.2007 12:54:13:668Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}\InprocServer32

10.10.2007 12:54:13:668Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0E677C13-0072-F800-99BE-2283DB292E1F}

10.10.2007 12:54:13:738Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BD9A8BB0-8BF8-EC2E-5A23-8010E127E35B}\Data,
(Default)

10.10.2007 12:54:13:738Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BD9A8BB0-8BF8-EC2E-5A23-8010E127E35B}\Data

10.10.2007 12:54:13:748Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BD9A8BB0-8BF8-EC2E-5A23-8010E127E35B}

10.10.2007 12:54:13:748Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C436BE04-B80F-3F1B-B592-67B6C8C95688}\Data,
(Default)

10.10.2007 12:54:13:748Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C436BE04-B80F-3F1B-B592-67B6C8C95688}\Data

10.10.2007 12:54:13:748Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C436BE04-B80F-3F1B-B592-67B6C8C95688}

10.10.2007 12:54:13:768Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7B5394E-D013-3545-35D0-45376236A8DC}\Data,
(Default)

10.10.2007 12:54:13:768Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7B5394E-D013-3545-35D0-45376236A8DC}\Data

10.10.2007 12:54:13:768Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7B5394E-D013-3545-35D0-45376236A8DC}

10.10.2007 12:54:14:659Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_USERS\S-1-5-21-3526687925-1442938714-2521658245-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E677C13-0072-F800-99BE-2283DB292E1F}\iexplore,
Type

10.10.2007 12:54:14:669Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_USERS\S-1-5-21-3526687925-1442938714-2521658245-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E677C13-0072-F800-99BE-2283DB292E1F}\iexplore,
Time

10.10.2007 12:54:14:669Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_USERS\S-1-5-21-3526687925-1442938714-2521658245-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E677C13-0072-F800-99BE-2283DB292E1F}\iexplore,
Flags

10.10.2007 12:54:14:680Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_USERS\S-1-5-21-3526687925-1442938714-2521658245-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E677C13-0072-F800-99BE-2283DB292E1F}\iexplore,
Count

10.10.2007 12:54:14:680Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_USERS\S-1-5-21-3526687925-1442938714-2521658245-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E677C13-0072-F800-99BE-2283DB292E1F}\iexplore

10.10.2007 12:54:14:680Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_USERS\S-1-5-21-3526687925-1442938714-2521658245-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E677C13-0072-F800-99BE-2283DB292E1F}

10.10.2007 12:56:43:614Skannaus Lopetettu
SkannausTyyppi - Intelli-Scan
Nimikkeet jotka on käsitelty: - 159774
Havaitut Uhat - 1
Infektioita löytyi: - 64
Infektiot jätetty huomioimatta: - 0

Tuossa alla HJT logini

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:59:55, on 11.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Class - {05B9CF1E-CBFF-8F9C-DFC9-838A399366F4} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {0E677C13-0072-F800-99BE-2283DB292E1F} - (no file)
O2 - BHO: Class - {197A8D26-DFA5-F761-1F4B-4A8703447597} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Class - {7E401EBA-9156-0E08-ABB4-1F21F253375F} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Apoint] "C:\Program Files\Apoint2K\Apoint.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [Advanced WindowsCare V2 Personal] "C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe" /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137081454844
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 6252 bytes

Tämä CWS on sitkeä veikkonen, en aikaisemmin ole törmännyt moiseen.
Kone olisi saatava putsattua kun kolleegani ei löydä XP asennuslevyä
joten en voi formatoida ja asentaa koko roskaa uudestaan kunnon suojilla APUVA!

AfterDawn

Hujo · 11.10.2007

Uudelleen nimeäminen

1. Klikkaa hiiren oikealla painikkeella HijackThis ikonia.

2. Valitse Uudelleennineä/ Rename.

3. Kirjoita scanner.exe

=============

Lataa VundoFix.exe työpöydällesi.

Tupla-klikkaa VundoFix.exe ajaaksesi sen.
Klikkaa Scan for Vundo valintaa.
Kun skannaus on valmis, klikkaa Remove Vundo valintaa.
Sinulta kysytään haluatko poistaa filut - klikkaa YES.
Kun olet klikannut yes, työpöytäsi tyhjenee kun se alkaa poistamaan Vundoa.
Kun se on valmis, fiksi ilmoittaa käynnistäväsi koneesi uudelleen, klikkaa OK.
Postita C:\vundofix.txt lokin sekä tuoreen HijackThis lokin sisältö.

Huomaa: Se on mahdollista että VundoFix löysi tiedoston jota se ei pystynyt poistamaan.
Tässä tilanteessa, VundoFix ajaa itsensä rebootissa, seuraa vain yläpuolelle olevia ohjeita alkaen kohdasta "Klikkaa Scan for Vundo valintaa." kun VundoFix ilmaantuu uudelleenkäynnistyksen yhteydessä.

JMNY · 11.10.2007

Moi!
Vundo selitti että mitään ei löytynyt
joten vundo vain sulkeutui kun klikkasin "remove vundo"
mutta ohessa tuore
HJT logi.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:25, on 11.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Documents and Settings\fusi 7300\Työpöytä\scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Class - {05B9CF1E-CBFF-8F9C-DFC9-838A399366F4} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {0E677C13-0072-F800-99BE-2283DB292E1F} - (no file)
O2 - BHO: Class - {197A8D26-DFA5-F761-1F4B-4A8703447597} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Class - {7E401EBA-9156-0E08-ABB4-1F21F253375F} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Apoint] "C:\Program Files\Apoint2K\Apoint.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [Advanced WindowsCare V2 Personal] "C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe" /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137081454844
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 6422 bytes

Hujo · 11.10.2007

scannaa hjt:llä merkkaa paina Fix checked

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Class - {05B9CF1E-CBFF-8F9C-DFC9-838A399366F4} - (no file)
O2 - BHO: Class - {0E677C13-0072-F800-99BE-2283DB292E1F} - (no file)
O2 - BHO: Class - {197A8D26-DFA5-F761-1F4B-4A8703447597} - (no file)
O2 - BHO: Class - {7E401EBA-9156-0E08-ABB4-1F21F253375F} - (no file)

=======================

Lataa tuolta http://www.ccleaner.com/download/builds.aspx
CCleaner v2.00.500 - Standard Build, ÄLÄ aseenna Yahoo toolbaria!

laita asetukset näin:
Valinnat --> Lisäasetukset --> Ota ruksi pois kohdasta Poista vain yli 48 tuntia vanhat tilapäistiedostot.

aja Puhdistaja > tutki nappi > aja ccleaner nappi oikea alakulma
aja Virheet > etsi rekisteri virheitä nappi > Korjaa rekisteri virheet. nappi

=================

tämä sitten ei selainta käyttäen

Scannaa koneesi Kaspersky Online Scannerin

Ohjelman käynnistyessä kysytään sallitaanko ActiveX -komponentin asentamisen Kasperskyltä, klikkaa Kyllä.
" Ohjelma käynnistyy ja aloittaa viimeisimpien tunnistetiedostojen lataamisen.
" Kun skanneri on asennettu ja tunnistetiedot ladattu, klikkaa Next.
" Klikkaa nyt asetuksia, Scan Settings
" Tarkista asetuksista, että seuraavat ovat valittuina:
o Scan using the following Anti-Virus database:
+ Extended (Jos valittavissa, muuten valitse Standard)
o Scan Options:
+ Scan Archives
+ Scan Mail Bases
" Klikkaa OK
" Nyt valitse "select a target to scan" otsikon alta Oma Tietokone, My Computer
" Skannaus vie aikaa, joten ole kärsivällinen. Kun skannaus on valmis saat ilmoituksen, jos koneesi on saastunut.
" Klikkaa nyt Save as Text-painiketta.
" Tallenna tiedosto työpöydällesi.
" Mikäli haluat jatkaa asian käsittelyä foorumissa niin kopioi tiedoston sisältö viestiisi.

JMNY · 12.10.2007

Vielä tarvitaan apua mutta suuretkiitokset! tähän astisesta,nyt örkit on vähentynyt 18>12kpl
Ohessa UUSI HJT logi alempana myös Spyware Doctor:n löytämät

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:57:31, on 12.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\fusi 7300\Työpöytä\scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Apoint] "C:\Program Files\Apoint2K\Apoint.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [Advanced WindowsCare V2 Personal] "C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe" /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137081454844
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 6106 bytes

PC Tools Spyware Doctor PC Tools Spyware Doctor
DateStatus
11.10.2007 12:25:26:979Palvelu Pysäytettiin
Spyware Doctor Palvelu Sovellus Pysäytettiin
12.10.2007 12:49:37:512Palvelu Aloitettiin
Spyware Doctor Palvelu Sovellus Aloitettiin
12.10.2007 12:49:50:311Alustavat Tulokset
ActiveX osa on immunisoitu, Prosessoitu 15 nimikettä.
12.10.2007 12:52:18:113Skannaus Aloitettu
SkannausTyyppi - Full Scan

12.10.2007 12:53:17:268Skannaus Lopetettu
SkannausTyyppi - Full Scan
Nimikkeet jotka on käsitelty: - 0
Havaitut Uhat - 0
Infektioita löytyi: - 0
Infektiot jätetty huomioimatta: - 0

12.10.2007 13:26:33:428Skannaus Aloitettu
SkannausTyyppi - Full Scan

12.10.2007 13:46:28:507Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - ADS
Riski Taso - Korkea
Infektio - C:\WINDOWS\ODBC.INI:hilkmp

12.10.2007 13:48:45:314Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - ADS
Riski Taso - Korkea
Infektio - C:\WINDOWS\stub57.inirltky

12.10.2007 13:48:45:464Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - ADS
Riski Taso - Korkea
Infektio - C:\WINDOWS\stub6.ini:izgxdk

12.10.2007 13:48:45:744Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - ADS
Riski Taso - Korkea
Infektio - C:\WINDOWS\stub65.ini:fthcno

12.10.2007 13:48:47:86Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - ADS
Riski Taso - Korkea
Infektio - C:\WINDOWS\stub9.ini:yhvsld

12.10.2007 13:54:50:98Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - ADS
Riski Taso - Korkea
Infektio - C:\WINDOWS\vbaddin.ini:ixnwhe

12.10.2007 13:54:54:54Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - ADS
Riski Taso - Korkea
Infektio - C:\WINDOWS\_default.pif:rohgtj

12.10.2007 13:54:54:64Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - ADS
Riski Taso - Korkea
Infektio - C:\WINDOWS\_default.pif:tmusyb

12.10.2007 13:54:54:84Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - ADS
Riski Taso - Korkea
Infektio - C:\WINDOWS\_default.pif:vblljh

12.10.2007 13:55:03:87Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I,
NextInstance

12.10.2007 13:55:03:97Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
Service

12.10.2007 13:55:03:97Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
Legacy

12.10.2007 13:55:03:107Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
ConfigFlags

12.10.2007 13:55:03:147Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
Class

12.10.2007 13:55:03:147Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
ClassGUID

12.10.2007 13:55:03:167Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000,
DeviceDesc

12.10.2007 13:55:03:177Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000

12.10.2007 13:55:03:187Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I

12.10.2007 13:55:11:349Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BD9A8BB0-8BF8-EC2E-5A23-8010E127E35B}\Data,
(Default)

12.10.2007 13:55:11:369Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BD9A8BB0-8BF8-EC2E-5A23-8010E127E35B}\Data

12.10.2007 13:55:11:369Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BD9A8BB0-8BF8-EC2E-5A23-8010E127E35B}

12.10.2007 13:55:11:399Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C436BE04-B80F-3F1B-B592-67B6C8C95688}\Data,
(Default)

12.10.2007 13:55:11:399Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C436BE04-B80F-3F1B-B592-67B6C8C95688}\Data

12.10.2007 13:55:11:399Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C436BE04-B80F-3F1B-B592-67B6C8C95688}

12.10.2007 13:55:11:459Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Value
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7B5394E-D013-3545-35D0-45376236A8DC}\Data,
(Default)

12.10.2007 13:55:11:459Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7B5394E-D013-3545-35D0-45376236A8DC}\Data

12.10.2007 13:55:11:459Infektio löytyi tästä tietokoneesta
UhanNimi - Trojan.CWS
Tyyppi - Registry Key
Riski Taso - Korkea
Infektio -
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7B5394E-D013-3545-35D0-45376236A8DC}

12.10.2007 13:55:32:409Skannaus Lopetettu
SkannausTyyppi - Full Scan
Nimikkeet jotka on käsitelty: - 200124
Havaitut Uhat - 1
Infektioita löytyi: - 27
Infektiot jätetty huomioimatta: - 0

Hujo · 12.10.2007

Lataa CWShredder
http://cwshredder.net/bin/CWShredder.exe
Ja tallenna se työpöydälle

-Scannaa kone CWShredder avulla : Muista sulkea selain + kaikki muut ikkunat ennenkuin käytät tuota CWShredderiä.
-Paina Fix-->näppäintä.
-Vastaa ohjelman kysymyksiin OK.
-Ohjelman käytyä kohteet läpi paina Next-->näppäintä.
-Loppuyhteenvedon tulos tulee tämän jälkeen.
-puhdistuksen jälkeen käynnistä kone uudelleen.

Lähetä CWShredder raportti.

===========================

Escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.

Laita virus log tänne.

===================

Laita tuo Kaspersky Online Scannerin txt rapaortin sisältö tänne

JMNY · 12.10.2007

Kapersky raportti-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Friday, October 12, 2007 8:21:00 AM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 11/10/2007
Kaspersky Anti-Virus database records: 431098
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\

Scan Statistics:
Total number of scanned objects: 38221
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 00:56:03

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Application Data\avg7\Log\emc.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Support\MPLog-10072007-102227.log Object is locked skipped
C:\Documents and Settings\fusi 7300\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\fusi 7300\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\fusi 7300\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\fusi 7300\Local Settings\Application Data\Microsoft\Windows Defender\FileTracker\{3790921A-D16F-4A3E-BD15-5FF745A817C0} Object is locked skipped
C:\Documents and Settings\fusi 7300\Local Settings\Sivuhistoria\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\fusi 7300\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\fusi 7300\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\fusi 7300\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Application Data\Webroot\Spy Sweeper\Data\settings.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Program Files\Webroot\Spy Sweeper\Masters\masters.bak Object is locked skipped
C:\Program Files\Webroot\Spy Sweeper\Masters\Masters.const Object is locked skipped
C:\Program Files\Webroot\Spy Sweeper\Masters\masters.mst Object is locked skipped
C:\Program Files\Webroot\Spy Sweeper\Masters.base Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.
ky raportti...

Hujo · 12.10.2007

vieläkös ongelmaa

JMNY · 15.10.2007

Ei ole välillä ehtinyt säätämään...
Mutta örkkiä löytyy vielä 12kpl mm.
Advanced WindowsCare V2Personal
ilmoittaa 12kpl rekisterimerkintää
aiheuttajiksi
seuraavaksi taas HTJ-logi
jotain on...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:27:42, on 15.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\installer\WLSetupSvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\hjt\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Apoint] "C:\Program Files\Apoint2K\Apoint.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [Advanced WindowsCare V2 Personal] "C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe" /startup
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Verkkopalve')
O4 - HKUS\S-1-5-21-3526687925-1442938714-2521658245-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Järjestelmänvalvoja')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Windowsin työpöytähaku.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Lisää tämä blogiin - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Lisää tämä blogiin tuotteessa Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137081454844
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 5645 bytes

Hujo · 15.10.2007

Lataa Dr.Web CureIt työpöydälle:

[*]Tuplaklikkaa drweb-cureit.exe ja anna sen tehdä express scan
[*]Se skannaa käynnissä olevat ohjelmat ja jos jotain löytyy, klikkaa yes kun se kysyy haluatko poistaa sen. Tämä on vain lyhyt scan.
[*]Kun scan on valmis, Klikkaa Custom scan merkkaa asemat, jotka haluat scannata.
[*]Valitse kaikki asemat. Punainen piste osoittaa, mitkä asemat on valittu.
[*]Klikaa vihreää nuolta oikealla ja scan alkaa.
[*]Klikkaa Yes to all, jos kysytään haluatko poistaa/siirtää tiedoston.
[*]Kun scannaus on valmis
[*]Klikaa Select all ja Klikkaa Delete
[*]Klikaa File, save report list
[*]Tallenna työpödälle ja kopio lista tänne

JMNY · 15.10.2007

Tuossa drweb logi
RegUBP2b-fusi 7300.reg;C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;Deleted.;
muuta ei löytynyt
mutta edelleen näyttää
Advanced WindowsCare
löytävän 12 viittausta rekisteriavaimeen
jotka liittyisivät CWS Search/home versioihin...
ei ymmärrä....

Hujo · 15.10.2007

1.Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

JMNY · 15.10.2007

Näppärän tuntuinen ohjelma tuo Combofix
Tässä logi!!!!ComboFix 07-10-12.4 - Markus 2007-10-15 18:37:11.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1035.18.92 [GMT 3:00]
Running from: C:\Documents and Settings\Markus\Ty”p”yt„\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((((( Muut poistot ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\kbedt.log

.
((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2007-09-15 to 2007-10-15 )))))))))))))))))
.

2007-10-15 18:36 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-15 18:29 <KANSIO> d-------- C:\Documents and Settings\Markus\Application Data\Windows Desktop Search
2007-10-15 15:54 <KANSIO> d-------- C:\Documents and Settings\Markus\Application Data\AdobeUM
2007-10-15 15:48 <KANSIO> d-------- C:\Documents and Settings\Markus\Application Data\OpenOffice.org2
2007-10-15 14:12 <KANSIO> d-------- C:\Documents and Settings\Markus\DoctorWeb
2007-10-15 13:21 <KANSIO> d-------- C:\Documents and Settings\Markus\Application Data\vlc
2007-10-15 13:15 <KANSIO> d-------- C:\Documents and Settings\Markus\Application Data\InterVideo
2007-10-15 12:44 <KANSIO> d-------- C:\Program Files\Winamp
2007-10-15 12:44 <KANSIO> d-------- C:\Documents and Settings\Markus\Application Data\Winamp
2007-10-15 12:32 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-10-15 12:27 <KANSIO> d-------- C:\Program Files\Windows Desktop Search
2007-10-15 12:25 <KANSIO> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2007-10-15 12:11 <KANSIO> d-------- C:\Program Files\Windows Live
2007-10-15 12:11 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-10-14 18:12 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Recent
2007-10-14 17:46 <KANSIO> d-------- C:\Documents and Settings\Markus\Application Data\AVG7
2007-10-14 17:45 <KANSIO> d--h----- C:\Documents and Settings\Markus\Verkkoymp„rist”
2007-10-14 17:45 <KANSIO> d-------- C:\Documents and Settings\Markus\Ty”p”yt„
2007-10-14 17:45 <KANSIO> d--h----- C:\Documents and Settings\Markus\Tulostinymp„rist”
2007-10-14 17:45 <KANSIO> dr------- C:\Documents and Settings\Markus\Suosikit
2007-10-14 17:45 <KANSIO> dr------- C:\Documents and Settings\Markus\Omat tiedostot
2007-10-14 17:45 <KANSIO> d--h----- C:\Documents and Settings\Markus\Mallit
2007-10-14 17:45 <KANSIO> dr------- C:\Documents and Settings\Markus\K„ynnist„-valikko
2007-10-14 15:44 <KANSIO> d-------- C:\Program Files\mplayer
2007-10-14 15:43 <KANSIO> d-------- C:\Program Files\VideoLAN
2007-10-14 15:15 12,530 --a------ C:\WINDOWS\system32\change.dat
2007-10-14 15:04 <KANSIO> d-------- C:\hjt
2007-10-14 14:00 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe
2007-10-14 13:42 724,992 --a------ C:\WINDOWS\iun6002.exe
2007-10-13 15:36 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-10-13 15:20 <KANSIO> d-------- C:\Program Files\Realtek Sound Manager
2007-10-13 15:20 <KANSIO> d-------- C:\Program Files\AvRack
2007-10-13 15:20 765,952 --a------ C:\WINDOWS\system\crlds3d.dll
2007-10-13 15:20 400,384 --a------ C:\WINDOWS\system32\drivers\ALCXSENS.SYS
2007-10-13 15:20 208,896 --------- C:\WINDOWS\alcupd.exe
2007-10-13 15:20 139,264 --------- C:\WINDOWS\alcrmv.exe
2007-10-13 15:20 65,536 --a------ C:\WINDOWS\system32\dllcache\a3d.dll
2007-10-13 15:20 65,536 --a------ C:\WINDOWS\system32\Audio3D.dll
2007-10-13 15:20 65,536 --a------ C:\WINDOWS\system32\a3d.dll
2007-10-13 15:20 40,448 --------- C:\WINDOWS\system32\ChCfg.exe
2007-10-13 15:20 1,104 --------- C:\WINDOWS\system32\drivers\alcxinit.dat
2007-10-13 14:50 <KANSIO> d-------- C:\Program Files\S3Inc
2007-10-13 14:50 811,008 --a------ C:\WINDOWS\system32\VTChromo.dll
2007-10-13 14:50 479,232 --a------ C:\WINDOWS\system32\VTDisply.dll
2007-10-13 14:50 376,832 --a------ C:\WINDOWS\system32\VTovrlay.dll
2007-10-13 14:50 352,256 --a------ C:\WINDOWS\system32\VTGamma2.dll
2007-10-13 14:50 302,592 --a------ C:\WINDOWS\IsUn040b.exe
2007-10-13 14:50 294,912 --a------ C:\WINDOWS\system32\VTCfg3d.dll
2007-10-13 14:50 253,952 --a------ C:\WINDOWS\system32\VTInfo2.dll
2007-10-13 14:50 143,360 --a------ C:\WINDOWS\system32\VTTrayp.exe
2007-10-11 12:24 <KANSIO> dr------- C:\Documents and Settings\LocalService\Omat tiedostot
2007-10-11 10:54 <KANSIO> d--h----- C:\WINDOWS\PIF
2007-10-11 10:34 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2007-10-11 08:44 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-10-11 08:44 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-10-11 08:43 <KANSIO> d-------- C:\WINDOWS\system32\ZoneLabs
2007-10-11 08:42 <KANSIO> d-------- C:\WINDOWS\Internet Logs
2007-10-09 13:43 <KANSIO> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-10-09 13:42 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-10-09 13:02 <KANSIO> d-------- C:\Program Files\Lavasoft
2007-10-09 13:02 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-10-09 10:59 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-10-09 10:55 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-09 10:25 <KANSIO> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2007-10-09 10:25 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-10-09 10:25 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\avg7
2007-10-08 11:21 <KANSIO> d-------- C:\Program Files\Windows Media Connect 2
2007-10-08 11:17 <KANSIO> d-------- C:\WINDOWS\system32\LogFiles
2007-10-08 11:17 <KANSIO> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-10-08 10:50 <KANSIO> d-------- C:\Program Files\oo2-soikko-Windows-1.1.2
2007-10-08 10:44 <KANSIO> d-------- C:\Program Files\OpenOffice.org 2.3
2007-10-08 10:41 <KANSIO> d-------- C:\Program Files\Picasa2
2007-10-08 10:31 <KANSIO> d-------- C:\Program Files\CCleaner
2007-10-08 10:30 <KANSIO> d-------- C:\Program Files\RegCleaner
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Verkkoymp„rist”
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Ty”p”yt„
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Tulostinymp„rist”
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Suosikit
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\SendTo
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Omat tiedostot
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Mallit
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Local Settings
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\K„ynnist„-valikko
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Cookies
2007-10-07 10:31 <KANSIO> C:\Documents and Settings\Järjestelmänvalvoja\Application Data
2007-10-07 10:31 2,621,440 C:\Documents and Settings\Järjestelmänvalvoja\NTUSER.DAT
2007-10-07 10:21 <KANSIO> d-------- C:\Program Files\Windows Defender
2007-10-07 09:26 <KANSIO> d-------- C:\Program Files\IObit
2007-10-07 09:25 <KANSIO> d-------- C:\Program Files\ToniArts
2007-10-07 09:23 <KANSIO> d-------- C:\Program Files\Index.dat Analyzer
2007-10-07 09:10 <KANSIO> d-------- C:\WINDOWS\pss
2007-10-07 08:52 <KANSIO> d-------- C:\Program Files\Tennisace

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-15 10:21 --------- d-----w C:\Documents and Settings\Markus\Application Data\vlc
2007-10-14 12:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-14 12:33 --------- d-----w C:\Program Files\ArcSoft
2007-10-13 12:25 27,904 ----a-w C:\WINDOWS\system32\drivers\VIAAGP1.SYS
2007-10-13 12:07 7,546,880 ----a-w C:\WINDOWS\system32\RTLCPL.EXE
2007-10-13 12:07 68,096 ----a-w C:\WINDOWS\SOUNDMAN.EXE
2007-10-13 12:07 155,648 ----a-w C:\WINDOWS\system32\RTLCPAPI.dll
2007-10-13 12:06 635,281 ----a-w C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2007-10-13 12:04 191,360 -c--a-w C:\WINDOWS\system32\drivers\RT2500.sys
2007-10-13 11:45 69,706 ----a-w C:\WINDOWS\system32\VTuninst.exe
2007-10-13 11:45 53,248 ----a-w C:\WINDOWS\system32\VTTimer.exe
2007-10-13 11:45 172,288 ----a-w C:\WINDOWS\system32\drivers\vtmini.sys
2007-10-13 11:44 1,871,872 ----a-w C:\WINDOWS\system32\vticd.dll
2007-10-09 10:01 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2007-10-07 06:02 --------- d-----w C:\Program Files\Java
2007-08-21 06:17 683,520 -c--a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-16 13:17 51,568 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-08-15 13:16 579,584 ----a-w C:\WINDOWS\WLXPGSS.SCR
2007-07-30 16:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 16:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 16:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 16:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 16:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 16:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 16:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 16:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 16:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 16:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-07-30 16:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
2007-07-30 16:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 16:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 16:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 16:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 16:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-30 16:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2005-09-14 08:32]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-09 10:25]
"Advanced WindowsCare V2 Personal"="C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe" [2007-09-19 21:33]
"VTTrayp"="VTtrayp.exe" [2007-10-13 14:45 C:\WINDOWS\system32\VTTrayp.exe]
"VTTimer"="VTTimer.exe" [2007-10-13 14:45 C:\WINDOWS\system32\VTTimer.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-10-13 15:07 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-09-14 08:45]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-08-16 16:19]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Käynnistä-valikko^Ohjelmat^Käynnistys^Adobe Reader Speed Launch.lnk]
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^fusi 7300^Käynnistä-valikko^Ohjelmat^Käynnistys^BitTorrent.lnk]
backup=C:\WINDOWS\pss\BitTorrent.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1A.tmp]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1A.tmp.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

R0 SiSRaid2;SiSRaid2;C:\WINDOWS\system32\drivers\SiSRaid2.sys
R0 viamraid;viamraid;C:\WINDOWS\system32\drivers\viamraid.sys
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys
S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\system32\DRIVERS\netrcacm.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fac4760-1f8c-11da-9d14-00904b7ba419}]
AutoRun\command - E:\setupSNK.exe

*Newly Created Service* - CATCHME
.
'Ajoitetut tehtävät'-kansion sisältö
"2007-10-15 15:30:20 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-15 18:39:26
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTrayp"="VTtrayp.exe"
"VTTimer"="VTTimer.exe"
.
Completion time: 2007-10-15 18:40:11
.
--- E O F ---

Hujo · 16.10.2007

Lataa NoLop työpöydällesi yhdestä seuraavista linkeistä...
Linkki1
Linkki2
Linkki3

1.Sulje kaikki ohjelmat, koska tämä vaihe vaatii uudelleenkäynnistyksen
2.Tuplaklikkaa NoLop.exe ajaaksesi sen
3.Klikkaa nappulaa "Search and Destroy"
<<Tietokoneesi skannataan saastuneiden tiedostojen osalta>>
4, Kun skannaus on valmis, sinua pyydetään käynnistämään kone uudestaan, jos infektio löytyy. Klikkaa OK
5. Klikkaa "REBOOT"-painiketta.
6. NoLopin pitäisi antaa viesti. Jos ei, tuplaklikkaa ohjelmaa ja se valmistuu. Lähetä C:\NoLop.log-tiedoston sisältö uuden HijackThis-lokin kera.
-- Jos saat seuraavan virheen, "mscomctl.ocx or one of its dependencies are not correctly registered," lataa mscomctl.ocx ja tallenna se system32-hakemistoosi (yleensä c:\Windows\system32). Tämän jälkeen aja ohjelma uudestaan.

JMNY · 16.10.2007

Hello!
NoLop logi
NoLop! Log by Skate_Punk_21

Fix running from: C:\Documents and Settings\Markus\Työpöytä
[16.10.2007]
[10:30:06]

---Infection Files Found/Removed---
NO INFECTION FILES FOUND - Cleaning Aborted.

---Listing AppData sub directories---

C:\Documents and Settings\All Users\Application Data\Adobe
C:\Documents and Settings\All Users\Application Data\Ahead
C:\Documents and Settings\All Users\Application Data\Avg7
C:\Documents and Settings\All Users\Application Data\Grisoft
C:\Documents and Settings\All Users\Application Data\Lavasoft
C:\Documents and Settings\All Users\Application Data\Microsoft
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\Temp -- EMPTY Directory
C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
C:\Documents and Settings\All Users\Application Data\Windows Live Toolbar
C:\Documents and Settings\All Users\Application Data\Wlinstaller
C:\Documents and Settings\Default User\Application Data\Identities
C:\Documents and Settings\Default User\Application Data\Microsoft
C:\Documents and Settings\Järjestelmänvalvoja\Application Data\Grisoft
C:\Documents and Settings\Järjestelmänvalvoja\Application Data\Identities
C:\Documents and Settings\Järjestelmänvalvoja\Application Data\Microsoft
C:\Documents and Settings\Localservice\Application Data\Avg7 -- EMPTY Directory
C:\Documents and Settings\Localservice\Application Data\Microsoft
C:\Documents and Settings\Markus\Application Data\Adobe
C:\Documents and Settings\Markus\Application Data\Adobeum -- EMPTY Directory
C:\Documents and Settings\Markus\Application Data\Avg7 -- EMPTY Directory
C:\Documents and Settings\Markus\Application Data\Identities
C:\Documents and Settings\Markus\Application Data\Intervideo
C:\Documents and Settings\Markus\Application Data\Macromedia
C:\Documents and Settings\Markus\Application Data\Microsoft
C:\Documents and Settings\Markus\Application Data\Openoffice.org2
C:\Documents and Settings\Markus\Application Data\Vlc
C:\Documents and Settings\Markus\Application Data\Winamp
C:\Documents and Settings\Markus\Application Data\Windows Desktop Search
C:\Documents and Settings\Networkservice\Application Data\Identities
C:\Documents and Settings\Networkservice\Application Data\Microsoft
C:\Documents and Settings\Networkservice\Application Data\Mozilla
C:\Documents and Settings\Networkservice\Application Data\Talkback

HJT logi
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:32:11, on 16.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\HTJ\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Apoint] "C:\Program Files\Apoint2K\Apoint.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [Advanced WindowsCare V2 Personal] "C:\Program Files\IObit\Advanced WindowsCare V2\Awcl.exe" /startup
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Windowsin työpöytähaku.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Lisää tämä blogiin - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Lisää tämä blogiin tuotteessa Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137081454844
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 5378 bytes

Hujo · 16.10.2007

Javan päivitys ja välimuistin tyhjennys:

1. Klikkaa Käynnistä -> Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.
2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
Niissä pitäisi olla seuraava kuva vieressä:

3. Valitse kaikki entiset Java versiosi ja valitse Poista.
4. Asenna uusin Java päivitys seuraavasta linkistä..
5. Käynnistä kone uudelleen asennuksen jälkeen:

http://java.sun.com/javase/downloads/index.jsp

Rullaa alas kohteeseen Java Runtime Environment (JRE) 6u2

Paina Download

Ruksaa Accept, ota offline installation, tallenna vaikka työpöydälle ja asenna se.

6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).

7. General Settings -osion alla, vedä liukusäädintä (Disk Space) pienemmälle, ja klikkaa Delete Files -nappia.

(Jotkut javapohjaiset ohjelmat saattavat tarvita enemmän levytilaa.
Jos huomaat säädön pienentämisen jälkeen koneessa hitautta, siirrä liukusäädintä isommalle).

8. Varmista että kaikki kaksi valintaa ovat rastitettuja:

*Applications and Applets

*Trace and Log Files

Ja paina OK -nappia

9. Klikkaa OK "Temporary Files Settings" -ikkunassasi.

10. Klikkaa OK jättääksesi Java asetusikkunasi.

JMNY · 16.10.2007

Viimeisin homma (java päivitys) on tehty????
Vielä näkyy Advanced WindowsCare V2 Personal ohjelman käytön jälkeen 12 rekisteri avainta!!!! jotka viittaavat CWS variantteihin
muilla ohjelmilla ei löydy mitään???? joku ristiriitaisuus tms.?
koska niitä ei saa millään skannauksella pois....

haxorfox · 01.11.2007

eikös rekisterit voi putsata easycleanerilla?

JMNY · 03.11.2007

Voi...mutta joidenkin haittaohjelmien mm. rekisteriviittausten pois saaminen voi olla hankalaa.Tarvitaan joskus radikaaleja toimia,neuvot ja softat täällä mitä olen saanut ovat auttaneet "kiitos" mutta joskus ei auta kuin Format c: eli koko roskan pyyhkiminen ja puhdas asennus.

hannu71 · 04.11.2007

edit

Kirjaudu tai liity jäseneksi

Itsepäinen ongelma, HJT-logini

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

haxorfox Regular member

JMNY Member

hannu71 Regular member

Jaa tämä sivu

Kirjaudu tai liity jäseneksi

Itsepäinen ongelma, HJT-logini

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

Hujo Guest

JMNY Member

haxorfox Regular member

JMNY Member

hannu71 Regular member

Jaa tämä sivu

Hyödyllisiä hakuja