Kiusana ddcyw.dll mukana hjt-loki

Jep elikkäs kiusana on tuollainen kuin ddcyw.dll jota ei saa poistettua millään. Ad-awaren ajoin kerran ja se löysinkin hitosti siihen liittyvää roskaa koneelta, mutta ei löydä enään mitään, eikä löydä bit-defenderkään. Netin kautta löysin tunnistuksen että kyseessä olisi Vundo troijan, mutta epäilen että tämä on jonkin sortin variaatio siitä sillä olen yrittänyt kolmea eri Vundo-poistajaa joista yksikään ei toiminut. Olen yrittänyt manuaalisesti rekisteristä poistaa, Hijack This!:illä poistaa, Olen myös yrittänyt autoruns ohjelman avulla poistaa. Aina se kuitenkin onnistuu itsensä jostain tekemään. Jotenkä lähinnä kysymykseni koskee että sattuuko kukaan tietämään minkä niminen prosessi sen luo uudestaan ? Olen yrittänyt nähdä sen Process Explorer nimisellä ohjelmalla mikä sen luo mutta turhaan. Jotenkin tuntuu että se tekee itsensä svchost.exe:en kautta sillä nykyään minulla on 5! svchost.exe prosessia käynnissä. Yritin lukea tuosta svchostin ajamista prosesseista mutta aika niukasti tietoa löytyy, ja kun tiettyjä svchost prosesseja pysäyttää tulee punainen popup-ruutu joka yrittää miinutin kulueassa sammuttaa koneen(msblast anyone ), no sen saa komentokehotteen kautta suljettua. Elikkä oisko kellään tietoa tuosta pirullisesta ohjelmasta ? Tässä vielä hjt-loki jos joku sattuisi sieltä siihen liittyvän spottaamaan muun kuin tuon ddcywin.dll:än.

Logfile of HijackThis v1.99.1
Scan saved at 11:17:37, on 4.8.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
E:\Flink\ProcessExplorer9x\procexp.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Flink\HijackThis_v1.99.1.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt1.dll
O2 - BHO: (no name) - {E45BAC1A-DE55-468D-9072-BC5E02E6C6DF} - C:\WINDOWS\system32\ddcyw.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [HPWNTOOLBOX] C:\Program Files\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe "-i"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ddcyw - C:\WINDOWS\system32\ddcyw.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Kiitos ja kumarrus jos joltain tietotaitoa sattuu löytymään.!

 

Lataa [bold]VundoFix.exe[/bold] työpöydällesi. -> http://www.atribune.org/ccount/click.php?id=4

* Tupla-klikkaa [bold]VundoFix.exe[/bold] ajaaksesi sen.
* Rastita boksi [bold]Run VundoFix as a task.[/bold]
* Saat viestin joka sanoo "Vundofix will close and re-open in a minute or less". [bold]Klikkaa OK.[/bold]
* Kun Vundofix uudelleenaukeaa, klikkaa Scan for Vundo valintaa.
* Kun skannaus on valmis, oikea-klikkaa kyseisen listaboksin sisällä (valkoinen laatikko jossa on löydetyt tiedostot listattu) ja valitse Add more files
* Kopioi ja liitä seuraavat 2 riviä kahteen ylimmäiseen boksiin

[bold]o C:\WINDOWS\system32\ddcyw.dll
o C:\WINDOWS\system32\wycdd.*[/bold]

* Klikkaa Add Files ja sitten klikkaa Close Window.

* Klikkaa Remove Vundo valintaa.
* Saat viestin jossa kysytään haluatko poistaa valitut tiedostot, klikkaa YES.
* Kun klikkaat yes, työpöytäsi tyhjenee kun työkalu alkaa poistamaan Vundoa.
* Kun valmis, saat viestin jossa pyydetään sammuttamaan tietokone, klikkaa OK.
* Käynnistä koneesi uudelleen.


Lataa [bold]SmitfraudFix (c) S!Ri[/bold] -> http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Pura sisältö (kansio nimeltä [bold]SmitfraudFix[/bold]) työpöydällesi:

Avaa [bold]SmitfraudFix[/bold] kansio ja tupla-klikkaa [bold]smitfraudfix.cmd[/bold]
Valitse optio [bold]#1 - Search[/bold] kirjoittamalla [bold]1[/bold] ja painamalla "[bold]Enter"[/bold]; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi.

[bold]Huomaa[/bold]: process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
http://www.beyondlogic.org/consulting/processutil/processutil.htm

Lähetä uusi [bold]HjT-loki, smitfraud.txt ja C:\vundofix.txt[/bold]