nyt apua! tässä hijackthis logi

koneelleni on paukahtanut joku spyware. punanen pallukka tuolla alhaalla oikees alakulmas. olen kyllä lukenut täältä jostakin noista keskustelu neuvoista. mutta tässä on logi ja pahoittelen jos tämä viesti tulee väärään paikkaan, mutta toivon jos joku viitsisi tsekata HijackThis login ja neuvoa mitä tehdä. koneeni on aivan sekaisin.


kiitos


Logfile of HijackThis v1.99.1
Scan saved at 21:55:02, on 26.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ULI5289\ALi5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ipmon.exe
C:\WINDOWS\system32\ipmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
D:\steam\steam.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\TEMP\win2E.tmp.exe
C:\WINDOWS\TEMP\6432.exe
D:\MOZILLA\Mozilla Firefox\firefox.exe
D:\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O4 - HKLM\..\Run: [ALi5289] C:\Program Files\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Info Clock Flap Amok] C:\Documents and Settings\All Users\Application Data\glue proc info clock\skip meow.exe
O4 - HKLM\..\Run: [SManager] smanager.7.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\qjkkdwks.dll",realset
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvmub.dll,startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Download all links using BitComet - res://D:\Bitcomet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://D:\Bitcomet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://D:\Bitcomet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1174641095828
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

ei ihme että sekasin missä virusohjelma ja palomuuri

tuolta hakemaan
http://keskustelu.afterdawn.com/thread_view.cfm/162275

 

Moi!

tee sitten tämä

=====

Uudelleennimeä HijackThis.exe -> scanner.exe:ksi näin:
1. Klikkaa hiiren oikealla painikkeella HijackThis ikonia.


2. Valitse Uudelleennineä/ Rename.


3. Kirjoita scanner.exe


========

Lataa SDFix by AndyManchesta http://downloads.andymanchesta.com/RemovalTools/SDFix.zip ja tallenna se työpöydällesi.

Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi:

* Käynnistä tietokone
* Kun kuulet koneen piippaavan, paina F8, kuitenkin ennen Windowsin logon esiintuloa
* Seuraavaksi pitäisi ilmestyä valikko
* Valitse valikosta vikasietotila.


* Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix.exe) työpöydälle. Tuplakilikkaa työpöydälle ilmestynyttä sdfix.exe tiedostoa. Tiedosto purkaantuu ja asentaa itsensä siihen levyasemaan, minne on käyttöjärjestelmä on asennettu ja juureen ilmestyy kansio SDFix, ESIM C:\SDFix
* Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
* Paina Y käynnistääksesi skriptin.
* Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
* Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
* Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
* Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
* Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
* Lopuksi avaa SDFix kansio ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi

===========

Lataa VundoFix.exe työpöydällesi.
*Tupla-klikkaa VundoFix.exe ajaaksesi sen.
*Klikkaa Scan for Vundo valintaa.
*Kun skannaus on valmis, klikkaa Remove Vundo valintaa.
*Sinulta kysytään haluatko poistaa filut - klikkaa YES.
*Kun olet klikannut yes, työpöytäsi tyhjenee kun se alkaa poistamaan Vundoa.
*Kun se on valmis, fiksi ilmoittaa käynnistäväsi koneesi uudelleen, klikkaa OK.
*Postita C:\vundofix.txt lokin sisältö.


Huomaa: Se on mahdollista että VundoFix löysi tiedoston jota se ei pystynyt poistamaan.
Tässä tilanteessa, VundoFix ajaa itsensä rebootissa, seuraa vain yläpuolelle olevia ohjeita alkaen kohdasta "Klikkaa Scan for Vundo valintaa." kun VundoFix ilmaantuu uudelleenkäynnistyksen yhteydessä.

============

1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. (C:\ComboFix.txt) Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen. '

========

Lataa NoLop työpöydällesi yhdestä seuraavista linkeistä...
http://www.spywareedge.net/nolop/NoLop.exe1
http://www.spywaretimes.com/Tools/Download/Anti-malwareToolsLinkki
http://www.thespykiller.co.uk/index.php?action=tpmod;dl=get16

* Sulje kaikki ohjelmat, koska tämä vaihe vaatii uudelleenkäynnistyksen
* Tuplaklikkaa NoLop.exe ajaaksesi sen

* Klikkaa nappulaa "Search and Destroy"
<<Tietokoneesi skannataan saastuneiden tiedostojen osalta>>
* Kun skannaus on valmis, sinua pyydetään käynnistämään kone uudestaan, jos infektio löytyy. Klikkaa OK
* Klikkaa "REBOOT"-painiketta.
* NoLopin pitäisi antaa viesti. Jos ei, tuplaklikkaa ohjelmaa ja se valmistuu. Lähetä C:\NoLop.log-tiedoston sisältö

-- Jos saat seuraavan virheen, "mscomctl.ocx or one of its dependencies are not correctly registered," lataa mscomctl.ocx http://www.boletrice.com/downloads/mscomctl.ocx ja tallenna se system32-hakemistoosi (yleensä c:\Windows\system32). Tämän jälkeen aja ohjelma uudestaan. --

==========

Myös uusi hijackthislogi edellisten lisäksi

 

---------------------------------------------------------------------

Terve, tein ton SDFix ja tässä on logi siitä:




SDFix: Version 1.85

Run by Jani - su 27.05.2007 - 12:16:08,51

Microsoft Windows XP [versio 5.1.2600]

Running From: C:\DOCUME~1\Jani\TYPYT~1\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\RWSWNY.EXE - Deleted
C:\108096~1 - Deleted
C:\WINDOWS\temp\win2E.tmp.exe - Deleted
C:\WINDOWS\temp\win32.tmp.exe - Deleted
C:\WINDOWS\Temp\win2E.tmp.exe - Deleted
C:\WINDOWS\Temp\win32.tmp.exe - Deleted
C:\WINDOWS\system32\autosys.exe - Deleted
C:\WINDOWS\system32\max1d1641.exe - Deleted
C:\WINDOWS\Temp\removalfile.bat - Deleted
C:\WINDOWS\Temp\win*.tmp - Deleted



Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------


Rootkit xpdt Found, Use a Rootkit scanner !

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"D:\\Steam\\SteamApps\\aimscill4ah512\\day of defeat\\hl.exe"="D:\\Steam\\SteamApps\\aimscill4ah512\\day of defeat\\hl.exe:*isabled:Half-Life Launcher"
"D:\\Steam\\SteamApps\\aimscill4ah512\\counter-strike\\hl.exe"="D:\\Steam\\SteamApps\\aimscill4ah512\\counter-strike\\hl.exe:*isabled:Half-Life Launcher"
"D:\\Ad-Aware\\Ad-Aware SE Personal\\Ad-Aware.exe"="D:\\Ad-Aware\\Ad-Aware SE Personal\\Ad-Aware.exe:*:Enabled:Ad-Aware SE Personal"
"D:\\DC++\\DCPlusPlus.exe"="D:\\DC++\\DCPlusPlus.exe:*:EnabledC++"
"D:\\Battlefield2\\BF2.exe"="D:\\Battlefield2\\BF2.exe:*:Enabled:Battlefield 2"
"C:\\Program Files\\Vietcong\\vietcong.exe"="C:\\Program Files\\Vietcong\\vietcong.exe:*:Enabled:vietcong"
"D:\\Bitcomet\\BitComet.exe"="D:\\Bitcomet\\BitComet.exe:*isabled:BitComet - a BitTorrent Client"
"D:\\Bitcomet\\utorrent.exe"="D:\\Bitcomet\\utorrent.exe:*:Enabled:æTorrent"
"D:\\Steam\\SteamApps\\aimscill4ah512\\counter-strike source\\hl2.exe"="D:\\Steam\\SteamApps\\aimscill4ah512\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"D:\\Steam\\Steam.exe"="D:\\Steam\\Steam.exe:*isabled:Steam"
"D:\\Steam\\SteamApps\\aimscill4ah512\\day of defeat source\\hl2.exe"="D:\\Steam\\SteamApps\\aimscill4ah512\\day of defeat source\\hl2.exe:*:Enabled:hl2"
"D:\\mIRC\\mirc.exe"="D:\\mIRC\\mirc.exe:*:Enabled:mIRC"
"D:\\CoD2\\CoD2MP_s.exe"="D:\\CoD2\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"D:\\mIRC\\Teamspeak2_RC2\\TeamSpeak.exe"="D:\\mIRC\\Teamspeak2_RC2\\TeamSpeak.exe:*:Enabled:Teamspeak RC2"
"D:\\Aphex.exe"="D:\\Aphex.exe:*:Enabled:GameSpy Arcade"
"D:\\FEAR\\FEARMP.exe"="D:\\FEAR\\FEARMP.exe:*isabled:FEAR Combat"
"D:\\LimeWire\\LimeWire.exe"="D:\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"D:\\Sony Vegas\\VegSrv60.exe"="D:\\Sony Vegas\\VegSrv60.exe:*:Enabled:Sony Vegas Network Render Service Control"
"C:\\DOCUME~1\\Jani\\LOCALS~1\\Temp\\win58.tmp.exe"="C:\\DOCUME~1\\Jani\\LOCALS~1\\Temp\\win58.tmp.exe:*:Enabled:win58.tmp"
"C:\\WINDOWS\\TEMP\\win2C.tmp.exe"="C:\\WINDOWS\\TEMP\\win2C.tmp.exe:*:Enabled:win2C.tmp"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"

Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\Jani\TYPYT~1\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:

C:\WINDOWS\system32\awtqo.dll
C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp

Finished


ja tässä hijackthis loki, sdfix skannauksen jälkeen:


Logfile of HijackThis v1.99.1
Scan saved at 12:20:54, on 27.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\ULI5289\ALi5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ipmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ipmon.exe
D:\steam\steam.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
c:\progra~1\intern~1\iexplore.exe
D:\MOZILLA\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\TEMP\winC.tmp.exe
C:\Documents and Settings\Jani\Työpöytä\scanner.exe.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0777FDE1-50AB-4E2F-8DC8-23548E111F93} - C:\WINDOWS\system32\fccbxur.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Bitcomet\tools\BitCometBHO_1.1.3.28.dll
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\naylmxmq.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {804EBC14-8E8A-44EC-922B-16A277AF0979} - C:\WINDOWS\system32\awtqo.dll
O4 - HKLM\..\Run: [ALi5289] C:\Program Files\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Info Clock Flap Amok] C:\Documents and Settings\All Users\Application Data\glue proc info clock\skip meow.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\qjkkdwks.dll",realset
O4 - HKLM\..\Run: [SManager] smanager.7.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvhit.dll,startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Download all links using BitComet - res://D:\Bitcomet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://D:\Bitcomet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://D:\Bitcomet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174641095828
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll
O20 - Winlogon Notify: fccbxur - C:\WINDOWS\SYSTEM32\fccbxur.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winxtx32 - C:\WINDOWS\SYSTEM32\winxtx32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe




pahoittelen siitä toisesta viestiketjusta.

ongelmia vielä koneen kanssa.

 

TÄSSÄ ON NYT KAIKISTA NOISTA LOKIT JOTKA OLET MAININNUT:

---------------------------------------------------------------------
SADFix:

SDFix: Version 1.85

Run by Jani - su 27.05.2007 - 12:16:08,51

Microsoft Windows XP [versio 5.1.2600]

Running From: C:\DOCUME~1\Jani\TYPYT~1\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\RWSWNY.EXE - Deleted
C:\108096~1 - Deleted
C:\WINDOWS\temp\win2E.tmp.exe - Deleted
C:\WINDOWS\temp\win32.tmp.exe - Deleted
C:\WINDOWS\Temp\win2E.tmp.exe - Deleted
C:\WINDOWS\Temp\win32.tmp.exe - Deleted
C:\WINDOWS\system32\autosys.exe - Deleted
C:\WINDOWS\system32\max1d1641.exe - Deleted
C:\WINDOWS\Temp\removalfile.bat - Deleted
C:\WINDOWS\Temp\win*.tmp - Deleted



Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------


Rootkit xpdt Found, Use a Rootkit scanner !

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"D:\\Steam\\SteamApps\\aimscill4ah512\\day of defeat\\hl.exe"="D:\\Steam\\SteamApps\\aimscill4ah512\\day of defeat\\hl.exe:*isabled:Half-Life Launcher"
"D:\\Steam\\SteamApps\\aimscill4ah512\\counter-strike\\hl.exe"="D:\\Steam\\SteamApps\\aimscill4ah512\\counter-strike\\hl.exe:*isabled:Half-Life Launcher"
"D:\\Ad-Aware\\Ad-Aware SE Personal\\Ad-Aware.exe"="D:\\Ad-Aware\\Ad-Aware SE Personal\\Ad-Aware.exe:*:Enabled:Ad-Aware SE Personal"
"D:\\DC++\\DCPlusPlus.exe"="D:\\DC++\\DCPlusPlus.exe:*:EnabledC++"
"D:\\Battlefield2\\BF2.exe"="D:\\Battlefield2\\BF2.exe:*:Enabled:Battlefield 2"
"C:\\Program Files\\Vietcong\\vietcong.exe"="C:\\Program Files\\Vietcong\\vietcong.exe:*:Enabled:vietcong"
"D:\\Bitcomet\\BitComet.exe"="D:\\Bitcomet\\BitComet.exe:*isabled:BitComet - a BitTorrent Client"
"D:\\Bitcomet\\utorrent.exe"="D:\\Bitcomet\\utorrent.exe:*:Enabled:æTorrent"
"D:\\Steam\\SteamApps\\aimscill4ah512\\counter-strike source\\hl2.exe"="D:\\Steam\\SteamApps\\aimscill4ah512\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"D:\\Steam\\Steam.exe"="D:\\Steam\\Steam.exe:*isabled:Steam"
"D:\\Steam\\SteamApps\\aimscill4ah512\\day of defeat source\\hl2.exe"="D:\\Steam\\SteamApps\\aimscill4ah512\\day of defeat source\\hl2.exe:*:Enabled:hl2"
"D:\\mIRC\\mirc.exe"="D:\\mIRC\\mirc.exe:*:Enabled:mIRC"
"D:\\CoD2\\CoD2MP_s.exe"="D:\\CoD2\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"D:\\mIRC\\Teamspeak2_RC2\\TeamSpeak.exe"="D:\\mIRC\\Teamspeak2_RC2\\TeamSpeak.exe:*:Enabled:Teamspeak RC2"
"D:\\Aphex.exe"="D:\\Aphex.exe:*:Enabled:GameSpy Arcade"
"D:\\FEAR\\FEARMP.exe"="D:\\FEAR\\FEARMP.exe:*isabled:FEAR Combat"
"D:\\LimeWire\\LimeWire.exe"="D:\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"D:\\Sony Vegas\\VegSrv60.exe"="D:\\Sony Vegas\\VegSrv60.exe:*:Enabled:Sony Vegas Network Render Service Control"
"C:\\DOCUME~1\\Jani\\LOCALS~1\\Temp\\win58.tmp.exe"="C:\\DOCUME~1\\Jani\\LOCALS~1\\Temp\\win58.tmp.exe:*:Enabled:win58.tmp"
"C:\\WINDOWS\\TEMP\\win2C.tmp.exe"="C:\\WINDOWS\\TEMP\\win2C.tmp.exe:*:Enabled:win2C.tmp"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"

Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\Jani\TYPYT~1\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:

C:\WINDOWS\system32\awtqo.dll
C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp

Finished

---------------------------------------------------------------------
Vundo:

VundoFix V6.4.1

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 12:23:58 27.5.2007

Listing files found while scanning....

C:\WINDOWS\system32\awtqo.dll
C:\WINDOWS\system32\cbxuvtt.dll
C:\WINDOWS\system32\fccbxur.dll
C:\WINDOWS\system32\ljjhfcb.dll
C:\WINDOWS\system32\oqtwa.bak1
C:\WINDOWS\system32\oqtwa.bak2
C:\WINDOWS\system32\oqtwa.ini
C:\WINDOWS\system32\qjkkdwks.dll
C:\WINDOWS\system32\skwdkkjq.ini
C:\WINDOWS\system32\wvuvwxu.dll
C:\WINDOWS\system32\xqhrhygg.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtqo.dll
C:\WINDOWS\system32\awtqo.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\cbxuvtt.dll
C:\WINDOWS\system32\cbxuvtt.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\fccbxur.dll
C:\WINDOWS\system32\fccbxur.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ljjhfcb.dll
C:\WINDOWS\system32\ljjhfcb.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\oqtwa.bak1
C:\WINDOWS\system32\oqtwa.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\oqtwa.bak2
C:\WINDOWS\system32\oqtwa.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\oqtwa.ini
C:\WINDOWS\system32\oqtwa.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qjkkdwks.dll
C:\WINDOWS\system32\qjkkdwks.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\skwdkkjq.ini
C:\WINDOWS\system32\skwdkkjq.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\wvuvwxu.dll
C:\WINDOWS\system32\wvuvwxu.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\xqhrhygg.dll
C:\WINDOWS\system32\xqhrhygg.dll Has been deleted!

Performing Repairs to the registry.
Done!
---------------------------------------------------------------------
COmboFix:


"Jani" - 2007-05-27 12:31:41 Service Pack 2
ComboFix 07-05.27.V - Running from: "C:\Documents and Settings\Jani\Ty”p”yt„\"

Rootkit driver xpdt is present. A rootkit scan is required

(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\naylmxmq.dll
C:\WINDOWS\system32\winxtx32.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


"C:\WINDOWS\system32\klikalka.exe"


((((((((((((((((((((((((((((((( Files Created from 2007-04-27 to 2007-05-27 ))))))))))))))))))))))))))))))))))


2007-05-27 12:23 <KANSIO> d-------- C:\VundoFix Backups
2007-05-27 12:20 93,696 --a------ C:\WINDOWS\system32\drvhit.dll
2007-05-26 21:50 <KANSIO> d-------- C:\WINDOWS\pss
2007-05-26 18:51 1,850 --a------ C:\WINDOWS\system32\tmp.reg
2007-05-26 18:50 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-05-26 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-05-26 18:50 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-05-26 14:51 317,440 --a------ C:\WINDOWS\system32\RegistryCleanerSetup.exe
2007-05-26 14:46 60,574 --a------ C:\WINDOWS\system32\xpdt.sys
2007-05-26 14:46 48,128 --a------ C:\stmjv.exe
2007-05-26 14:46 30,720 --a------ C:\WINDOWS\system32\ipmon.exe
2007-05-26 14:46 1,536 --a------ C:\nkve.exe
2007-05-26 14:24 <KANSIO> d-------- C:\Program Files\Plusthatrule
2007-05-26 14:24 <KANSIO> d-------- C:\DOCUME~1\Jani\APPLIC~1\Plusthatrule
2007-05-26 14:24 <KANSIO> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\glue proc info clock
2007-05-25 02:13 <KANSIO> d-------- C:\DOCUME~1\Jani\APPLIC~1\Publish Providers
2007-05-25 02:04 <KANSIO> d-------- C:\DOCUME~1\Jani\APPLIC~1\Sony
2007-05-25 02:03 33,340 --------- C:\WINDOWS\system32\dbmsqlgc.dll
2007-05-25 02:03 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-05-25 02:03 24,576 --------- C:\WINDOWS\system32\dbmsgnet.dll
2007-05-25 02:03 <KANSIO> d-------- C:\Program Files\Microsoft SQL Server
2007-05-25 02:03 <KANSIO> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony
2007-05-25 02:02 <KANSIO> d-------- C:\Program Files\Vstplugins
2007-05-25 01:40 <KANSIO> d-------- C:\Program Files\Common Files\Adobe Systems Shared
2007-05-25 01:40 <KANSIO> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe Systems
2007-05-22 07:08 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-05-04 22:30 <KANSIO> d-------- C:\Program Files\CyberLink
2007-05-04 22:30 <KANSIO> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
2007-05-02 18:08 <KANSIO> d-------- C:\DOCUME~1\Jani\APPLIC~1\teamspeak2


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-26 11:21:01 -------- d-----w C:\DOCUME~1\Jani\APPLIC~1\LimeWire
2007-05-24 23:03:27 83,516 ----a-w C:\WINDOWS\system32\perfc00B.dat
2007-05-24 23:03:27 393,762 ----a-w C:\WINDOWS\system32\perfh00B.dat
2007-05-22 21:41:31 1,471 ----a-w C:\WINDOWS\mozver.dat
2007-05-22 03:36:19 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-12 17:42:09 -------- d-----w C:\Program Files\Vietcong
2007-04-06 22:31:21 -------- d-----w C:\DOCUME~1\Jani\APPLIC~1\uTorrent
2007-04-06 20:20:59 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll
2007-03-31 20:01:25 -------- d-----w C:\DOCUME~1\Jani\APPLIC~1\dvdcss
2007-03-31 17:46:48 -------- d-----w C:\DOCUME~1\Jani\APPLIC~1\MyPhoneExplorer
2007-03-30 10:03:27 -------- d-----w C:\DOCUME~1\Jani\APPLIC~1\Lavasoft
2007-03-29 16:08:27 -------- d-----w C:\DOCUME~1\Jani\APPLIC~1\Talkback
2007-03-29 14:22:03 -------- d-----w C:\DOCUME~1\Jani\APPLIC~1\BSplayer
2007-03-25 12:53:40 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2007-03-24 21:43:45 335 ----a-w C:\WINDOWS\mozregistry.dat
2007-03-23 11:06:49 64,393,944 ----a-w C:\Program Files\93.71_forceware_winxp2k_international_whql.exe
2007-03-23 10:09:58 0 ----a-w C:\WINDOWS\nsreg.dat
2007-03-23 08:26:59 0 --sha-r C:\MSDOS.SYS
2007-03-23 08:26:59 0 --sha-r C:\IO.SYS
2007-03-23 08:26:59 0 ----a-w C:\CONFIG.SYS
2007-03-23 08:26:59 0 ----a-w C:\AUTOEXEC.BAT
2007-03-23 08:24:11 21,672 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2007-03-17 13:44:51 292,864 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-16 03:55:58 40,960 ----a-w C:\WINDOWS\system32\frapsvid.dll
2007-03-08 15:38:00 578,048 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:37:59 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:37:59 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:34:26 1,843,840 ----a-w C:\WINDOWS\system32\win32k.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{0777FDE1-50AB-4E2F-8DC8-23548E111F93}=C:\WINDOWS\system32\fccbxur.dll []
{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=D:\Bitcomet\tools\BitCometBHO_1.1.3.28.dll [2007-03-29 17:31]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{804EBC14-8E8A-44EC-922B-16A277AF0979}=C:\WINDOWS\system32\awtqo.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALi5289"="C:\Program Files\ULI5289\ALi5289.exe" [2005-03-10 15:56]
"SoundMan"="SOUNDMAN.EXE" []
"nwiz"="nwiz.exe" [2006-10-22 13:22 C:\WINDOWS\system32\nwiz.exe]
"CnxDslTaskBar"="C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe" [2002-07-24 14:48]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" []
"Info Clock Flap Amok"="C:\Documents and Settings\All Users\Application Data\glue proc info clock\skip meow.exe" [2007-05-26 14:24]
"ipmon"="ipmon.exe" [2007-05-26 14:46 C:\WINDOWS\system32\ipmon.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-09-14 17:12]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-10-13 19:24]
"Steam"="d:\steam\steam.exe" [2007-03-25 19:33]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0777FDE1-50AB-4E2F-8DC8-23548E111F93}"="C:\WINDOWS\system32\fccbxur.dll" []


Contents of the 'Scheduled Tasks' folder
2007-05-27 09:00:00 C:\WINDOWS\tasks\AAD94DBA91AAC1E6.job

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-27 12:33:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-27 12:34:11 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-05-27 12:34

--- E O F ---
---------------------------------------------------------------------
NoLop:



NoLop! Log by Skate_Punk_21

Fix running from: C:\Documents and Settings\Jani\Työpöytä
[27.5.2007]
[12:36:26]

---Infection Files Found/Removed---
C:\WINDOWS\tasks\AAD94DBA91AAC1E6.job

Beginning Removal...
Rebooting...
Removing Lop's Leftover Files/Folders...
Editing Registry...
**Fix Complete!**

---Listing AppData sub directories---

C:\Documents and Settings\All Users\Application Data\Adobe
C:\Documents and Settings\All Users\Application Data\Adobe Systems
C:\Documents and Settings\All Users\Application Data\Cyberlink
C:\Documents and Settings\All Users\Application Data\Glue Proc Info Clock
C:\Documents and Settings\All Users\Application Data\Microsoft
C:\Documents and Settings\All Users\Application Data\Nvidia
C:\Documents and Settings\All Users\Application Data\Sony
C:\Documents and Settings\All Users\Application Data\Temp -- EMPTY Directory
C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
C:\Documents and Settings\Default User\Application Data\Microsoft
C:\Documents and Settings\Jani\Application Data\Adobe
C:\Documents and Settings\Jani\Application Data\Ahead
C:\Documents and Settings\Jani\Application Data\Bsplayer
C:\Documents and Settings\Jani\Application Data\Bsplayer Pro
C:\Documents and Settings\Jani\Application Data\Dvdcss
C:\Documents and Settings\Jani\Application Data\F-secure
C:\Documents and Settings\Jani\Application Data\Identities
C:\Documents and Settings\Jani\Application Data\Ispnews
C:\Documents and Settings\Jani\Application Data\Lavasoft
C:\Documents and Settings\Jani\Application Data\Limewire
C:\Documents and Settings\Jani\Application Data\Macromedia
C:\Documents and Settings\Jani\Application Data\Microsoft
C:\Documents and Settings\Jani\Application Data\Mozilla
C:\Documents and Settings\Jani\Application Data\Myphoneexplorer
C:\Documents and Settings\Jani\Application Data\Opera
C:\Documents and Settings\Jani\Application Data\Pex
C:\Documents and Settings\Jani\Application Data\Plusthatrule
C:\Documents and Settings\Jani\Application Data\Publish Providers -- EMPTY Directory
C:\Documents and Settings\Jani\Application Data\Sony
C:\Documents and Settings\Jani\Application Data\Sun
C:\Documents and Settings\Jani\Application Data\Talkback
C:\Documents and Settings\Jani\Application Data\Teamspeak2
C:\Documents and Settings\Jani\Application Data\Utorrent
C:\Documents and Settings\Jani\Application Data\Vlc
C:\Documents and Settings\Jani\Application Data\Winrar -- EMPTY Directory
C:\Documents and Settings\Localservice\Application Data\Microsoft
C:\Documents and Settings\Networkservice\Application Data\Microsoft



Ja tässä lopullinen HIJACKTHIS loki:


Logfile of HijackThis v1.99.1
Scan saved at 12:43:32, on 27.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ULI5289\ALi5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ipmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ipmon.exe
D:\steam\steam.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
D:\MOZILLA\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Jani\Työpöytä\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0777FDE1-50AB-4E2F-8DC8-23548E111F93} - C:\WINDOWS\system32\fccbxur.dll (file missing)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Bitcomet\tools\BitCometBHO_1.1.3.28.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {804EBC14-8E8A-44EC-922B-16A277AF0979} - C:\WINDOWS\system32\awtqo.dll (file missing)
O4 - HKLM\..\Run: [ALi5289] C:\Program Files\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Info Clock Flap Amok] C:\Documents and Settings\All Users\Application Data\glue proc info clock\skip meow.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: NoLop.exe
O8 - Extra context menu item: Download all links using BitComet - res://D:\Bitcomet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://D:\Bitcomet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://D:\Bitcomet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174641095828
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--------------------------------------------------------------------


se punanen pallukka "spyware?" esiintyy vielkun tuolla tehtäväpalkis siin on sellanen valkonen ruksipäällä, ei ole kuitenkaanm ikään suojausvaroitus, vaan ihan spyware infection kun laittaa nuolen sen päälle. En tiiä sit onko mitään viruksii poistunu ohjeitten avulla, olen kaiken tehnyt juuri ohjeittesi mukaan.

kiitos vielä avusta. hienoa kun sun kaltasii ihmisiä löytyy. mut jos on viel jotain ideoita ton spain poistoon niin mailaile takas

 

Avaa hijackthis merkkaa seuraavat rivi(t) ja paina fix checked, sulje muut ohjelmat siksi aikaa.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {0777FDE1-50AB-4E2F-8DC8-23548E111F93} - C:\WINDOWS\system32\fccbxur.dll (file missing)
O2 - BHO: (no name) - {804EBC14-8E8A-44EC-922B-16A277AF0979} - C:\WINDOWS\system32\awtqo.dll (file missing)
O4 - HKLM\..\Run: [Info Clock Flap Amok] C:\Documents and Settings\All Users\Application Data\glue proc info clock\skip meow.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - Global Startup: NoLop.exe

Tässä ohje miten merkataan:


========

Poista tää kansio

C:\Documents and Settings\All Users\Application Data\glue proc info clock

Tää tiedosto C:\WINDOWS\system32\ipmon.exe
C:\WINDOWS\system32\awtqo.dll

Laita piilotiedostot näkyviin ja poiston jälkeen piiloon takaisin


======

Lataa ATF Cleaner
http://www.atribune.org/ccount/click.php?id=1

Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman. Main:n alla valitse: Select All
Klikkaa Empty Selected valintaa.
Jos käytät FireFoxia selaimenasi Klikkaa Firefox yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Jos käytät Operaa selaimenasi Klikkaa Opera yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa taas.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Klikkaa Exit päävalikosta sulkeaksesi ohjelman.
Teknistä tukea tulee jos tupla-klikkaat sähköpostiosoitetta joka sijaitsee jokaisen menun alapuolella kyseisessä työkalussa. (Huomatkaa että se tuki on sitten englanniksi)

========

Lataa RustBFix by ejvindh jommastakummasta linkistä ja tallenna se työpöydällesi:
rustbfix.exe
rustbfix.exe

Tuplaklikkaa tiedostoa rustbfix.exe. Jos löytyy Rustock.b-infektio, sinua pyydetään pian käynnistämään kone uudelleen. Uudelleenkäynnistyminen saattaa kestää hetken ja joudut ehkä käynnistämään koneen vielä toisenkin kerran. Kaikki tämä tapahtuu automaattisesti. Uudelleenkäynnistyksen jälkeen kaksi lokitiedostoa avautuu (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

Kopioi ja liitä nämä kaksi lokitiedostoa seuraavaan vastaukseesi uuden HijackThis lokin kera.

============

Ajetaanpas blacklightia.

Lataa ja tallenna Blacklight työpöydällesi;

Tupla-klikkaa fsbl.exe, hyväksy sopimus, klikkaa -> Scan, sitten -> Next



Näet listan kaikesta mitä löytyi. Työpöydällesi myös ilmestyy loki jonka nimi on fsbl.xxxxxxx.log (xxxxxxx;n tilalla on luultavimmin numeroita).

Kopioi ja liitä tämä loki seuraavaan vastaukseesi. Älä valitse "Rename" optiota vielä! Haluamme nähdä login ensin, koska hyviä tiedostoja saattaa olla mukana, kuten "wbemtest.exe".

==========

Lataa Dr.Web CureIt työpöydälle:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

[*]Tuplaklikkaa drweb-cureit.exe ja anna sen tehdä express scan
[*]Se skannaa käynnissä olevat ohjelmat ja jos jotain löytyy, klikkaa yes kun se kysyy haluatko poistaa sen. Tämä on vain lyhyt scan.
[*]Kun scan on valmis, merkkaa asemat, jotka haluat scannata.
[*]Valitse kaikki asemat. Punainen piste osoittaa, mitkä asemat on valittu.
[*]Klikaa vihreää nuolta oikealla ja scan alkaa.
[*]Klikkaa 'Yes to all', jos kysytään haluatko poistaa/siirtää tiedoston.
[*]Kun scan on valmis, katso voitko klikata next-kuvaketta löytyneiden tiedostojen vieressä:
[*]Jos asia on niin, klikkaa sitä ja sitten klikkaa next-kuvaketta oikealla alhaalla ja valitse Move incurable kuten alla olevalla kuvassa:

Tämä siirtää sen %userprofile%\DoctorWeb\quarantine-hakemistoon.
[*]Tämän jälkeen klikkaa Dr.Web CureIt-valikossa file ja valitse save report list
[*]Tallenna raportti työpöydälle. Raportin nimi on DrWeb.csv
[*]Sulje Dr.Web Cureit.
[*]Käynnistä kone uudelleen !! Tämä siksi, että käytössä olevat tiedostot poistetaan/siirretään käynnistyksen yhteydessä.
[*]Käynnistyksen jälkeen liitä Dr.Web-lokin, jonka tallensit aiemmin, sisältö seuraavaan vastaukseesi.

 

Turhaa putsaamista kun ei koneella vieläkään ole palomuuria eikä virusohjelmaa

 

Taitaa Hujo olla tuo Rootkit, estää, eli pitää se puhistaa ensiks

 

niipä se tuolla rookitia huutelee mutta eipä tuo käyttäjä ole edes kertonut että onko siinä virusohjelman ja palomuurin asennuksessa vaikeuksia

 

Faktahan on, että virustorjunta ja palomuuri pitäisi asentaa saastuneeseen koneeseen siinä vaiheessa kun suurimmat pöpöt on saatu pois. Eli Hujo on täysin oikeassa.

 

Jees, näinhän se asia on, sitähän Hujo tuossa aluksi jo ehdotti ja minä vastasin "tee sitten tämä", eli niiden asentamisen jälkeen tuo. AIMKilla ei ole kommentoinut asiaa millään tavalla:

1. Hän ei pysty asentamaan ko. ohjelmia.
2. Hän ei jostain syystä halua asentaa.

Jos syynä on 2. kohta niin jokainen tavallaan, jos 1. kohta niin sitä tutkitaan parhaillaan.

Joten AIMKilla olisi todellakin suositeltavaa että asentaisit sen virustorjunnan ja palomuurin.

 

ensiksi, kiitos taas näistä neuvoista. f-secure ennen oli mutta nyt ei ole olut mitään muutakun windowsin oma palomuuri.(OMA MOKA) kokeilen tiistaina näitä apuja taas ja laitan lokit, toivon että voisit vastailla silloin takas.

 

Jep, vastaan silloin

 

ja jos voisitte kertoa hyvän virusturvaohjelman ja palomuurin, jos tämä windowsin pm ei kelpaa.

 

antivir on paras virustorjunta(ilmanen), zonealarm helppo ilmanen palomuuri.

 

auttaja, tässä koneessa on todella sinulle haastetta. tein kaiken ton mitä käskit ja ajoin koneen drweb ei löytäny mitään.

enkä pystynyt poistaa tätä: C:\WINDOWS\system32\ipmon.exe


kun taas näitä ei löytynyt:

C:\Documents and Settings\All Users\Application Data\glue proc info clock

Tää tiedosto
C:\WINDOWS\system32\awtqo.dll

tässä nyt on hijackthis loki vielä nyt














Logfile of HijackThis v1.99.1
Scan saved at 18:20:55, on 29.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ULI5289\ALi5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ipmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\progra~1\intern~1\iexplore.exe
D:\MOZILLA\MOZILL~1\FIREFOX.EXE
D:\mIRC\mirc.exe
C:\WINDOWS\system32\ipmon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\AntiVir Workstation\sched.exe
C:\Program Files\AntiVir Workstation\avesvc.exe
C:\Program Files\AntiVir Workstation\avguard.exe
C:\Program Files\AntiVir Workstation\avgnt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\AntiVir Workstation\avcenter.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Documents and Settings\Jani\Työpöytä\scanner.exe.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Bitcomet\tools\BitCometBHO_1.1.3.28.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ALi5289] C:\Program Files\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir Workstation\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Download all links using BitComet - res://D:\Bitcomet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://D:\Bitcomet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://D:\Bitcomet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174641095828
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\AntiVir Workstation\avmailc.exe
O23 - Service: AntiVir Windows Workstation Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir Workstation\sched.exe
O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir Workstation\avguard.exe
O23 - Service: AntiVir Windows Workstation MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\AntiVir Workstation\avesvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe






ongelmia on vielä sen punasen pallukan kaas. olen nyt asentanut ton zonealaram ja antivir. koitan niillä vielä hakea virusta.

 

scannaa hjt:llä merkkaa paina fix checked

O4 - HKLM\..\Run: [ipmon] ipmon.exe


====================

Lataa SmitfraudFix (c) S!Ri http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Pura sisältö (kansio nimeltä SmitfraudFix) työpöydällesi:

Avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi.

Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.

 

latasin antvir ja poistin sillä kaiken mitä tuli vastaan, jossain vaihees se punanen pallukkakin katos ja nyt oletan että koneeni on PUHDAS tässä vielä Hijackloki jota voisitta vielä Tsekata.
























Logfile of HijackThis v1.99.1
Scan saved at 19:02:02, on 29.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir Workstation\avguard.exe
C:\Program Files\AntiVir Workstation\sched.exe
C:\Program Files\AntiVir Workstation\avesvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ULI5289\ALi5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\AntiVir Workstation\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Jani\Työpöytä\scanner.exe.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Bitcomet\tools\BitCometBHO_1.1.3.28.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ALi5289] C:\Program Files\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\A-Link\RoadRunner 32\CnxDslTb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir Workstation\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Download all links using BitComet - res://D:\Bitcomet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://D:\Bitcomet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://D:\Bitcomet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174641095828
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\AntiVir Workstation\avmailc.exe
O23 - Service: AntiVir Windows Workstation Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir Workstation\sched.exe
O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir Workstation\avguard.exe
O23 - Service: AntiVir Windows Workstation MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\AntiVir Workstation\avesvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Laita toi SmitfraudFix raportti

 

EDIT: poistin ton Ipmon.exe

näyttääkö muuten hyvältä nyt ?