Ystävän logi

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi mawdrgn 12.08.2006.

Viestiketjun tila:
Viestiketju on suljettu.
  1. mawdrgn

    mawdrgn Regular member

    Liittynyt:
    02.01.2006
    Viestejä:
    469
    Kiitokset:
    0
    Pisteet:
    26
    Logfile of HijackThis v1.99.1
    Scan saved at 0:35:39, on 12.8.2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    F:\WINDOWS\System32\smss.exe
    F:\WINDOWS\system32\winlogon.exe
    F:\WINDOWS\system32\services.exe
    F:\WINDOWS\system32\lsass.exe
    F:\WINDOWS\System32\Ati2evxx.exe
    F:\WINDOWS\system32\svchost.exe
    F:\WINDOWS\System32\svchost.exe
    F:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
    F:\Program Files\Sygate\SPF\smc.exe
    F:\WINDOWS\system32\spoolsv.exe
    F:\Program Files\MSI\BToes Bluetooth-ohjelmisto\bin\btwdins.exe
    F:\Program Files\ewido anti-malware\ewidoctrl.exe
    F:\WINDOWS\System32\svchost.exe
    F:\WINDOWS\system32\Ati2evxx.exe
    F:\WINDOWS\Explorer.EXE
    F:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    F:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    F:\Program Files\D-Tools\daemon.exe
    F:\WINDOWS\System32\LVCOMSX.EXE
    F:\Program Files\Logitech\Video\LogiTray.exe
    F:\Program Files\Common Files\Nokia\Tools\NclTray.exe
    F:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
    F:\WINDOWS\Mixer.exe
    F:\WINDOWS\System32\ctfmon.exe
    F:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
    F:\Program Files\MSN Messenger\MsnMsgr.Exe
    F:\Program Files\Messenger\msmsgs.exe
    F:\Program Files\MSI\BToes Bluetooth-ohjelmisto\BTTray.exe
    F:\Program Files\Logitech\SetPoint\SetPoint.exe
    F:\Program Files\Logitech\Video\FxSvr2.exe
    F:\PROGRA~1\MSI\BTOESB~1\BTSTAC~1.EXE
    F:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
    F:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    F:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Arton irc\06\mIRC2\mirc.exe
    C:\Arton irc\mIRC2\mirc.exe
    F:\Program Files\Azureus\Azureus.exe
    F:\Program Files\Common Files\Real\Update_OB\realsched.exe
    F:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    F:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    F:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    F:\Program Files\foobar2000\foobar2000.exe
    D:\Juholta2\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    F2 - REG:system.ini: UserInit=userinit.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [ATICCC] "F:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [mstctd] F:\WINDOWS\System32\ndriver.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\System32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] F:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] F:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] F:\WINDOWS\update\updmgr.exe
    O4 - HKLM\..\Run: [Nokia Tray Application] F:\Program Files\Common Files\Nokia\Tools\NclTray.exe
    O4 - HKLM\..\Run: [DataLayer] F:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
    O4 - HKLM\..\Run: [Windows Configuration GUI] systemconfig32.exe
    O4 - HKLM\..\Run: [Windows Logon Application] F:\WINDOWS\System32\winIogon.exe
    O4 - HKLM\..\Run: [avgnt] "F:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Windows System File] csserv.exe
    O4 - HKLM\..\Run: [zxwin] rundll32.exe F:\WINDOWS\System32\zxwin.dll,start
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [Ifdrv] rundll32.exe F:\WINDOWS\System32\ifdrv.dll,start
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\RunServices: [Windows Configuration GUI] systemconfig32.exe
    O4 - HKLM\..\RunServices: [Windows System File] csserv.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "F:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - HKCU\..\Run: [Windows Configuration GUI] systemconfig32.exe
    O4 - HKCU\..\Run: [Windows System File] csserv.exe
    O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\RunServices: [Windows Configuration GUI] systemconfig32.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = F:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Logitech SetPoint.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Lähetä &Bluetooth-laitteeseen - F:\Program Files\MSI\BToes Bluetooth-ohjelmisto\btsendto_ie_ctx.htm
    O8 - Extra context menu item: Vie Microsoft E&xceliin - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Program Files\MSI\BToes Bluetooth-ohjelmisto\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Program Files\MSI\BToes Bluetooth-ohjelmisto\btsendto_ie.htm
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "F:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O18 - Protocol: offline-8876480 - {C52EECD1-C246-45E8-9A64-0BA055546B15} - F:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - F:\Program Files\MSI\BToes Bluetooth-ohjelmisto\bin\btwdins.exe
    O23 - Service: ewido security suite control - ewido networks - F:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: Microsoft Network Service (Network) - Unknown owner - F:\WINDOWS\msnet32.exe (file missing)
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Program Files\Sygate\SPF\smc.exe
    O23 - Service: StyleXPService - Unknown owner - F:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
    O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - F:\WINDOWS\update\updmgr.exe (file missing)
    O23 - Service: Windows System File (Win32) - Unknown owner - F:\WINDOWS\System32\csserv.exe" -netsvcs (file missing)
    O23 - Service: Win32Sr - Unknown owner - F:\WINDOWS\win32ssr.exe (file missing)
     
  2.  
  3. Jurppis

    Jurppis Regular member

    Liittynyt:
    22.02.2006
    Viestejä:
    659
    Kiitokset:
    0
    Pisteet:
    26
    Morjens mawdrgn,

    Taidatkin tietää nämä perusjutut HjT:ssä joten fiksaa nämä rivit:

    O4 - HKLM\..\Run: [mstctd] F:\WINDOWS\System32\ndriver.exe
    O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] F:\WINDOWS\update\updmgr.exe
    O4 - HKLM\..\Run: [Windows Configuration GUI] systemconfig32.exe
    O4 - HKLM\..\Run: [Windows Logon Application] F:\WINDOWS\System32\winIogon.exe
    O4 - HKLM\..\Run: [Windows System File] csserv.exe
    O4 - HKLM\..\Run: [zxwin] rundll32.exe F:\WINDOWS\System32\zxwin.dll,start
    O4 - HKLM\..\Run: [Ifdrv] rundll32.exe F:\WINDOWS\System32\ifdrv.dll,start
    O4 - HKLM\..\RunServices: [Windows Configuration GUI] systemconfig32.exe
    O4 - HKLM\..\RunServices: [Windows System File] csserv.exe
    O4 - HKCU\..\Run: [Windows Configuration GUI] systemconfig32.exe
    O4 - HKCU\..\Run: [Windows System File] csserv.exe
    O4 - HKCU\..\RunServices: [Windows Configuration GUI] systemconfig32.exe


    Sitten kopioi alla oleva teksti muistioon (notepad)

    sc stop Network
    sc stop UpdateManager
    sc stop Win32
    sc stop Win32Sr
    sc delete Network
    sc delete UpdateManager
    sc delete Win32
    sc delete Win32Sr

    Sitten paina tiedosto -> tallenna nimellä. Sieltä valitse tallennusmuodoksi kaikki tiedostot (*.*). Tallenna sitten nimellä delservices.bat jonnekkin josta löydät sen helposti.
    Kun olet tallentanut, tuplaklikkaa tiedostoa ja se on siinä.

    Päivitä Ewido klikkaamalla update kohtaa ja sieltä update now.

    Seuraavaksi mene vikasietotilaan näpyttämällä F8:a käynnistyksen yhteydessä.

    Laita piilotiedostot näkyviin:

    1.Napsauta Käynnistä-painiketta ja valitse Ohjauspaneeli.
    2.Valitse "Kansion asetukset"
    3.Siirry" Näytä välilehdelle"
    4.Valitse Näytä-välilehden Piilotetut tiedostot ja kansiot -kohdassa" Näytä piilotetut tiedostot ja kansiot."

    Poista vikasietotilassa seuraavat tiedostot...

    F:\WINDOWS\System32\->ndriver.exe
    F:\WINDOWS\System32\->systemconfig32.exe <- voi olla myös windows kansiossa
    F:\WINDOWS\System32\->winIogon.exe
    F:\WINDOWS\System32\->csserv.exe
    F:\WINDOWS\System32\->zxwin.dll
    F:\WINDOWS\System32\->ifdrv.dll
    F:\WINDOWS\->win32ssr.exe
    F:\WINDOWS\->msnet32.exe

    HUOM Ole tarkkana tiedostonimien kanssa!!!

    ...Ja tämä kansio:

    F:\WINDOWS\->update

    Tämän jälkeen skannaa ewidolla ja tallenna siitä raportti.

    Laita piiloteidostot takaisin piiloon ottamalla rasti pois kohdasta " Näytä piilotetut tiedostot ja kansiot." ja käynnistä tietokoneesi normaalisti uudelleen jotta pääsit takaisin normaalitilaan. Normaalitilassa lähetä uusi HijackThis loki sekä Ewidon raportti.
     
    Viimeksi muokattu: 12.08.2006
Viestiketjun tila:
Viestiketju on suljettu.

Jaa tämä sivu