trojansC.sbi ja hjt-loki

Lataa OTMoveIt
OTMoveIt ja tallenna se työpöydällesi.

Tuplaklikkaa OTMoveIt.exe.
Klikkaa CleanUp!.
Valitse Yes kun kysytään "Begin cleanup Process?".
Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse.

HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt yrittää päästä nettin, niin anna sen päästä sinne.

===============

Käynnistä suorita kirjoita luukkuun

Combofix /u


Paina Ok

 

Muuten kaikki onnistu, mutta tuota Combofix /u ei löytynyt.

 

hyvä että ei löytynyt

 

ajoin silti tuon combofixin, tässä loki:

ComboFix 08-09-20.05 - Toini & Zenkkari 2008-09-22 18:47:32.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1035.18.556 [GMT 3:00]
Sijainti: D:\Omat tiedostot\Haittaohjelma Ongelma\ComboFix.exe
* Uusi palautuspiste luotu

VAROITUS - PALAUTUSKONSOLIA EI OLE ASENNETTU !!
.

((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2008-08-22 to 2008-09-22 )))))))))))))))))
.

2008-09-22 15:29 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-18 23:55 . 2008-09-18 23:55 4,014 --a------ C:\WINDOWS\system32\PerfStringBackup.TMP
2008-09-18 23:13 . 2008-09-18 23:13 <KANSIO> d-------- C:\WINDOWS\system32\fi-fi
2008-09-18 23:13 . 2008-09-18 23:13 <KANSIO> d-------- C:\WINDOWS\system32\fi
2008-09-18 23:13 . 2008-09-18 23:13 <KANSIO> d-------- C:\WINDOWS\system32\bits
2008-09-18 23:13 . 2008-09-18 23:13 <KANSIO> d-------- C:\WINDOWS\l2schemas
2008-09-18 10:06 . 2008-04-14 19:11 276,992 --------- C:\WINDOWS\system32\wmphoto.dll
2008-09-18 10:06 . 2008-04-14 19:11 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-09-18 10:04 . 2008-04-14 19:11 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll
2008-09-18 10:03 . 2008-04-14 19:11 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-09-11 22:54 . 2008-09-11 22:55 64 --a------ C:\WINDOWS\system32\ATSYSTEM.ldb
2008-09-11 22:37 . 2008-09-18 23:36 <KANSIO> d-------- C:\Program Files\ATHY-CD
2008-09-03 20:30 . 2008-09-03 20:30 <KANSIO> d-------- C:\Program Files\ffdshow
2008-09-03 20:30 . 2006-08-16 12:00 6,144 --a------ C:\WINDOWS\system32\ff_vfw.dll
2008-09-03 20:30 . 2006-08-16 12:00 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 15:34 --------- d-----w C:\Documents and Settings\Toini & Zenkkari\Application Data\uTorrent
2008-09-22 15:19 --------- d-----w C:\Program Files\DC++
2008-09-22 12:29 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-09-18 20:52 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd7245.sys
2008-09-18 20:22 --------- d-----w C:\Program Files\Bonjour
2008-09-18 13:39 --------- d-----w C:\Program Files\Euroword2004
2008-09-09 21:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-09-08 11:48 --------- d-----w C:\Documents and Settings\Toini & Zenkkari\Application Data\Skype
2008-08-31 09:49 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-08-14 17:43 --------- d-----w C:\Program Files\Apple Software Update
2008-08-14 17:39 --------- d-----w C:\Program Files\iTunes
2008-08-14 17:39 --------- d-----w C:\Program Files\iPod
2008-08-03 20:43 --------- d-----w C:\Program Files\Java
2008-08-03 20:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-08-03 18:22 --------- d-----w C:\Documents and Settings\Toini & Zenkkari\Application Data\Apple Computer
2008-07-24 17:43 --------- d-----w C:\Program Files\QuickTime
2008-07-18 19:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 19:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 19:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 19:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 19:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 19:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 19:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 19:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 19:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 19:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:10 666,112 ----a-w C:\WINDOWS\system32\wininet.dll
2007-01-11 22:03 87,608 ----a-w C:\Documents and Settings\Toini & Zenkkari\Application Data\ezpinst.exe
2007-01-11 22:03 47,360 ----a-w C:\Documents and Settings\Toini & Zenkkari\Application Data\pcouffin.sys
.

(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 1232896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.EXE" [2003-07-23 118833]
"F-Secure TNB"="C:\Program Files\F-Secure\TNB\TNBUtil.exe" [2003-05-09 647168]
"zBrowser Launcher"="C:\Program Files\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 86016]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 7561216]
"AppleSyncNotifier"="C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 C:\WINDOWS\LOGI_MWX.EXE]
"nwiz"="nwiz.exe" [2006-03-09 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 1232896]

C:\Documents and Settings\Toini & Zenkkari\K„ynnist„-valikko\Ohjelmat\K„ynnistys\
Yahoo! Widget Engine.lnk - C:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe [2007-07-20 2913584]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PC Suite Tray"="C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"Start WingMan Profiler"=C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2003-08-19 82144]
R2 BackWeb Client - 7681197;F-Secure Automatic Update;C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [2006-11-29 16384]
R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2003-04-30 48336]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSgk.sys [2003-05-30 40624]
R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2002-04-23 15984]
R2 MSSQL$AUTODESKVAULT;MSSQL$AUTODESKVAULT;C:\Program Files\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe [2008-05-25 9154560]
S3 SQLAgent$AUTODESKVAULT;SQLAgent$AUTODESKVAULT;C:\Program Files\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE [2005-05-03 323584]
.
'Ajoitetut tehtävät'-kansion sisältö
.
- - - - POISTETUT JÄMÄRIVIT - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
Notify-WgaLogon - (no file)


.
------- Täydentävä tarkistus -------
.
FireFox -: Profile - C:\Documents and Settings\Toini & Zenkkari\Application Data\Mozilla\Firefox\Profiles\kzey5ydh.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.mtv3.fi/
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-22 18:50:13
Windows 5.1.2600 Service Pack 3 NTFS

tarkistaa piilotettuja prosesseja ...

tarkistaa piilotettuja käynnistysarvoja ...

tarkistaa piilotettuja tiedostoja ...

tarkistus on valmis
piilotetut tiedostot: 0

**************************************************************************
.
--------------------- Prosesseihin ladatut DLLt ---------------------

PROSESSI: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
Valmistumisajankohta: 2008-09-22 18:52:44
ComboFix-quarantined-files.txt 2008-09-22 15:52:35

Ennen ajoa: 892ÿ616ÿ704 tavua vapaana
Ajon jälkeen: 1,035,714,560 tavua vapaana

146 --- E O F --- 2008-09-19 12:59:54

 

mites kone toimii

 

Kone jumitti taas. Dc++, firefox (youtube) sekä Outlook Express olivat auki. Dc++:n käynnistys aiheutti jumin tällä kertaa. Mistähän tämä mystinen juminen johtuu?

Toinen kysymys koskee Outlook Expressin kautta aukaistua linkkiä, ei avaudu Firefoxilla vaan Explorerilla (tyhjä sivu) vaikka firefox on asetettu oletukseksi. Uudestaan kun menee katsomaan "valitse käytettävät ohjelmat" niin oletuksena on "käytä nykyistä selainta".

 

Outlook Expressin kautta aukaistu linkin pitäis aueta firefoxsin uuteen välilehteen. Mahdolisesti firefoxsin asetuksista ei niin ole määrätty.

============

paljos koneessa on keskusmuistia

 

Muistia on 1Gt (2*512Mt) molemmat ddr1 400MHz. Emolevy ei tue 400-muisteja ku yhteen muistipaikkaan joten ne toimii luultaasti 333MHz-väylällä.

 

lataas tuosta
EVEREST Home Edition 2.20

Muisti tuolla kun on pelkästään päällä EVEREST Home Edition 2.20
monta prossaa on käytössä
Paljon everest väittää muistia olevan yhteensä
sitten selain auki everestillä syyni monta prossaa on käytössä.

 

Minulla on käytössä Everest ultimate edition 2005.

Muistia väittää olevan yhteensä 1023Mt.

Muita en löytänyt tuolta liittyen prosesseihin.

Muistikampoja olikin 2x256Mt + 512Mt

 

hmmmm.....

testaa se kone ota emolevy ja muisti

paljon on käytössä muistia.

siten selain auki paljon on käytössä muistia

jne.....

 

Windowsin tehtävienhallinnan kautta katoin prosessit: 61 (pelkkä everest päällä) ja 62(everest+firefox).

Muistit:
Vain everest päällä: Muistia käytössä 419Mt, vapaana 603Mt
Everest+Firefox päällä: muistia käytössä 470Mt, vapaana 553Mt

 

Aiva .. sanoi mummo kun rysäytti polkupyörällä...pusikkoon.

eli se on niin että f-secure pois koneelta ja antivir koneelle +palomuuri

================

scannaa hjt:llä merkkaa paina Fix checked

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog

 

antivir + palomuuri? Onko ehdotuksia? Hyviä sellaisia? =)

nämä merkattu ja fixattu.

 

Koneeseen lisää muistia jos emolevy antaa periksi esim 2g

Hyvistä nyt en tiiää oliskos Outpost Firewall

klik klik

 

Taitaa mennä ennemmin koko kone vaihtoon jonku ajan päästä.

 

no sitten täytyy tuolla virityksellä pärjätä

 

Jep! Täytyy päivitellä tuo F-secure pois ja palomuuri uusiksi.
Kiitos sinulle avusta!!

vielä yks kysymys. mistä johtuu, että kaikkien tiedostojen pääte näkyy niiden nimissä. esim asiakirja.doc. miten ne saa pois näkyvistä ?

 

jos kirjoittelet wordilla jotain niin niiten pääte on doc

 

Tiedän tämän =). Tarkoitin sitä, että kaikki tiedostot jota koneella on niin sen pääte näkyy, oli kyse ihan mistä tahansa tiedostosta, videosta, kuvasta, word-dokumentista, PowerPointista ym. Esim. työpöydällä näkyy: esitys.ppt, nimi.doc, video.avi. Mitenhän nuo on tuollain mennyt?