Koneen ohjelmat eivät käynnisty.

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi Kajtu 02.02.2011.

  1. Kajtu

    Kajtu Regular member

    Liittynyt:
    06.04.2010
    Viestejä:
    2,080
    Kiitokset:
    6
    Pisteet:
    48
    Elikkäs, ongelmana on monimutkainen virus, joka blokkaa kaikkien mahdollisten ohjelmien ja virusturvien käynnistäminen. Myös windowsin uudelleen asennus ei onnistu. Malwarebytes anti-malware PRO ilmoittaa kokoajan erinlaisista blokatuista IP osoitteista. System restorella sain taasen toimimaan, ja uskon että tuleekin toimimaan taas pari päivää.

    Mutta, voisiko joku minua viisaampi (kalminen<3) Tarkastaa logini? Itse olen tarkastanut enkä ollut löytäväni mitään poikkeavaa?

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 14:52:29, on 2.2.2011
    Platform: Windows 7 (WinNT 6.00.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16700)
    Boot mode: Normal

    Running processes:
    C:\Program Files (x86)\IObit\Game Booster 2\GameBox.exe
    C:\Program Files (x86)\Steam\Steam.exe
    C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
    C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
    C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
    C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
    C:\Program Files (x86)\Trend Micro\HiJackThis\lolscanner.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
    O4 - HKCU\..\Run: [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [mssend] "C:\Windows\system32\config\systemprofile\AppData\Roaming\xssend2\svcnost.exe" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [mssend] "C:\Windows\system32\config\systemprofile\AppData\Roaming\xssend2\svcnost.exe" (User 'Default user')
    O4 - Startup: hamachi.lnk = C:\Program Files (x86)\Hamachi\hamachi.exe
    O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
    O10 - Broken Internet access because of LSP provider 'c:\program files (x86)\bonjour\mdnsnsp.dll' missing
    O17 - HKLM\System\CCS\Services\Tcpip\..\{852C000A-A7B9-4481-93EC-E35115165262}: NameServer = 213.145.209.100,213.145.209.101
    O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
    O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
    O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
    O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
    O23 - Service: Futuremark SystemInfo Service - Futuremark Corporation - C:\Program Files (x86)\Common Files\Futuremark Shared\Futuremark SystemInfo\FMSISvc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: Process Monitor (LVPrcS64) - Logitech Inc. - C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
    O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - Unknown owner - C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe (file missing)
    O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
    O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
    O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
    O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
    O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
    O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
    O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe
    O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
    O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
    O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
    O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

    --
    End of file - 9223 bytes
     
    Kajtu, 02.02.2011
    #1
  2.  
  3. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    .
    Paina Windowsnappi[​IMG]+ R kirjain ja kopioi
    Avaa: laatikkoon services.msc ja OK

    Etsi
    Futuremark SystemInfo Service
    McAfee Security Scan Component Host Service


    TuplaKlikkaa riviä ja valikosta muutat Käynnistystapa Ei käytössä.
    => Klikkaa Käytä Tämän lisäksi klikkaat nappulaa
    Pysäytä palvelu. Kun se on sammunut => Poistu ohjelmasta.

    ----------------------------------------------------------------

    Kun käynnistät Ehdotetun ohjelman = tee se hiiren oikealla napilla
    ja valitset Suorita Järjestelmänvalvojana
    - [​IMG]

    * Lataa OTM by OldTimer.
    * Tallenna se työpöydällesi.
    * Kopioi (CTRL+C) alla olevasta laatikosta kaikki teksti.
    Koodi:
    :Processes
explorer.exe
:files 
C:\Windows\system32\config\systemprofile\AppData\Roaming\xssend2\svcnost.exe
:Commands
[purity]
[emptytemp]
[emptyflash]
[start explorer]
[Reboot]
    * Tuplaklikkaa OTM.exe käynnistääksesi sen.
    * Paina oikeanpuoleista hiiren nappia vasemmanpuoleisessa laatikossa
    * Paste Instructions for Items to be Move-ikkunassa (Keltaisen palkin alla) ja paina Liitä tai (Ctrl+V).
    * Paina punaista MoveIt! -nappia.
    * Jos jotain tiedostoa/kansiota ei voitu siirtää heti, ohjelma ehdottaa koneen
    uudelleenkäynnistystä. Vastaa ehdotukseen Yes, jolloin OtMoveIt
    käynnistää koneesi uudelleen.
    * Logi avautuu Notepadiin maalaa ja Kopioi se (CTRL+C) ja liitä (CTRL+V) teksti seuraavaan viestiisi.

    OTM logi. Löytyy myös => C:\_OTM kansiosta.

    *********************************************************

    Päivitä ja aja Malvarebytes jos onnistuu.
    Jos ei niin ilmoita.

    --------------------------------------------------------------------

    Kun käynnistät HijackThis =(HJT) ohjelman tee se hiiren oikealla napilla
    ja valitset Suorita Järjestelmänvalvojana
    (HJT sammuttaa ohjelman ei poista)
    Sammuta selain ja muut ohjelmat Fixin ajaksi. (ei virustorjuntaa)
    ja Scan ja ruksaa seuraavat punaisella listatut rivit sekä sammuta ne.
    (fix Chekked napista)

    O4 - HKUS\S-1-5-18\..\Run: [mssend] "C:\Windows\system32\config\systemprofile\AppData\Roaming\xssend2\svcnost.exe" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [mssend] "C:\Windows\system32\config\systemprofile\AppData\Roaming\xssend2\svcnost.exe" (User 'Default user')

    ----------------------------------------------------------------

    Tyhjennä roskakori ja käynnistä koneesi uudelleen.

    Postita tänne seuraavat lokit:
    * Tuore HijackThis loki (Otetaan viimeisenä ennen postitusta)
    * Kopioi Malwarebytes' Anti-Malwaren Logitiedostot välilehdeltä uusin logi tänne.
    * OTM logi.
    * Mikä on tilanne ???
    *
    :)
     
    kalminen, 02.02.2011
    #2
  4. Kajtu

    Kajtu Regular member

    Liittynyt:
    06.04.2010
    Viestejä:
    2,080
    Kiitokset:
    6
    Pisteet:
    48
    [​IMG] Mikäs tämä on? Tuossa noita mcafeen ja futuremarkin juttuja poistellessa tuli tuo ylin eteen? Se on varmasti viiruksen osa, muttei anna sammuttaa/poistaa käytöstä.

    Myös Bonjour kansiossa oli DNScompeder tai jsm exe, ja sain sammutettua tuon ID string jutun pois, sitten myös poistin kyseisen DNS exen kansiosta muine likoineen.

    Nytten hoidan loput fixit. Myös, Windowsia uudelleen asentaessa tulee virheilmoitus, jos kokeilen MITÄ tahansa käyttistä asentaa, aitoa tai ei.

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== FILES ==========
    File/Folder C:\Windows\system32\config\systemprofile\AppData\Roaming\xssend2\svcnost.exe not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Chiku
    ->Temp folder emptied: 438822 bytes
    ->Temporary Internet Files folder emptied: 3868655 bytes
    ->Java cache emptied: 507010 bytes
    ->FireFox cache emptied: 103710812 bytes
    ->Flash cache emptied: 3786 bytes

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33237 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 401408 bytes
    %systemroot%\System32 .tmp files removed: 36600 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50333 bytes
    RecycleBin emptied: 344064 bytes

    Total Files Cleaned = 104.00 mb


    OTM by OldTimer - Version 3.1.17.2 log created on 02052011_195626

    Files moved on Reboot...
    C:\Users\Chiku\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

    Registry entries deleted on Reboot...

    Tässä OTM loki, näyttää siltä että pystyi puhdistamaan tuon SVCNOST.exen poissa?

    Ja malwarebytes päivittyy, ja on uusimmassa versiossa + se on ostettu versio! eikä löytänyt Fastscanilla ainakaan mitään, ajan pitkän scanin yöksi.

    TÄSSÄ vielä HJT logi, huomasin jonkun bonjour kansioon viittaavan LSP winsockin, LSPfixillä poistaa?

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 20:05:08, on 5.2.2011
    Platform: Windows 7 (WinNT 6.00.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16700)
    Boot mode: Normal

    Running processes:
    C:\Program Files (x86)\IObit\Game Booster 2\GameBox.exe
    C:\Program Files (x86)\Steam\Steam.exe
    C:\Program Files (x86)\Hamachi\hamachi.exe
    C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
    C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
    C:\Program Files (x86)\Trend Micro\HiJackThis\lolscanner.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
    O4 - HKCU\..\Run: [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [DATDCE8.tmp.exe] "C:\Windows\TEMP\DATDCE8.tmp.exe" /run (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [DATDCE8.tmp.exe] "C:\Windows\TEMP\DATDCE8.tmp.exe" /run (User 'Default user')
    O4 - Startup: hamachi.lnk = C:\Program Files (x86)\Hamachi\hamachi.exe
    O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
    O10 - Broken Internet access because of LSP provider 'c:\program files (x86)\bonjour\mdnsnsp.dll' missing
    O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
    O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
    O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: Process Monitor (LVPrcS64) - Logitech Inc. - C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
    O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
    O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
    O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
    O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
    O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
    O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
    O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe
    O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
    O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
    O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
    O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

    --
    End of file - 8463 bytes
     
    Viimeksi muokattu: 05.02.2011
    Kajtu, 05.02.2011
    #3
  5. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    .
    Kurkistetaan kuka se siellä kiusaa.

    Lataa Rkill työpöydälle ensimmäinen Ohjelma alla olevasta linkistä.
    Jos se ei toimi sitten vasta seuraava.

    Linkki *.src
    Linkki *.com
    Linkki *.exe

    Ennen kuin aloitat, sinun pitäisi sammuttaa virustutka alapalkista. (ei palomuuria)

    * Kaksoisnapsauta Rkill.exe työpöydällä ajaaksesi sen. (Jos käytät Windows Vistaa tai 7, ole hyvä ja napsauta hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana)
    * Musta ruutu ilmestyy ja katoaa. Älä huoli, tämä on normaalia. Tämä tarkoittaa, että työkalu on onnistuneesti toteutettu.
    * Jos mitään ei tapahdu tai jos työkalu ei toimi, kerro seuraavassa vastauksessa.

    * Välittömästi edellisen perään OTM ajo.

    -------------------------------------------------------

    * Lataa OTM by OldTimer.
    * Tallenna se työpöydällesi.
    * Kopioi (CTRL+C) alla olevasta laatikosta kaikki teksti.
    Koodi:
    :Processes
explorer.exe
:files 
C:\Windows\TEMP\DATDCE8.tmp.exe
:Commands
[purity]
[emptytemp]
[emptyflash]
[start explorer]
[Reboot]
    * Tuplaklikkaa OTM.exe käynnistääksesi sen.
    * Paina oikeanpuoleista hiiren nappia vasemmanpuoleisessa laatikossa
    * Paste Instructions for Items to be Move-ikkunassa (Keltaisen palkin alla) ja paina Liitä tai (Ctrl+V).
    * Paina punaista MoveIt! -nappia.
    * Jos jotain tiedostoa/kansiota ei voitu siirtää heti, ohjelma ehdottaa koneen
    uudelleenkäynnistystä. Vastaa ehdotukseen Yes, jolloin OtMoveIt
    käynnistää koneesi uudelleen.
    * Logi avautuu Notepadiin maalaa ja Kopioi se (CTRL+C) ja liitä (CTRL+V) teksti seuraavaan viestiisi.

    Lähetä => C:\rkill.log
    OTM logi. Löytyy myös => C:\_OTM kansiosta.

    :)
     
    kalminen, 06.02.2011
    #4
  6. Kajtu

    Kajtu Regular member

    Liittynyt:
    06.04.2010
    Viestejä:
    2,080
    Kiitokset:
    6
    Pisteet:
    48
    Elikkäs, tuo rkill vaan väläytti työpöydän kuvakkeita, en kyllä mustaaruutua kerennyt huomata :D

    Eikä tainnut OTM logi mitään tehdä?



    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== FILES ==========
    File/Folder C:\Windows\TEMP\DATDCE8.tmp.exe not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Chiku
    ->Temp folder emptied: 3038576 bytes
    ->Temporary Internet Files folder emptied: 846243 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 85732650 bytes
    ->Flash cache emptied: 3656 bytes

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 608 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 1766584658 bytes

    Total Files Cleaned = 1,770.00 mb


    OTM by OldTimer - Version 3.1.17.2 log created on 02052011_175916

    Files moved on Reboot...
    C:\Users\Chiku\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

    Registry entries deleted on Reboot...
     
    Kajtu, 06.02.2011
    #5
  7. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    .
    Tämä kuuluu siihen Bonjour Serviceen, joka on osa Aplen Qiktimea.
    Kokonaisuudessaan sen poistaminen ei onnistu.

    Paina Windowsnappi[​IMG]+ R kirjain ja kopioi
    Avaa: laatikkoon services.msc ja OK

    Etsi
    ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##


    TuplaKlikkaa riviä ja valikosta muutat Käynnistystapa Ei käytössä.
    => Klikkaa Käytä Tämän lisäksi klikkaat nappulaa
    Pysäytä palvelu. Kun se on sammunut => Poistu ohjelmasta.

    -----------------------------------------------------------------------------------

    OTM siivosi => 1,770.00 mb sekä tuon viruksen piilopaikan.

    Malvarelta saataisi tulla kohta parempi logi.
    Aja ja lähetä se.

    Kyllä tuo rkill toimi Lähetä ceen juuresta => C:\rkill.log

    :)
     
    kalminen, 06.02.2011
    #6
  8. Kajtu

    Kajtu Regular member

    Liittynyt:
    06.04.2010
    Viestejä:
    2,080
    Kiitokset:
    6
    Pisteet:
    48
    Logia ei C:stä löydy. Vieläkin malwarebytes blockkailee erinlaisia IP osoitteita eri ohjelmista, firefoxista, skypestä, yms. Yöllä ajan malwarebytesin ja postaan login!.
     
    Kajtu, 06.02.2011
    #7
  9. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    .
    Yritä tätä vielä ennen iltaa.

    Sammuta alapalkista => Avira AntiVir

    Kun käynnistät Ehdotetun ohjelman = tee se hiiren oikealla napilla
    ja valitset Suorita Järjestelmänvalvojana
    - [​IMG]

    Lataa työpöydälle ensimmäinen Ohjelma alla olevasta linkistä. (exe)

    Linkki *.exe

    Ennen kuin aloitat, sinun pitäisi sammuttaa virustutka alapalkista. (ei palomuuria)

    * (Jos käytät Windows Vistaa tai 7, ole hyvä ja napsauta hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana)
    * Musta ruutu ilmestyy ja katoaa. Älä huoli, tämä on normaalia. Tämä tarkoittaa, että työkalu on onnistuneesti toteutettu.
    * Jos mitään ei tapahdu tai jos työkalu ei toimi, kerro seuraavassa vastauksessa.

    Lähetä => C:\rkill.log
    :)
     
    kalminen, 06.02.2011
    #8
  10. Kajtu

    Kajtu Regular member

    Liittynyt:
    06.04.2010
    Viestejä:
    2,080
    Kiitokset:
    6
    Pisteet:
    48
    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.

    Rkill was run on 06.02.2011 at 0:10:54.
    Operating System: Windows 7 Ultimate


    Processes terminated by Rkill or while it was running:

    C:\Users\Chiku\Downloads\rkill.com
    C:\Users\Chiku\Desktop\rkill.com
    xe


    Rkill completed on 06.02.2011 at 0:10:55.

    Ilmeisesti löytyi jotain?

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Tietokantaversio: 5685

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    6.2.2011 2:00:23
    mbam-log-2011-02-06 (02-00-23).txt

    Tarkistustyyppi: Täysi tarkistus (C:\|G:\|)
    Tarkistettuja kohteita: 777564
    Kulunut aika: 1 tunti(a), 45 minuutti(a), 7 sekunti(a)

    Saastuneita muistiprosesseja: 0
    Saastuneita muistimoduuleja: 0
    Saastuneita rekisteriavaimia: 0
    Saastuneita rekisteriarvoja: 0
    Saastuneita rekisterikohteita: 0
    Saastuneita kansioita: 0
    Saastuneita tiedostoja: 0

    Saastuneita muistiprosesseja:
    (Ei haitallisia kohteita)

    Saastuneita muistimoduuleja:
    (Ei haitallisia kohteita)

    Saastuneita rekisteriavaimia:
    (Ei haitallisia kohteita)

    Saastuneita rekisteriarvoja:
    (Ei haitallisia kohteita)

    Saastuneita rekisterikohteita:
    (Ei haitallisia kohteita)

    Saastuneita kansioita:
    (Ei haitallisia kohteita)

    Saastuneita tiedostoja:
    (Ei haitallisia kohteita)


    Tässä tämä nytten on, ei löydy mitään tämän päiväiselläkään tietokannalla. Myös voitko neuvot laittaa miten tyhjentää system restore? avira valittaa taasen system restoreen jääneestä Pack.Gen Crypt viruksesta.
     
    Viimeksi muokattu: 07.02.2011
    Kajtu, 07.02.2011
    #9
  11. Kajtu

    Kajtu Regular member

    Liittynyt:
    06.04.2010
    Viestejä:
    2,080
    Kiitokset:
    6
    Pisteet:
    48
    lisäsin tohon edelliseen viestiin mbam login!
     
    Kajtu, 07.02.2011
    #10
  12. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    Luo järjestelmän palautuspiste "nekon" OHJE
    Käynnistä CCleaneri ja toimi kuvan mukaan poistaen
    ylimmäistä riviä lukuun ottamatta kaikki palautuspisteet.

    Jos sinulla ei ole ko. ohjelmaa => LATAA TÄÄLTÄ

    [​IMG]

    Toimiiko nyt ???
    :)
     
    kalminen, 07.02.2011
    #11
  13. Kajtu

    Kajtu Regular member

    Liittynyt:
    06.04.2010
    Viestejä:
    2,080
    Kiitokset:
    6
    Pisteet:
    48
    --- double---
     
    Viimeksi muokattu: 07.02.2011
    Kajtu, 07.02.2011
    #12
  14. Kajtu

    Kajtu Regular member

    Liittynyt:
    06.04.2010
    Viestejä:
    2,080
    Kiitokset:
    6
    Pisteet:
    48
    Teen uuden skannauksen Avira AntiVir, tuntuu vain että viimeisin palautuspiste on 5.2 nytten, että siellä on jotain vielä jälellä.
     
    Kajtu, 07.02.2011
    #13
  15. kalminen

    kalminen Regular member

    Liittynyt:
    04.05.2007
    Viestejä:
    3,915
    Kiitokset:
    0
    Pisteet:
    46
    .
    Toimi tällä tavalla =>
    Nyt juuri teet palautuspisteen, kun kone on puhdas
    ja poistat kaikki juuri tehtyä lukuunottamatta
    kaikki aikaisemmat pisteet.
    5.2 2011 piste myös.

    Luo järjestelmän palautuspiste puhtaasta koneesta "nekon" OHJE
    Käynnistä CCleaneri ja toimi kuvan mukaan poistaen
    ylimmäistä riviä lukuun ottamatta kaikki palautuspisteet.

    Jos sinulla ei ole ko. ohjelmaa => LATAA TÄÄLTÄ

    [​IMG]
    ???
     
    kalminen, 07.02.2011
    #14
  16. Kajtu

    Kajtu Regular member

    Liittynyt:
    06.04.2010
    Viestejä:
    2,080
    Kiitokset:
    6
    Pisteet:
    48
    Noniin, nytten vaikuttaa puhtaalta :) Thänkz
     
    Kajtu, 08.02.2011
    #15

Jaa tämä sivu