Virukset juuri poistettu, vielä puskee takas

Eli tossa muutama päivä sitten saatiin kaikki virukset poistettua koneelta, nyt alkanut taas noita viruksia puskemaan tonne C:\System Volume Information kansioon, nimellä AXXXXXXX.exe (X:t tiettyjä jotain numeroita). AntiVir huomannut ne, aina niiden sinne kansioon ilmestyessä. Huomannu että kone alkanu tän myötä myös välillä lagimaan, ja kovo raksuttaa välillä idlessäkin. Tässä HJT-logi.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:41, on 12.6.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\program files\steam\steam.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\Globe Software\StatBar\StatBar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Avaa uuteen etuvälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/230?5c2d5a97a091453e8db44cba91fe7d67
O8 - Extra context menu item: Avaa uuteen taustavälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/229?5c2d5a97a091453e8db44cba91fe7d67
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - blank (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Documents and Settings\Janne\Työpöytä\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Messengerin jaettavien kansioiden USN Journal -lokin lukupalvelu (usnjsvc) - Unknown owner - C:\Program Files\MSN Messenger\usnsvc.exe (file missing)

--
End of file - 6804 bytes

 

Ja viel sellanen juttu et Malwarebytes, jolla noi virukset viimeks löyty ja sai poistettua, ei enää löydä niitä. Eli mitä pitäs tehdä?

 

Javan päivitys ja välimuistin tyhjennys:

1. Klikkaa Käynnistä -> Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.
2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
Niissä pitäisi olla seuraava kuva vieressä:

3. Valitse kaikki entiset Java versiosi ja valitse Poista.
4. Asenna uusin Java päivitys seuraavasta linkistä..
5. Käynnistä kone uudelleen asennuksen jälkeen:

http://java.sun.com/javase/downloads/index.jsp

Rullaa alas kohteeseen Java Runtime Environment (JRE) 6u6

Paina Download

Ruksaa Accept, ota offline installation, tallenna vaikka työpöydälle ja asenna se.

6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).

7. General Settings -osion alla, vedä liukusäädintä (Disk Space) pienemmälle, ja klikkaa Delete Files -nappia.

(Jotkut javapohjaiset ohjelmat saattavat tarvita enemmän levytilaa.
Jos huomaat säädön pienentämisen jälkeen koneessa hitautta, siirrä liukusäädintä isommalle).

8. Varmista että kaikki kaksi valintaa ovat rastitettuja:

*Applications and Applets

*Trace and Log Files

Ja paina OK -nappia

9. Klikkaa OK "Temporary Files Settings" -ikkunassasi.

10. Klikkaa OK jättääksesi Java asetusikkunasi.

=============

1.Lataa combofix.exe työpöydällesi yhdestä linkistä:
combofix1
combofix2

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

 

Okei, eli laskin sitä vipua Java asetuksissa 1000MB:stä 700MB:hen, isken sit isommaks jos rupee tökkimään kone. Sit sen jälkee ajoin ComboFixin, täs sen jättämä logi.

ComboFix 08-06-03.4 - Janne 2008-06-13 1:28:23.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1035.18.1586 [GMT 3:00]
Running from: C:\Documents and Settings\Janne\Työpöytä\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((( Tiedostot, jotka on luotu seuraavalla aikavälillä: 2008-05-12 to 2008-06-12 )))))))))))))))))
.

2008-06-13 01:18 . 2008-06-13 01:18 <KANSIO> d-------- C:\Program Files\Java
2008-06-13 01:18 . 2008-06-13 01:18 <KANSIO> d-------- C:\Program Files\Common Files\Java
2008-06-13 01:18 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-06-11 11:37 . 2008-04-14 18:52 272,128 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 18:18 . 2008-06-11 11:46 <KANSIO> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-09 18:18 . 2008-06-09 18:18 <KANSIO> d-------- C:\Documents and Settings\Janne\Application Data\Malwarebytes
2008-06-09 18:18 . 2008-06-09 18:18 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-09 18:18 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-09 18:18 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-09 15:17 . 2008-06-13 01:29 <KANSIO> d-------- C:\Program Files\mIRC
2008-06-02 11:13 . 2008-06-02 11:36 <KANSIO> d--h----- C:\WINDOWS\$AVG8.VAULT$
2008-06-01 22:00 . 2008-06-01 22:00 <KANSIO> d-------- C:\Documents and Settings\Janne\Application Data\Grisoft
2008-06-01 21:59 . 2008-06-01 21:59 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-06-01 21:59 . 2007-05-30 15:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-06-01 19:43 . 2008-06-02 12:14 345 --ahs---- C:\WINDOWS\system32\qAdLRqru.ini
2008-06-01 19:24 . 2008-06-09 22:12 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-06-01 15:43 . 2008-06-01 15:47 345 --ahs---- C:\WINDOWS\system32\GPoqYcdd.ini
2008-06-01 13:59 . 2008-06-01 14:22 345 --ahs---- C:\WINDOWS\system32\StEfOUvw.ini
2008-06-01 00:59 . 2006-06-08 21:23 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Verkkoympäristö
2008-06-01 00:59 . 2006-06-08 21:23 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Verkkoympäristö
2008-06-01 00:59 . 2006-06-08 21:23 <KANSIO> d-------- C:\Documents and Settings\Järjestelmänvalvoja\Työpöytä
2008-06-01 00:59 . 2006-06-08 21:23 <KANSIO> d-------- C:\Documents and Settings\Järjestelmänvalvoja\Työpöytä
2008-06-01 00:59 . 2006-06-08 21:23 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Tulostinympäristö
2008-06-01 00:59 . 2006-06-08 21:23 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Tulostinympäristö
2008-06-01 00:59 . 2006-06-08 21:23 <KANSIO> d-------- C:\Documents and Settings\Järjestelmänvalvoja\Suosikit
2008-06-01 00:59 . 2006-06-08 21:23 <KANSIO> d-------- C:\Documents and Settings\Järjestelmänvalvoja\Suosikit
2008-06-01 00:59 . 2006-06-08 18:28 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Mallit
2008-06-01 00:59 . 2006-06-08 18:28 <KANSIO> d--h----- C:\Documents and Settings\Järjestelmänvalvoja\Mallit
2008-06-01 00:59 . 2006-06-08 21:23 <KANSIO> dr------- C:\Documents and Settings\Järjestelmänvalvoja\Käynnistä-valikko
2008-06-01 00:59 . 2006-06-08 21:23 <KANSIO> dr------- C:\Documents and Settings\Järjestelmänvalvoja\Käynnistä-valikko
2008-06-01 00:59 . 2008-06-01 00:59 <KANSIO> d-------- C:\Documents and Settings\Järjestelmänvalvoja
2008-05-31 23:38 . 2008-05-31 23:38 <KANSIO> d-------- C:\Program Files\Avast!
2008-05-31 23:21 . 2008-05-31 23:21 <KANSIO> d-------- C:\Program Files\Trend Micro
2008-05-31 15:37 . 2008-05-31 15:37 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-05-31 14:16 . 2008-06-01 13:17 345 --ahs---- C:\WINDOWS\system32\IOqtsBeg.ini
2008-05-18 17:51 . 2008-05-18 17:51 624,416 --a------ C:\Documents and Settings\hamachi.exe
2008-05-18 17:51 . 2008-05-18 17:51 149,800 --a------ C:\Documents and Settings\uninstall.exe
2008-05-18 17:51 . 2008-05-18 17:51 43,420 --a------ C:\Documents and Settings\hamachi.lng
2008-05-18 17:51 . 2008-05-18 17:51 3,744 --a------ C:\Documents and Settings\hamachi.ttf
2008-05-18 17:51 . 2008-05-18 17:51 1,322 --a------ C:\Documents and Settings\uninstall.lng
2008-05-18 17:51 . 2008-05-18 17:51 264 --a------ C:\Documents and Settings\hamachi.key
2008-05-12 22:06 . 2008-05-12 22:06 <KANSIO> d-------- C:\Program Files\SmartFTP Client 3.0 Setup Files

.
(((((((((((((((((((((((((((((((((((( Find3M-raportti ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-12 22:21 --------- d-----w C:\Program Files\Steam
2008-06-10 13:34 --------- d-----w C:\Program Files\EA SPORTS
2008-06-09 16:52 --------- d-----w C:\Program Files\mIRC2
2008-06-04 22:16 --------- d-----w C:\Documents and Settings\Janne\Application Data\uTorrent
2008-06-02 10:15 --------- d-----w C:\Program Files\MSN Messenger
2008-06-01 10:46 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-01 10:46 --------- d-----w C:\Program Files\GameFace Messenger
2008-06-01 10:46 --------- d-----w C:\Program Files\ASUS
2008-05-19 20:07 --------- d-----w C:\Documents and Settings\Janne\Application Data\Hamachi
2008-05-12 19:06 --------- d-----w C:\Program Files\SmartFTP Client
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 13:44 --------- d-----w C:\Documents and Settings\Janne\Application Data\SmartFTP
2008-05-07 05:15 1,288,192 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-03 19:38 --------- d-----w C:\Program Files\uTorrent
2008-04-21 07:02 659,456 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-16 13:24 --------- d-----w C:\Documents and Settings\Janne\Application Data\LimeWire
2008-04-14 15:52 272,128 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-03-26 05:33 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-03-26 05:33 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-03-26 05:33 22,328 ----a-w C:\Documents and Settings\Janne\Application Data\PnkBstrK.sys
2008-03-26 05:33 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 166,688 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys
2007-11-20 15:52 290 ----a-w C:\Documents and Settings\Hamachi\uninstall.dat
2007-11-20 15:50 622,880 ----a-w C:\Documents and Settings\Hamachi\hamachi.exe
2007-11-20 15:50 29,760 ----a-w C:\Documents and Settings\Hamachi\nicmgr.exe
2007-11-20 15:50 149,288 ----a-w C:\Documents and Settings\Hamachi\uninstall.exe
.

((((((((((((((((((((((((((((( snapshot@2008-06-05_ 0.04.04.18 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-04 20:59:57 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-12 22:21:16 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-14 15:52:59 272,128 ------w C:\WINDOWS\Driver Cache\i386\bthport.sys
- 2008-02-16 09:02:36 1,023,488 ----a-w C:\WINDOWS\system32\browseui.dll
+ 2008-04-21 07:02:46 1,023,488 ----a-w C:\WINDOWS\system32\browseui.dll
- 2008-02-16 09:02:36 151,552 ----a-w C:\WINDOWS\system32\cdfview.dll
+ 2008-04-21 07:02:46 151,552 ----a-w C:\WINDOWS\system32\cdfview.dll
- 2008-02-16 09:02:37 1,055,232 ----a-w C:\WINDOWS\system32\danim.dll
+ 2008-04-21 07:02:47 1,055,232 ----a-w C:\WINDOWS\system32\danim.dll
- 2008-02-16 09:02:36 1,023,488 -c--a-w C:\WINDOWS\system32\dllcache\browseui.dll
+ 2008-04-21 07:02:46 1,023,488 -c--a-w C:\WINDOWS\system32\dllcache\browseui.dll
- 2008-02-16 09:02:36 151,552 -c--a-w C:\WINDOWS\system32\dllcache\cdfview.dll
+ 2008-04-21 07:02:46 151,552 -c--a-w C:\WINDOWS\system32\dllcache\cdfview.dll
- 2008-02-16 09:02:37 1,055,232 -c--a-w C:\WINDOWS\system32\dllcache\danim.dll
+ 2008-04-21 07:02:47 1,055,232 -c--a-w C:\WINDOWS\system32\dllcache\danim.dll
- 2008-02-16 09:02:37 357,888 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
+ 2008-04-21 07:02:47 357,888 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
- 2008-02-16 09:02:37 205,312 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
+ 2008-04-21 07:02:47 205,312 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
- 2008-02-16 09:02:37 55,808 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll
+ 2008-04-21 07:02:47 55,808 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll
- 2008-02-15 09:23:37 18,432 -c--a-w C:\WINDOWS\system32\dllcache\iedw.exe
+ 2008-04-17 10:52:54 18,432 -c--a-w C:\WINDOWS\system32\dllcache\iedw.exe
- 2008-02-16 09:02:38 250,880 -c--a-w C:\WINDOWS\system32\dllcache\iepeers.dll
+ 2008-04-21 07:02:47 250,880 -c--a-w C:\WINDOWS\system32\dllcache\iepeers.dll
- 2008-02-16 09:02:38 96,256 -c--a-w C:\WINDOWS\system32\dllcache\inseng.dll
+ 2008-04-21 07:02:47 96,256 -c--a-w C:\WINDOWS\system32\dllcache\inseng.dll
- 2008-02-16 09:02:38 16,384 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
+ 2008-04-21 07:02:47 16,384 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
- 2008-02-16 22:32:40 3,080,704 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll
+ 2008-04-21 07:02:49 3,080,704 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll
- 2008-02-16 09:02:39 449,024 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
+ 2008-04-21 07:02:49 449,024 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
- 2008-02-16 09:02:39 146,432 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll
+ 2008-04-21 07:02:49 146,432 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll
- 2008-02-16 09:02:39 532,480 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll
+ 2008-04-21 07:02:50 532,480 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll
- 2008-02-16 09:02:39 39,424 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
+ 2008-04-21 07:02:50 39,424 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
- 2007-10-29 22:43:51 1,288,192 -c--a-w C:\WINDOWS\system32\dllcache\quartz.dll
+ 2008-05-07 05:15:43 1,288,192 -c--a-w C:\WINDOWS\system32\dllcache\quartz.dll
- 2006-07-13 08:48:58 202,240 -c--a-w C:\WINDOWS\system32\dllcache\rmcast.sys
+ 2008-05-08 12:28:49 202,752 -c--a-w C:\WINDOWS\system32\dllcache\rmcast.sys
- 2008-02-16 09:02:41 1,494,016 -c--a-w C:\WINDOWS\system32\dllcache\shdocvw.dll
+ 2008-04-21 07:02:51 1,494,016 -c--a-w C:\WINDOWS\system32\dllcache\shdocvw.dll
- 2008-02-16 09:02:41 474,112 -c--a-w C:\WINDOWS\system32\dllcache\shlwapi.dll
+ 2008-04-21 07:02:51 474,112 -c--a-w C:\WINDOWS\system32\dllcache\shlwapi.dll
- 2008-02-16 09:02:41 616,448 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll
+ 2008-04-21 07:02:52 616,448 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll
- 2008-02-16 09:02:42 659,456 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll
+ 2008-04-21 07:02:52 659,456 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll
- 2008-02-16 09:02:37 357,888 ----a-w C:\WINDOWS\system32\dxtmsft.dll
+ 2008-04-21 07:02:47 357,888 ----a-w C:\WINDOWS\system32\dxtmsft.dll
- 2008-02-16 09:02:37 205,312 ----a-w C:\WINDOWS\system32\dxtrans.dll
+ 2008-04-21 07:02:47 205,312 ----a-w C:\WINDOWS\system32\dxtrans.dll
- 2008-02-16 09:02:37 55,808 ----a-w C:\WINDOWS\system32\extmgr.dll
+ 2008-04-21 07:02:47 55,808 ----a-w C:\WINDOWS\system32\extmgr.dll
- 2008-02-16 09:02:38 250,880 ----a-w C:\WINDOWS\system32\iepeers.dll
+ 2008-04-21 07:02:47 250,880 ----a-w C:\WINDOWS\system32\iepeers.dll
- 2008-02-16 09:02:38 96,256 ----a-w C:\WINDOWS\system32\inseng.dll
+ 2008-04-21 07:02:47 96,256 ----a-w C:\WINDOWS\system32\inseng.dll
- 2006-10-11 23:35:14 49,248 ----a-w C:\WINDOWS\system32\java.exe
+ 2008-03-24 22:28:39 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2006-10-11 23:35:24 53,346 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2008-03-24 22:28:43 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
- 2006-10-12 01:10:56 127,078 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2008-03-24 23:37:01 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
- 2008-02-16 09:02:38 16,384 ----a-w C:\WINDOWS\system32\jsproxy.dll
+ 2008-04-21 07:02:47 16,384 ----a-w C:\WINDOWS\system32\jsproxy.dll
- 2008-05-09 21:35:04 16,863,864 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2008-05-29 23:35:11 17,486,968 ----a-w C:\WINDOWS\system32\MRT.exe
- 2008-02-16 22:32:40 3,080,704 ----a-w C:\WINDOWS\system32\mshtml.dll
+ 2008-04-21 07:02:49 3,080,704 ----a-w C:\WINDOWS\system32\mshtml.dll
- 2008-02-16 09:02:39 449,024 ----a-w C:\WINDOWS\system32\mshtmled.dll
+ 2008-04-21 07:02:49 449,024 ----a-w C:\WINDOWS\system32\mshtmled.dll
- 2008-02-16 09:02:39 146,432 ----a-w C:\WINDOWS\system32\msrating.dll
+ 2008-04-21 07:02:49 146,432 ----a-w C:\WINDOWS\system32\msrating.dll
- 2008-02-16 09:02:39 532,480 ----a-w C:\WINDOWS\system32\mstime.dll
+ 2008-04-21 07:02:50 532,480 ----a-w C:\WINDOWS\system32\mstime.dll
- 2008-02-16 09:02:39 39,424 ----a-w C:\WINDOWS\system32\pngfilt.dll
+ 2008-04-21 07:02:50 39,424 ----a-w C:\WINDOWS\system32\pngfilt.dll
- 2008-02-16 09:02:41 1,494,016 ----a-w C:\WINDOWS\system32\shdocvw.dll
+ 2008-04-21 07:02:51 1,494,016 ----a-w C:\WINDOWS\system32\shdocvw.dll
- 2008-02-16 09:02:41 474,112 ----a-w C:\WINDOWS\system32\shlwapi.dll
+ 2008-04-21 07:02:51 474,112 ----a-w C:\WINDOWS\system32\shlwapi.dll
- 2006-10-08 19:51:14 14,640 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 11:19:02 17,272 ------w C:\WINDOWS\system32\spmsg.dll
- 2008-02-16 09:02:41 616,448 ----a-w C:\WINDOWS\system32\urlmon.dll
+ 2008-04-21 07:02:52 616,448 ----a-w C:\WINDOWS\system32\urlmon.dll
- 2008-02-15 23:03:12 357,888 ----a-w C:\WINDOWS\system32\xpsp3res.dll
+ 2008-04-17 11:03:44 357,888 ----a-w C:\WINDOWS\system32\xpsp3res.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((((( Rekisterin käynnistyskohteet )))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Huom* Tyhjiä arvoja ja laillisia oletusarvoja ei näytetä

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-09-15 15:00 15360]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"Steam"="c:\program files\steam\steam.exe" [2008-03-28 09:23 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40 2577632]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 15:59 262401]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-09-15 15:00 15360]
"Spyware Doctor"="C:\Program Files\Spyware Doctor\swdoctor.exe" [2005-12-13 15:13 1976544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Käynnistä-valikko^Ohjelmat^Käynnistys^Adobe Reader Speed Launch.lnk]
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Käynnistä-valikko^Ohjelmat^Käynnistys^Logitech SetPoint.lnk]
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\80c4299b]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS SmartDoctor]
--a------ 2006-02-21 23:23 1073152 C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiTrayTools]
--a------ 2006-04-17 08:24 505344 C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM83f71a07]
C:\WINDOWS\system32\foixntsa.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
--a------ 2007-06-29 16:03 36864 C:\Program Files\GameSpy\Comrade\Comrade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-08-16 14:24 167368 C:\Program Files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GameFace Messenger]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Services]
--a------ 2006-02-04 04:18 253952 C:\WINDOWS\WinVNC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Update]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Update Machine]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 19:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
--a------ 2004-12-06 13:06 532480 C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 02:41 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]
--a------ 2004-12-20 18:12 131072 C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]
--a------ 2006-02-13 19:33 214648 C:\Program Files\Octoshape Streaming Services\Janne\OctoshapeClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerStrip]
--a------ 2004-02-08 02:00 617984 c:\program files\powerstrip\pstrip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryMechanic]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTunerStartupDaemon]
--a------ 2007-10-30 21:05 2650112 C:\Program Files\RivaTuner v2.06\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-11-15 13:20 77824 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
-ra------ 2006-12-18 16:34 868352 C:\Program Files\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor]
--a------ 2005-12-13 15:13 1976544 C:\Program Files\Spyware Doctor\swdoctor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start WingMan Profiler]
--a------ 2005-04-18 11:16 73728 C:\Program Files\Logitech\Profiler\lwemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSearch]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSearchWHSE]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-10-25 08:37 35328 C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows svchost]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows UDP Control]


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\WinVNC.exe"=
"C:\\Program Files\\Steam\\SteamApps\\dujez\\counter-strike\\hl.exe"=
"C:\\Program Files\\Octoshape Streaming Services\\Janne\\OctoshapeClient.exe"=
"C:\\Documents and Settings\\Hamachi\\hamachi.exe"=
"C:\\Program Files\\DC++\\DCPlusPlus.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"C:\\Documents and Settings\\hamachi.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Steam\\steam.exe"=
"C:\\Program Files\\Sierra\\Half Life\\hl.exe"=
"C:\\Program Files\\Steam\\SteamApps\\jermuz\\counter-strike\\hl.exe"=
"C:\\Program Files\\mIRC2\\mirc.exe"=
"E:\\Omat\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\Steam\\SteamApps\\cool@jippii.fi\\counter-strike source\\hl2.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\Program Files\\SmartFTP Client\\SmartFTP.exe"=
"E:\\Omat\\The All-Seeing Eye\\eye.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18036:TCP"= 18036:TCP:BitComet 18036 TCP
"18036:UDP"= 18036:UDP:BitComet 18036 UDP

R0 AmdAcpi;AmdAcpi Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\AmdAcpi.sys [2006-09-05 17:04]
R1 atitray;atitray;C:\Program Files\Ray Adams\ATI Tray Tools\atitray.sys [2006-03-01 00:55]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2006-08-07 16:17]
R2 PStrip;PStrip;C:\WINDOWS\system32\drivers\PStrip.sys [2001-07-24 03:31]
R3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys [2006-08-24 16:37]
S0 NVStrap;NVStrap;C:\WINDOWS\system32\drivers\NVStrap.sys [2007-10-30 21:05]
S1 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb32.sys [2005-10-20 17:25]
S3 avgntdd;avgntdd;C:\PROGRAM FILES\AVPERSONAL\AVGNTDD.SYS []
S3 GPU-Z;GPU-Z;C:\DOCUME~1\Janne\LOCALS~1\Temp\GPU-Z.sys []
S3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{adc6f37a-f717-11da-996e-806d6172696f}]
\Shell\AutoRun\command - D:\ASUSACPI.exe

.
'Ajoitetut tehtävät'-kansion sisältö
"2008-06-12 21:36:00 C:\WINDOWS\Tasks\Tarkistetaan Windows Live -työkalurivin päivitykset.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-13 01:30:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\vsdatant]
"ImagePath"=""
.
Completion time: 2008-06-13 1:31:14
ComboFix-quarantined-files.txt 2008-06-12 22:30:59
ComboFix2.txt 2008-06-09 16:43:31
ComboFix3.txt 2008-06-09 15:22:33

Pre-Run: 32,873,472,000 tavua vapaana
Post-Run: 32,902,778,880 tavua vapaana

316 --- E O F --- 2008-06-11 09:41:29

 

Escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.

Laita virus log tänne.

 

Tässä ne tiedot siitä eScan:in alemmasta boksista:

File C:\WINDOWS\vnc.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.333. No Action Taken.
File C:\WINDOWS\WinVNC.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.333. No Action Taken.
File C:\Documents and Settings\Janne\Omat tiedostot\Vastaanotetut tiedostot\Timsu(1).rar infected by "Trojan-Downloader.Win32.Injecter.si" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Janne\Omat tiedostot\Vastaanotetut tiedostot\Timsu.rar infected by "Trojan-Downloader.Win32.Injecter.si" Virus. Action Taken: File Deleted.
File C:\Program Files\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.621. No Action Taken.
File C:\Program Files\mIRC2\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.617. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\ckqersea.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\ctkgkjtg.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\dnlcfbun.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\evrjtjgw.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\foixntsa.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\levosgqk.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\orpnleed.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\pcbjbsox.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\sgaeluqe.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\slrrovfa.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\tohmkkme.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\varnnxxl.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\vgjmjofg.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\vtkpnixu.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\QooBox\Quarantine\C\WINDOWS\system32\xwiedehs.dll.vir tagged as not-a-virus:AdWare.Win32.Virtumonde.wpv. No Action Taken.
File C:\System Volume Information\_restore{0716243C-5BD6-4F5B-91F9-C6AA55651396}\RP1\A0000038.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.621. No Action Taken.
File C:\System Volume Information\_restore{0716243C-5BD6-4F5B-91F9-C6AA55651396}\RP1\A0000203.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.621. No Action Taken.
File C:\WINDOWS\vnc.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.333. No Action Taken.
File C:\WINDOWS\WinVNC.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.333. No Action Taken.
File E:\Musat\sat is faction.mp3 infected by "Trojan-Downloader.WMA.Wimad.n" Virus. Action Taken: File Deleted.

Tossa logissa kymmenii tuhanseja rivejä, kaatuu jo mozilla siitä ku pastee sen tähän, saati sitte ku rupee lähettää

 

Sen koko on 9Mb, eli tekstitieodostoks aika iso

 

Lataa Malwarebytes' Anti-Malware työpöydällesi.

1. Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
2. Lopuksi varmistu, että seuraavat on valittu: Update Malwarebytes', Anti-Malwareja
Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaaFinish.
3. Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
4. Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
5. Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
6. Varmistu, että kaikki on merkitty ja klikkaa Remove Selected.
7. Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki
löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application
Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
8. Lähetä lokin sisältö seuraavassa viestissäsi.

 

Mähä sanoin et Malwarebytes ei löydä niitä >.< Mut voin toki ajaa uusiks jos vaikka ny löytäs

 

Päivitä se ensin

 

Juuh, päivitin, ja ajoin sen. Ei kyllä mitää löytänyt vieläkää vaikka scannin aikana, C:\System Volume Informationissa tarkastaessa Malwarebytes ei tajunnut/löytänyt mitää mutta AntiVir valitti tietyistä kahesta tai kolmesta tiedoostosta mistä aina ennenki. Tässä se Malwarebytesin logi jos ny jotain sillä teet.

Malwarebytes' Anti-Malware 1.17
Tietokantaversio: 851

16:16:53 13.6.2008
mbam-log-6-13-2008 (16-16-53).txt

Tarkistustyyppi: Täysi tarkistus (C:\|E:\|)
Tarkistetut kohteet: 108253
Kulunut aika: 16 minute(s), 22 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 0

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
(Haitallisia kohteita ei löydetty)

 

1. Klikkaa käynnistä > Oma tietokone oikean puoleisella hiiren napilla
2. Valitse ominaisuudet
3. Valitse järjestelmän palauttaminen välilehti
4. Ruksi eteen ¤ poista järjestelmän palauttaminen kaikissa asemissa
5. Paina Käytä
6. Paina ok
7. Sammuta ja käynnistä
8. Ota ruksi pois ¤ poista järjestelmän palauttaminen kaikissa asemissa
9. Käytä ja OK

 

Tehty

 

Poista tuo kansio
C:\Program Files\Avast!

============

Kirjoita windowsin käynnistävalikon suorita-kenttään ComboFix.exe /u paina OK

===========

scannaa hjt;llä merkkaa paina Fix checked


O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - blank (file missing)
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Documents and Settings\Janne\Työpöytä\AVG Anti-Spyware 7.5\guard.exe (file missing)

======

Mene käynnistä -> suorita -> services.msc -> ok

O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Documents and Settings\Janne\Työpöytä\AVG Anti-Spyware 7.5\guard.exe (file missing)

etsi tuo service tuplalikkaa sitä laita seis
alas vetovalikosta ei käytössä
Käytä
OK

 

Okei, tehty. Btw, Toi AVG oli jo siellä listassa "Ei käytössä valmiiks" mut laitoin silti käytä->OK.

 

"Ei käytössä" valmiiks*

 

toimiikos se sulla AVG Anti-Spyware 7.5
Päivitä se ja aja vikasiedossa jos toimii
jos ei niin poista
se lisää poista sovellutuksesta ja
poista kansio

 

No jos ei oo muistis niin dban ja kaikki takas kopiolta , sanonpa et on yht juhlaa koneen toiminto , kunnes saastuu uudelleen, se nimittäin on selvää , kun noi av-yhtiöt kompastelee samassa kusessa!
On tullu nähtyä kaikenlaista ja jotkut salaa levylle niin ettei edes dban-dariks boot and nuke toimi.
Usein kun sen pistää toimimaan pari kertaa niin kaikki katoo, muista että toi vie aikaa dod3 n.5h jne.
Vistas noi mulkerot on vissiin asettaneet 10 uus asennusta rajaks,eipä varmaan tartte ajatella tuota , kun soittaa tiettyyn tv-ohjelmaan ja kysyy oikeuksia!?

 

mikaho

Jos nyt menisit formatoimaan se koneesi välillä.
Sinne on tälläkin välillä kertynyt turhaa kamaa.

 

Siis eihän mulla oo enää ees AVG Anti-Spyware:a koneella. Ainoo jälki mikä siit on, on C:\Documents And Settings\All Users\Käynnistä-valikko\Anti-Spyware 7.5. Ja sen sisällä ei oo muutaku selain tiedosto, ku avaa ni aukee joku AVG:n sivu tj.