Mesevirus?? HiJack This logi.

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi Anthonius 25.09.2006.

Viestiketjun tila:
Viestiketju on suljettu.
  1. Anthonius

    Anthonius Regular member

    Liittynyt:
    06.08.2005
    Viestejä:
    616
    Kiitokset:
    0
    Pisteet:
    26
    ELi kaverilla on vissiin joku mesevirus tai joku kun kone jumittaa ja 2 .exe tiedostoa joita ei pysty poistaa. Toinen on [bold]Xinstall[/bold]joka sijaitsee työpöydällä ja toinen [bold]ntuser[/bold] MPEG videotiedosto.
    Kaipa se on niitä suorittanut ja kone on nyt jumissa.
    Eikä noi lähde vikasietotilassa pois.

    HiJack This LOGI:

    Logfile of HijackThis v1.99.1
    Scan saved at 15:12:00, on 25.9.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\Smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Ohjelmat\F-Prot\fpavupdm.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
    C:\Ohjelmat\F-Prot\F-StopW.EXE
    C:\Program Files\Logitech\iTouch\iTouch.exe
    C:\Ohjelmat\F-Prot\F-Sched.exe
    C:\WINDOWS\system32\tcpsvcs.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Documents and Settings\KANGAS.JARKKO-1D700C23\Työpöytä\Xinstall.exe
    C:\Program Files\Common Files\{5CCD97BC-0852-1035-0203-040409060166}\Update.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    C:\WINDOWS\System32\snmp.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Documents and Settings\KANGAS.JARKKO-1D700C23\Työpöytä\hijackthis\HijackThis.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jippii.fi/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.suomi24.fi/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: MSN Search -työkalurivi Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fi-fi\msntb.dll
    O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
    O3 - Toolbar: MSN Search -työkalurivi - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fi-fi\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
    O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe"
    O4 - HKLM\..\Run: [F-StopW] C:\Ohjelmat\F-Prot\F-StopW.EXE
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Ohjelmat\F-Prot\F-Sched.exe STARTUP
    O4 - HKLM\..\Run: [win-xp] winis.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [explorer] C:\Documents and Settings\KANGAS.JARKKO-1D700C23\Työpöytä\Xinstall.exe
    O4 - HKLM\..\RunServices: [win-xp] winis.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [win-xp] winis.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    O4 - HKCU\..\RunServices: [win-xp] winis.exe
    O4 - Global Startup: Windows-työpöytähaku.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fi-fi\bin\WindowsSearch.exe
    O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fi-fi\msntb.dll/search.htm
    O8 - Extra context menu item: Avaa uuteen etuvälilehteen - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fi-fi\msntabres.dll/230?44cc2ae497ad4fe09369247c6c52a56d
    O8 - Extra context menu item: Avaa uuteen taustavälilehteen - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fi-fi\msntabres.dll/229?44cc2ae497ad4fe09369247c6c52a56d
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\ohjelmat\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ohjelmat\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Ohjelmat\F-Prot\fpavupdm.exe
    O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
     
    Anthonius, 25.09.2006
    #1
  2.  
  3. Jannejt

    Jannejt Moderator Ylläpitäjä

    Liittynyt:
    10.02.2005
    Viestejä:
    5,045
    Kiitokset:
    6
    Pisteet:
    118
    siirretty hjt-loki alueeseen
     
    Jannejt, 01.10.2006
    #2
  4. Marku2

    Marku2 Regular member

    Liittynyt:
    07.12.2005
    Viestejä:
    1,259
    Kiitokset:
    0
    Pisteet:
    46
    Moro, kaikilla nykyään tuo mese-virus ;)

    Avaa Ohjauspaneeli->[bold]Lisää/Poista Sovellus[/bold] ->Poista:
    [bold]ToolBar888[/bold]

    Fixaa HjT:llä (Do a system scan only, merkkaa ja paina fix checked)
    O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
    O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
    O4 - HKLM\..\Run: [win-xp] winis.exe
    O4 - HKLM\..\RunServices: [win-xp] winis.exe
    O4 - HKCU\..\Run: [win-xp] winis.exe
    O4 - HKCU\..\RunServices: [win-xp] winis.exe
    O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll[/color]

    Laita piilotiedostot näkyviin -> Ohje!

    Käynnistä kone vikasietotilaan. (F8 käynnistyksen yhteydessä)

    [bold]Poista:[/bold]
    C:\Program Files\[bold]ToolBar888[/bold]
    C:\Program Files\Common Files\[bold]{5CCD97BC-0852-1035-0203-040409060166}[/bold]

    Käytä hakua (Käynnistä etsi)
    -> Paina "lisävaihtoehdot"
    -> Merkkaa kolme ylintä
    -> Etsi tämä ja poista se: winis.exe

    Käynnistä kone normaalitilaan!

    Hommaa [bold]ewido[/bold].
    Päivitä, Scannaa, [bold]Poista löydöt[/bold] ja tallenna raportti

    [bold]1.[/bold] Lataa combofix.exe tiedosto työpöydällesi.
    [bold]2.[/bold] Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
    [bold]3.[/bold] Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
    Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
    Combofixin loki on täällä -> C:\Combofix.txt

    [bold]Lataa[/bold] [bold]Killbox Option^Explicitiltä[/bold].

    [bold]Huomaa[/bold]:[bold] Jos sinulla on jo Killbox, tämä on uusi versio joka sinun tulee asentaa. Poista aikaisempi[/bold].

    [*][bold]Tallenna[/bold] [bold]työpöydällesi[/bold].
    [*] Tupla-klikkaa [bold]Killbox.exe[/bold] ajaaksesi ohjelman.
    [*] Valitse: [bold]Delete on Reboot[/bold] sitten klikkaa [bold]All Files[/bold] valintaa.
    [*][bold]Kopioi ja liitä alapuolella olevat tiedostopolut leikepöydälle[/bold] mustaamalla [bold]KAIKKI[/bold] ne ja [bold]painamalla CTRL + C[/bold] (tai, mustaamisen jälkeen, oikea klikki hiirellä ja valitse kopioi):

    [bold]C:\Documents and Settings\KANGAS.JARKKO-1D700C23\Työpöytä\Xinstall.exe[/bold]

    [*] Palaa Killboxiin, mene [bold]File[/bold] valikkoon, ja valitse [bold]Paste from Clipboard[/bold].

    [*]Klikkaa puna-valkoista [bold]Delete File[/bold] valintaa. Klikkaa [bold]Yes[/bold] "Delete on Reboot" pyyntöön. Klikkaa [bold]OK[/bold] mihin vain PendingFileRenameOperations pyyntöön (ja anna fixaajan tietää jos jokin tälläinen tulee!).

    [bold]Käynnistä koneesi itse jos se ei sitä automaattisesti tee[/bold].

    Jos saat tälläisen viestin: "Component 'MsComCtl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid." Kun yrität ajaa KillBoxia, klikkaa tätä ladataksesi ja ajaaksesi Missingfilessetup.exe;n. Sitten koita KillBoxia uudestaan.


    Kerroppas tarkka hakemisto tälle: ntuser
    Eli ihan tarkka polku ja sen tiedosto tyyppi.

    Lähetä uusi HjT-loki, ewidon raportti, C:\Combofix.txt ja virustotalin-tulokset.
     
    Viimeksi muokattu: 05.10.2006
    Marku2, 02.10.2006
    #3
  5. Anthonius

    Anthonius Regular member

    Liittynyt:
    06.08.2005
    Viestejä:
    616
    Kiitokset:
    0
    Pisteet:
    26
    Joo kiitoksia. Ilmoittelen kunhan saan kaverin koneeseen nuo kaikki tehtyä! :)
     
    Anthonius, 02.10.2006
    #4
  6. Marku2

    Marku2 Regular member

    Liittynyt:
    07.12.2005
    Viestejä:
    1,259
    Kiitokset:
    0
    Pisteet:
    46
    Okei, hyvä kun ilmoitit, niin tiedän milloin jatketaan. :)
     
    Marku2, 02.10.2006
    #5
Viestiketjun tila:
Viestiketju on suljettu.

Jaa tämä sivu