Vittumainen virus Messengeristä- HJT-loki

Eli sain messengerin kautta viruksen joka postailee viestiä eteenpäin ja muutenkin saa koneen tilttiin..

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\acer\Acer eConsole\MediaServerService.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Jukka\Työpöytä\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tietokone.fi/softa/hakut...refox&desc=&name2=&desc2=&image.x=0&image.y=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\srydex.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [win registration] C:\WINDOWS\srydex.exe
O4 - HKLM\..\Run: [Driver] C:\WINDOWS\sum.exe
O4 - HKLM\..\RunServices: [win registration] C:\WINDOWS\srydex.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\srydex.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

Hmm että AntiVir... Kannattais kyl palomuuri hankkia jos ei ole en ainakan nähny ku pikasesti selasin. Koitapas scannata kone sil AntaViril
ja kokeile online virus scannaust http://support.f-secure.fi/fin/corporate/ols.shtml

 

ZoneAlarm mulla on käytössä
.. eikö tossa tosiaan näy mitään ylimääräistä??

 

hmm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tossa voi olla jotain kerrotko mitä tolla
http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
sivulla on?

 

@nObO2: Sillä sivulla on hotmail?

@jukkal84: Nuo fixiin:

O4 - HKLM\..\Run: [] C:\WINDOWS\srydex.exe
O4 - HKLM\..\Run: [win registration] C:\WINDOWS\srydex.exe
O4 - HKLM\..\Run: [Driver] C:\WINDOWS\sum.exe
O4 - HKLM\..\RunServices: [win registration] C:\WINDOWS\srydex.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\srydex.exe

Käynnistä vikasietotilaan ja poista:

C:\WINDOWS\srydex.exe
C:\WINDOWS\sum.exe

Käynnistä uudelleen ja lähetä uusi HjT-loki.

 

prkl etten huomannu selvää hommaa
jostain tarvis saada enemmän opetust

 

@nObO2: Veit sanat suustani

Ulkomailla on hyviä HjT-kouluja (bleepingcomputer, tomcoyote, spywareinfo jne.) Eikun sinne hakemusta.

 

hmm pitäs kokeilla ku toi ala kiinnostais

 

ootko ite käynny jonkun noist?

 

En ole noista, ulkomailla kylläkin olen käynyt. Käymäni koulu selviää allekirjoituksesta

 

ok mun täytyy joskus harkita oon vast kato 14 lol

 

Tuo ikä ei ole este, jos englanti sujuu ja kiinnostusta riittää. Samanikäisiä on valmistunut ulkomailta ja jopa nuorempiakin.

 

@nObO2: Tuo ikä ei ole este Itse olen kans 14 ja olen valmistunut suomalaisesta HjT-koulusta ja nyt käyn ulkomailla HjT-koulua.

 

Jukkal84 joko sait toimimaan? Itsellänikin samoja ongelmia http://keskustelu.afterdawn.com/thread_view.cfm/417837. Ei kukaan tiedä tarkkaan mitä pitäisi fiksata että ei lähettelis viestejä eteenpäin itsekseen messengerin kautta?

 

@marku minkä koulunkävit suomes? ei paljo huvita ulkomail lähtee

 

@nObO2: Suomen ainut HjT-koulu on virustorjunta.net:ssä, mutta sinne on pitkä jono hakijoita. Sisään pääsy saattaa kestää jonkin aikaa.
Nopeammin voisit valmistua ulkomailta

 

mul ei oo kiire. Haluun tosiaan oppii enemmän näist asioist. Kiitti!
jotain kirjallisuutta voisin hankkia.

@edit laitoin kurssille pyrkimyksen. marku2 kuinka paljon kurssilla tarvii olla et niinku riittääkö aika ku kouluki pitäs hoitaa ja miten siel niinku opiskellaan?

 

Kyllä sinä kerkiät koulun lisksi käymään siellä, suosittelen olla aktiivinen

Kurssikeskuksessa jokaisella oppilaalla on oma ketju ja niissä opetellaa fixailemaan. Näet sitten kun pääset kouluun sisään. Taitaa mennä vielä aika kauan ennenkuin pääset kouluun (2007?) Tässä ohje: Seuraa eri foorumeja mitä rivejä on fixailtu ja jne. tuosta voit oppia aika paljon.

MUTTA: Älä itse fixaile mitään!

 

ok, odottelenkin sitten sitä. Ajattelin tutustuu html ja php nyt.