Näköjään useammalla on samoja ongelmia. Näinköhän samoista syistä.
Todella hidas ja heittää levynkorjaus (c:n) tilaan jatkuvasti.
Olen kiitollinen avusta :)
Ja HJTlogi alla:
Logfile of HijackThis v1.99.1
Scan saved at 19:51, on 06-12-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/en/Nero_6_Reloaded.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mocrosoft Internet Explorer - Sonera
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {E22705D4-AC93-3528-75FF-4FCAE2388E92} - C:\WINDOWS\jfaae1.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [wupdate] rundll32.exe C:\WINDOWS\system32\winupdate.dll,wupdate
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
Hidastelee
16
1005
Vastaukset
- Rahina Rescue
Moi!
Tutkin HJT-Logiasi Paarasta aikaa , ohjeeni tarkistetaan ennenkö lähetän ne tänne, palaan mahdollisimman pian asiaan - Rahina Rescue
1. Lataa Combofix http://download.bleepingcomputer.com/sUBs/combofix.exe
tiedosto työpöydällesi.
2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.- Logi tässä
Veti toi Sormus niin puoleensa et viipyi hiukan :)
HkwL - 06-12-03 23:01:13.76 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Documents and Settings\HkwL\Ty”p”yt„"
((((((((((((((((((((((((((((((( Files Created from 2006-11-03 to 2006-12-03 ))))))))))))))))))))))))))))))))))
2006-12-03 19:44 d-------- C:\WINDOWS\LastGood
2006-12-03 19:35 d--hs---- C:\FOUND.018
2006-12-03 13:46 d--hs---- C:\FOUND.017
2006-12-03 13:32 d--hs---- C:\FOUND.016
2006-12-03 13:18 d--hs---- C:\FOUND.015
2006-12-03 13:04 d--hs---- C:\FOUND.014
2006-12-03 12:45 d--hs---- C:\FOUND.013
2006-12-03 00:59 d--hs---- C:\FOUND.012
2006-12-02 19:01 d--hs---- C:\FOUND.011
2006-12-02 11:33 d--hs---- C:\FOUND.010
2006-12-02 11:07 d--hs---- C:\FOUND.009
2006-12-02 10:40 d--hs---- C:\FOUND.008
2006-12-02 03:58 d--hs---- C:\FOUND.007
2006-12-02 03:44 d--hs---- C:\FOUND.006
2006-12-02 03:31 d--hs---- C:\FOUND.005
2006-12-02 03:17 d--hs---- C:\FOUND.004
2006-12-02 03:04 d--hs---- C:\FOUND.003
2006-12-01 16:59 d--hs---- C:\FOUND.002
2006-11-30 16:11 d--hs---- C:\FOUND.001
2006-11-30 12:51 d--hs---- C:\FOUND.000
2006-11-29 23:05 d-------- C:\WINDOWS\temp
2006-11-29 02:05 29,696 --a------ C:\WINDOWS\system32\528402ld.exe
2006-11-29 01:50 29,696 --a------ C:\WINDOWS\system32\50331982ld.exe
2006-11-29 01:40 29,696 --a------ C:\WINDOWS\system32\4051282ld.exe
2006-11-29 01:39 29,696 --a------ C:\WINDOWS\system32\39315542ld.exe
2006-11-29 01:38 29,696 --a------ C:\WINDOWS\system32\38351822ld.exe
2006-11-29 01:08 d-------- C:\WINDOWS\Minidump
2006-11-27 03:01 29,696 --a------ C:\WINDOWS\system32\1445992ld.exe
2006-11-27 02:41 29,696 --a------ C:\WINDOWS\system32\41235932ld.exe
2006-11-27 02:21 29,696 --a------ C:\WINDOWS\system32\2147102ld.exe
2006-11-27 02:00 29,696 --a------ C:\WINDOWS\system32\0459382ld.exe
2006-11-27 01:40 29,696 --a------ C:\WINDOWS\system32\40271352ld.exe
2006-11-27 01:20 29,696 --a------ C:\WINDOWS\system32\2085932ld.exe
2006-11-27 00:59 29,696 --a------ C:\WINDOWS\system32\59499512ld.exe
2006-11-27 00:39 29,696 --a------ C:\WINDOWS\system32\39321002ld.exe
2006-11-27 00:19 29,696 --a------ C:\WINDOWS\system32\19142482ld.exe
2006-11-26 23:58 29,696 --a------ C:\WINDOWS\system32\58563772ld.exe
2006-11-26 23:38 29,696 --a------ C:\WINDOWS\system32\38385462ld.exe
2006-11-26 23:18 29,696 --a------ C:\WINDOWS\system32\18207552ld.exe
2006-11-26 22:58 29,696 --a------ C:\WINDOWS\system32\5828642ld.exe
2006-11-26 22:37 29,696 --a------ C:\WINDOWS\system32\3745132ld.exe
2006-11-26 22:17 29,696 --a------ C:\WINDOWS\system32\17272012ld.exe
2006-11-26 21:57 29,696 --a------ C:\WINDOWS\system32\5793602ld.exe
2006-11-26 21:36 29,696 --a------ C:\WINDOWS\system32\36515492ld.exe
2006-11-26 21:16 29,696 --a------ C:\WINDOWS\system32\16336782ld.exe
2006-11-26 20:56 29,696 --a------ C:\WINDOWS\system32\56157972ld.exe
2006-11-26 20:35 29,696 --a------ C:\WINDOWS\system32\35579662ld.exe
2006-11-26 20:15 29,696 --a------ C:\WINDOWS\system32\15401242ld.exe
2006-11-26 19:55 29,696 --a------ C:\WINDOWS\system32\55222832ld.exe
2006-11-26 19:35 29,696 --a------ C:\WINDOWS\system32\3544622ld.exe
2006-11-26 19:14 29,696 --a------ C:\WINDOWS\system32\14388302ld.exe
2006-11-26 18:54 29,696 --a------ C:\WINDOWS\system32\54185852ld.exe
2006-11-26 18:33 29,696 --a------ C:\WINDOWS\system32\33585012ld.exe
2006-11-26 18:13 29,696 --a------ C:\WINDOWS\system32\13402292ld.exe
2006-11-26 17:53 29,696 --a------ C:\WINDOWS\system32\53219572ld.exe
2006-11-26 17:33 29,696 --a------ C:\WINDOWS\system32\3337052ld.exe
2006-11-26 17:12 29,696 --a------ C:\WINDOWS\system32\12454342ld.exe
2006-11-26 16:52 29,696 --a------ C:\WINDOWS\system32\52271722ld.exe
2006-11-26 16:32 29,696 --a------ C:\WINDOWS\system32\3288702ld.exe
2006-11-26 16:11 29,696 --a------ C:\WINDOWS\system32\11506382ld.exe
2006-11-26 15:51 29,696 --a------ C:\WINDOWS\system32\51324272ld.exe
2006-11-26 15:31 29,696 --a------ C:\WINDOWS\system32\31139742ld.exe
2006-11-26 15:10 29,696 --a------ C:\WINDOWS\system32\10541302ld.exe
2006-11-26 14:50 29,696 --a------ C:\WINDOWS\system32\50351482ld.exe
2006-11-26 14:30 29,696 --a------ C:\WINDOWS\system32\30164452ld.exe
2006-11-25 21:38 29,696 --a------ C:\WINDOWS\system32\38409702ld.exe
2006-11-25 21:18 29,696 --a------ C:\WINDOWS\system32\18226782ld.exe
2006-11-25 20:58 29,696 --a------ C:\WINDOWS\system32\5844272ld.exe
2006-11-25 20:37 29,696 --a------ C:\WINDOWS\system32\37461552ld.exe
2006-11-25 20:17 29,696 --a------ C:\WINDOWS\system32\17278732ld.exe
2006-11-25 19:57 29,696 --a------ C:\WINDOWS\system32\577582ld.exe
2006-11-25 19:36 29,696 --a------ C:\WINDOWS\system32\36414852ld.exe
2006-11-25 19:16 29,696 --a------ C:\WINDOWS\system32\16229932ld.exe
2006-11-25 18:56 29,696 --a------ C:\WINDOWS\system32\5641612ld.exe
2006-11-25 18:35 29,696 --a------ C:\WINDOWS\system32\35456782ld.exe
2006-11-25 18:15 29,696 --a------ C:\WINDOWS\system32\15273372ld.exe
2006-11-25 17:55 29,696 --a------ C:\WINDOWS\system32\5571822ld.exe
2006-11-25 17:34 29,696 --a------ C:\WINDOWS\system32\34493612ld.exe
2006-11-25 17:14 29,696 --a------ C:\WINDOWS\system32\14315302ld.exe
2006-11-25 16:54 29,696 --a------ C:\WINDOWS\system32\54136892ld.exe
2006-11-25 16:33 29,696 --a------ C:\WINDOWS\system32\33558372ld.exe
2006-11-25 16:13 29,696 --a------ C:\WINDOWS\system32\13349422ld.exe
2006-11-25 15:53 29,696 --a------ C:\WINDOWS\system32\5317612ld.exe
2006-11-25 15:32 29,696 --a------ C:\WINDOWS\system32\32591992ld.exe
2006-11-25 15:12 29,696 --a------ C:\WINDOWS\system32\12408072ld.exe
2006-11-25 14:52 29,696 --a------ C:\WINDOWS\system32\52161362ld.exe
2006-11-25 14:31 29,696 --a------ C:\WINDOWS\system32\31486812ld.exe
2006-11-25 14:15 29,696 --a------ C:\WINDOWS\system32\1545332ld.exe
2006-11-25 13:54 29,696 --a------ C:\WINDOWS\system32\54448692ld.exe
2006-11-25 13:34 29,696 --a------ C:\WINDOWS\system32\34241432ld.exe
2006-11-25 04:20 29,696 --a------ C:\WINDOWS\system32\20263212ld.exe
2006-11-25 04:00 29,696 --a------ C:\WINDOWS\system32\075182ld.exe
2006-11-24 03:43 29,696 --a------ C:\WINDOWS\system32\4329502ld.exe
2006-11-24 03:22 29,696 --a------ C:\WINDOWS\system32\22436972ld.exe
2006-11-24 03:02 29,696 --a------ C:\WINDOWS\system32\2246842ld.exe
2006-11-24 02:42 29,696 --a------ C:\WINDOWS\system32\4262522ld.exe
2006-11-24 02:21 29,696 --a------ C:\WINDOWS\system32\21463082ld.exe
2006-11-24 02:01 29,696 --a------ C:\WINDOWS\system32\1278662ld.exe
2006-11-24 01:41 29,696 --a------ C:\WINDOWS\system32\4189532ld.exe
2006-11-24 01:20 29,696 --a------ C:\WINDOWS\system32\20507712ld.exe
2006-11-24 01:00 29,696 --a------ C:\WINDOWS\system32\0325602ld.exe
2006-11-24 00:40 29,696 --a------ C:\WINDOWS\system32\40143882ld.exe
2006-11-24 00:19 29,696 --a------ C:\WINDOWS\system32\19555652ld.exe
2006-11-23 16:36 29,696 --a------ C:\WINDOWS\system32\36529102ld.exe
2006-11-23 16:16 29,696 --a------ C:\WINDOWS\system32\16345582ld.exe
2006-11-23 15:56 29,696 --a------ C:\WINDOWS\system32\56162162ld.exe
2006-11-23 15:35 29,696 --a------ C:\WINDOWS\system32\35578652ld.exe
2006-11-23 15:15 29,696 --a------ C:\WINDOWS\system32\15395332ld.exe
2006-11-23 14:55 29,696 --a------ C:\WINDOWS\system32\55213512ld.exe
2006-11-23 14:35 29,696 --a------ C:\WINDOWS\system32\3534902ld.exe
2006-11-23 14:14 29,696 --a------ C:\WINDOWS\system32\14452682ld.exe
2006-11-23 13:54 29,696 --a------ C:\WINDOWS\system32\5423812ld.exe
2006-11-23 13:43 14,336 --a------ C:\WINDOWS\system32\18396.exe
2006-11-23 13:42 13,312 --a------ C:\WINDOWS\system32\79747.exe
2006-11-23 13:34 29,696 --a------ C:\WINDOWS\system32\3419652ld.exe
2006-11-23 13:32 29,184 --------- C:\WINDOWS\system32\rpcc.dll
2006-11-23 13:22 52,224 --a------ C:\WINDOWS\system32\70828.exe
2006-11-23 13:22 3,584 -r-hs---- C:\WINDOWS\system32\955176085400.exe
2006-11-23 13:21 44,032 --a------ C:\WINDOWS\system32\winupdate.dll
2006-11-23 13:20 94,208 --a------ C:\wupdmnt.dll
2006-11-23 13:20 67,584 --a------ C:\eied_s7_c_231bf2.exe
2006-11-22 01:52 720,896 --a------ C:\WINDOWS\iun6002.exe
2006-11-22 01:52 d-------- C:\Program Files\Lasten palapelit 1.0
2006-11-21 20:13 40,704 -ra------ C:\WINDOWS\system32\drivers\ser2pl.sys
2006-11-14 00:32 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-11-13 21:24 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe
2006-11-13 21:24 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-11-13 21:24 4,096 --a------ C:\WINDOWS\system32\reboot.exe
2006-11-13 21:24 38,400 --a------ C:\WINDOWS\system32\moveex.exe
2006-11-13 21:23 d-------- C:\Program Files\HaxFix
2006-11-13 17:50 d-------- C:\Documents and Settings\HkwL\Application Data\wsInspector
2006-11-13 06:35 d-------- C:\Program Files\MP4Cam2Avi
2006-11-13 06:32 d-------- C:\Program Files\Startup Inspector for Windows
2006-11-13 05:53 d-------- C:\Program Files\Lavasoft
2006-11-08 01:43 50,014 --a------ C:\WINDOWS\system32\adirss.exe
2006-11-04 13:06 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2006-11-04 13:02 d-------- C:\WINDOWS\RegisteredPackages
2006-11-03 21:00 d-------- C:\Documents and Settings\HkwL\Application Data\Nokia
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
[color=red][b]Rootkit driver pe386 is present. A rootkit scan is required[/b][/color]
2006-11-13 06:06 23104 --a------ C:\WINDOWS\system32\drivers\avgmfrs.sys
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"wupdate"="rundll32.exe C:\\WINDOWS\\system32\\winupdate.dll,wupdate"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Nykyinen kotisivu"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rpcc
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: 06-12-03 23:07:07.79
C:\ComboFix2.txt ... 06-12-03 18:58
C:\ComboFix.txt ... 06-12-03 23:07
C:\ComboFix3.txt ... 06-12-02 15:32 - Rahina Rescue
Logi tässä kirjoitti:
Veti toi Sormus niin puoleensa et viipyi hiukan :)
HkwL - 06-12-03 23:01:13.76 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Documents and Settings\HkwL\Ty”p”yt„"
((((((((((((((((((((((((((((((( Files Created from 2006-11-03 to 2006-12-03 ))))))))))))))))))))))))))))))))))
2006-12-03 19:44 d-------- C:\WINDOWS\LastGood
2006-12-03 19:35 d--hs---- C:\FOUND.018
2006-12-03 13:46 d--hs---- C:\FOUND.017
2006-12-03 13:32 d--hs---- C:\FOUND.016
2006-12-03 13:18 d--hs---- C:\FOUND.015
2006-12-03 13:04 d--hs---- C:\FOUND.014
2006-12-03 12:45 d--hs---- C:\FOUND.013
2006-12-03 00:59 d--hs---- C:\FOUND.012
2006-12-02 19:01 d--hs---- C:\FOUND.011
2006-12-02 11:33 d--hs---- C:\FOUND.010
2006-12-02 11:07 d--hs---- C:\FOUND.009
2006-12-02 10:40 d--hs---- C:\FOUND.008
2006-12-02 03:58 d--hs---- C:\FOUND.007
2006-12-02 03:44 d--hs---- C:\FOUND.006
2006-12-02 03:31 d--hs---- C:\FOUND.005
2006-12-02 03:17 d--hs---- C:\FOUND.004
2006-12-02 03:04 d--hs---- C:\FOUND.003
2006-12-01 16:59 d--hs---- C:\FOUND.002
2006-11-30 16:11 d--hs---- C:\FOUND.001
2006-11-30 12:51 d--hs---- C:\FOUND.000
2006-11-29 23:05 d-------- C:\WINDOWS\temp
2006-11-29 02:05 29,696 --a------ C:\WINDOWS\system32\528402ld.exe
2006-11-29 01:50 29,696 --a------ C:\WINDOWS\system32\50331982ld.exe
2006-11-29 01:40 29,696 --a------ C:\WINDOWS\system32\4051282ld.exe
2006-11-29 01:39 29,696 --a------ C:\WINDOWS\system32\39315542ld.exe
2006-11-29 01:38 29,696 --a------ C:\WINDOWS\system32\38351822ld.exe
2006-11-29 01:08 d-------- C:\WINDOWS\Minidump
2006-11-27 03:01 29,696 --a------ C:\WINDOWS\system32\1445992ld.exe
2006-11-27 02:41 29,696 --a------ C:\WINDOWS\system32\41235932ld.exe
2006-11-27 02:21 29,696 --a------ C:\WINDOWS\system32\2147102ld.exe
2006-11-27 02:00 29,696 --a------ C:\WINDOWS\system32\0459382ld.exe
2006-11-27 01:40 29,696 --a------ C:\WINDOWS\system32\40271352ld.exe
2006-11-27 01:20 29,696 --a------ C:\WINDOWS\system32\2085932ld.exe
2006-11-27 00:59 29,696 --a------ C:\WINDOWS\system32\59499512ld.exe
2006-11-27 00:39 29,696 --a------ C:\WINDOWS\system32\39321002ld.exe
2006-11-27 00:19 29,696 --a------ C:\WINDOWS\system32\19142482ld.exe
2006-11-26 23:58 29,696 --a------ C:\WINDOWS\system32\58563772ld.exe
2006-11-26 23:38 29,696 --a------ C:\WINDOWS\system32\38385462ld.exe
2006-11-26 23:18 29,696 --a------ C:\WINDOWS\system32\18207552ld.exe
2006-11-26 22:58 29,696 --a------ C:\WINDOWS\system32\5828642ld.exe
2006-11-26 22:37 29,696 --a------ C:\WINDOWS\system32\3745132ld.exe
2006-11-26 22:17 29,696 --a------ C:\WINDOWS\system32\17272012ld.exe
2006-11-26 21:57 29,696 --a------ C:\WINDOWS\system32\5793602ld.exe
2006-11-26 21:36 29,696 --a------ C:\WINDOWS\system32\36515492ld.exe
2006-11-26 21:16 29,696 --a------ C:\WINDOWS\system32\16336782ld.exe
2006-11-26 20:56 29,696 --a------ C:\WINDOWS\system32\56157972ld.exe
2006-11-26 20:35 29,696 --a------ C:\WINDOWS\system32\35579662ld.exe
2006-11-26 20:15 29,696 --a------ C:\WINDOWS\system32\15401242ld.exe
2006-11-26 19:55 29,696 --a------ C:\WINDOWS\system32\55222832ld.exe
2006-11-26 19:35 29,696 --a------ C:\WINDOWS\system32\3544622ld.exe
2006-11-26 19:14 29,696 --a------ C:\WINDOWS\system32\14388302ld.exe
2006-11-26 18:54 29,696 --a------ C:\WINDOWS\system32\54185852ld.exe
2006-11-26 18:33 29,696 --a------ C:\WINDOWS\system32\33585012ld.exe
2006-11-26 18:13 29,696 --a------ C:\WINDOWS\system32\13402292ld.exe
2006-11-26 17:53 29,696 --a------ C:\WINDOWS\system32\53219572ld.exe
2006-11-26 17:33 29,696 --a------ C:\WINDOWS\system32\3337052ld.exe
2006-11-26 17:12 29,696 --a------ C:\WINDOWS\system32\12454342ld.exe
2006-11-26 16:52 29,696 --a------ C:\WINDOWS\system32\52271722ld.exe
2006-11-26 16:32 29,696 --a------ C:\WINDOWS\system32\3288702ld.exe
2006-11-26 16:11 29,696 --a------ C:\WINDOWS\system32\11506382ld.exe
2006-11-26 15:51 29,696 --a------ C:\WINDOWS\system32\51324272ld.exe
2006-11-26 15:31 29,696 --a------ C:\WINDOWS\system32\31139742ld.exe
2006-11-26 15:10 29,696 --a------ C:\WINDOWS\system32\10541302ld.exe
2006-11-26 14:50 29,696 --a------ C:\WINDOWS\system32\50351482ld.exe
2006-11-26 14:30 29,696 --a------ C:\WINDOWS\system32\30164452ld.exe
2006-11-25 21:38 29,696 --a------ C:\WINDOWS\system32\38409702ld.exe
2006-11-25 21:18 29,696 --a------ C:\WINDOWS\system32\18226782ld.exe
2006-11-25 20:58 29,696 --a------ C:\WINDOWS\system32\5844272ld.exe
2006-11-25 20:37 29,696 --a------ C:\WINDOWS\system32\37461552ld.exe
2006-11-25 20:17 29,696 --a------ C:\WINDOWS\system32\17278732ld.exe
2006-11-25 19:57 29,696 --a------ C:\WINDOWS\system32\577582ld.exe
2006-11-25 19:36 29,696 --a------ C:\WINDOWS\system32\36414852ld.exe
2006-11-25 19:16 29,696 --a------ C:\WINDOWS\system32\16229932ld.exe
2006-11-25 18:56 29,696 --a------ C:\WINDOWS\system32\5641612ld.exe
2006-11-25 18:35 29,696 --a------ C:\WINDOWS\system32\35456782ld.exe
2006-11-25 18:15 29,696 --a------ C:\WINDOWS\system32\15273372ld.exe
2006-11-25 17:55 29,696 --a------ C:\WINDOWS\system32\5571822ld.exe
2006-11-25 17:34 29,696 --a------ C:\WINDOWS\system32\34493612ld.exe
2006-11-25 17:14 29,696 --a------ C:\WINDOWS\system32\14315302ld.exe
2006-11-25 16:54 29,696 --a------ C:\WINDOWS\system32\54136892ld.exe
2006-11-25 16:33 29,696 --a------ C:\WINDOWS\system32\33558372ld.exe
2006-11-25 16:13 29,696 --a------ C:\WINDOWS\system32\13349422ld.exe
2006-11-25 15:53 29,696 --a------ C:\WINDOWS\system32\5317612ld.exe
2006-11-25 15:32 29,696 --a------ C:\WINDOWS\system32\32591992ld.exe
2006-11-25 15:12 29,696 --a------ C:\WINDOWS\system32\12408072ld.exe
2006-11-25 14:52 29,696 --a------ C:\WINDOWS\system32\52161362ld.exe
2006-11-25 14:31 29,696 --a------ C:\WINDOWS\system32\31486812ld.exe
2006-11-25 14:15 29,696 --a------ C:\WINDOWS\system32\1545332ld.exe
2006-11-25 13:54 29,696 --a------ C:\WINDOWS\system32\54448692ld.exe
2006-11-25 13:34 29,696 --a------ C:\WINDOWS\system32\34241432ld.exe
2006-11-25 04:20 29,696 --a------ C:\WINDOWS\system32\20263212ld.exe
2006-11-25 04:00 29,696 --a------ C:\WINDOWS\system32\075182ld.exe
2006-11-24 03:43 29,696 --a------ C:\WINDOWS\system32\4329502ld.exe
2006-11-24 03:22 29,696 --a------ C:\WINDOWS\system32\22436972ld.exe
2006-11-24 03:02 29,696 --a------ C:\WINDOWS\system32\2246842ld.exe
2006-11-24 02:42 29,696 --a------ C:\WINDOWS\system32\4262522ld.exe
2006-11-24 02:21 29,696 --a------ C:\WINDOWS\system32\21463082ld.exe
2006-11-24 02:01 29,696 --a------ C:\WINDOWS\system32\1278662ld.exe
2006-11-24 01:41 29,696 --a------ C:\WINDOWS\system32\4189532ld.exe
2006-11-24 01:20 29,696 --a------ C:\WINDOWS\system32\20507712ld.exe
2006-11-24 01:00 29,696 --a------ C:\WINDOWS\system32\0325602ld.exe
2006-11-24 00:40 29,696 --a------ C:\WINDOWS\system32\40143882ld.exe
2006-11-24 00:19 29,696 --a------ C:\WINDOWS\system32\19555652ld.exe
2006-11-23 16:36 29,696 --a------ C:\WINDOWS\system32\36529102ld.exe
2006-11-23 16:16 29,696 --a------ C:\WINDOWS\system32\16345582ld.exe
2006-11-23 15:56 29,696 --a------ C:\WINDOWS\system32\56162162ld.exe
2006-11-23 15:35 29,696 --a------ C:\WINDOWS\system32\35578652ld.exe
2006-11-23 15:15 29,696 --a------ C:\WINDOWS\system32\15395332ld.exe
2006-11-23 14:55 29,696 --a------ C:\WINDOWS\system32\55213512ld.exe
2006-11-23 14:35 29,696 --a------ C:\WINDOWS\system32\3534902ld.exe
2006-11-23 14:14 29,696 --a------ C:\WINDOWS\system32\14452682ld.exe
2006-11-23 13:54 29,696 --a------ C:\WINDOWS\system32\5423812ld.exe
2006-11-23 13:43 14,336 --a------ C:\WINDOWS\system32\18396.exe
2006-11-23 13:42 13,312 --a------ C:\WINDOWS\system32\79747.exe
2006-11-23 13:34 29,696 --a------ C:\WINDOWS\system32\3419652ld.exe
2006-11-23 13:32 29,184 --------- C:\WINDOWS\system32\rpcc.dll
2006-11-23 13:22 52,224 --a------ C:\WINDOWS\system32\70828.exe
2006-11-23 13:22 3,584 -r-hs---- C:\WINDOWS\system32\955176085400.exe
2006-11-23 13:21 44,032 --a------ C:\WINDOWS\system32\winupdate.dll
2006-11-23 13:20 94,208 --a------ C:\wupdmnt.dll
2006-11-23 13:20 67,584 --a------ C:\eied_s7_c_231bf2.exe
2006-11-22 01:52 720,896 --a------ C:\WINDOWS\iun6002.exe
2006-11-22 01:52 d-------- C:\Program Files\Lasten palapelit 1.0
2006-11-21 20:13 40,704 -ra------ C:\WINDOWS\system32\drivers\ser2pl.sys
2006-11-14 00:32 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-11-13 21:24 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe
2006-11-13 21:24 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-11-13 21:24 4,096 --a------ C:\WINDOWS\system32\reboot.exe
2006-11-13 21:24 38,400 --a------ C:\WINDOWS\system32\moveex.exe
2006-11-13 21:23 d-------- C:\Program Files\HaxFix
2006-11-13 17:50 d-------- C:\Documents and Settings\HkwL\Application Data\wsInspector
2006-11-13 06:35 d-------- C:\Program Files\MP4Cam2Avi
2006-11-13 06:32 d-------- C:\Program Files\Startup Inspector for Windows
2006-11-13 05:53 d-------- C:\Program Files\Lavasoft
2006-11-08 01:43 50,014 --a------ C:\WINDOWS\system32\adirss.exe
2006-11-04 13:06 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2006-11-04 13:02 d-------- C:\WINDOWS\RegisteredPackages
2006-11-03 21:00 d-------- C:\Documents and Settings\HkwL\Application Data\Nokia
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
[color=red][b]Rootkit driver pe386 is present. A rootkit scan is required[/b][/color]
2006-11-13 06:06 23104 --a------ C:\WINDOWS\system32\drivers\avgmfrs.sys
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"wupdate"="rundll32.exe C:\\WINDOWS\\system32\\winupdate.dll,wupdate"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Nykyinen kotisivu"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rpcc
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: 06-12-03 23:07:07.79
C:\ComboFix2.txt ... 06-12-03 18:58
C:\ComboFix.txt ... 06-12-03 23:07
C:\ComboFix3.txt ... 06-12-02 15:32Tilanne ei näytä erikoisen hyvältä. En yhtään ihmettele jos kone tuntuu " Tahmealta " Nimittäin Koneellasi On Gromozon Rootkit, joka on erittäin V-Mäinen Poistaa, Kokeillaan Kuitenkin Gromozon Rootkit poistotyökalua, Varoitan vielä että Jos seuraavat konstit eivät tepsi tämä voi koitua Windowsin Formatointiin.
Printtaa Ohjeet Ulos
Puhdistus Ohjeet:
Lataa Gromozon Rootkit Poistotyökalu http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL rootkit poistokalu työpöydällesi.
Lataa Myös FixLinkKopt Työpöydälle.
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe
Käynnistä Tietokone Vikasietotilaan Seuraavasti.
Käynnistä tietokone uudelleen, Paina f8 nappia
ja Valitse Vikasietotila/Safemode.
Kun olet Vikasietotilassa:
Tupla-klikkaa PrevxRemovalTool.exe ajaaksesi ohjelman.
Sinua pyydetään käynnistämään kone uudelleen - klikkaa YES.
Kun kone on käynnistynyt, työkalu avautuu ja alkaa skannaamaan. Se saattaa viedä hetken aikaa.
Se kertoo sinulle kun on valmista, skannauksen lopussa tulee lukemaan "Scan finished" tai jotain muuta vastaavaa. Klikkaa Exit.
Sinulta kysytään jos haluat asentaa Prevx anti-malware ohjelman, klikkaa No. Et tarvitse sitä tällä hetkellä.
Avaa FixLinkopt, Hyväksy Todistus, Paina Start ja Yes.
Boottaa Normaali tilaan.
Postita C:\gromozon_removal.txt lokin sisältö tuoreen HijackThis lokin kera. - Kärsivällisyydestä
Rahina Rescue kirjoitti:
Tilanne ei näytä erikoisen hyvältä. En yhtään ihmettele jos kone tuntuu " Tahmealta " Nimittäin Koneellasi On Gromozon Rootkit, joka on erittäin V-Mäinen Poistaa, Kokeillaan Kuitenkin Gromozon Rootkit poistotyökalua, Varoitan vielä että Jos seuraavat konstit eivät tepsi tämä voi koitua Windowsin Formatointiin.
Printtaa Ohjeet Ulos
Puhdistus Ohjeet:
Lataa Gromozon Rootkit Poistotyökalu http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL rootkit poistokalu työpöydällesi.
Lataa Myös FixLinkKopt Työpöydälle.
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe
Käynnistä Tietokone Vikasietotilaan Seuraavasti.
Käynnistä tietokone uudelleen, Paina f8 nappia
ja Valitse Vikasietotila/Safemode.
Kun olet Vikasietotilassa:
Tupla-klikkaa PrevxRemovalTool.exe ajaaksesi ohjelman.
Sinua pyydetään käynnistämään kone uudelleen - klikkaa YES.
Kun kone on käynnistynyt, työkalu avautuu ja alkaa skannaamaan. Se saattaa viedä hetken aikaa.
Se kertoo sinulle kun on valmista, skannauksen lopussa tulee lukemaan "Scan finished" tai jotain muuta vastaavaa. Klikkaa Exit.
Sinulta kysytään jos haluat asentaa Prevx anti-malware ohjelman, klikkaa No. Et tarvitse sitä tällä hetkellä.
Avaa FixLinkopt, Hyväksy Todistus, Paina Start ja Yes.
Boottaa Normaali tilaan.
Postita C:\gromozon_removal.txt lokin sisältö tuoreen HijackThis lokin kera.Aina ei pääse koneelle silloin kun pitäisi tai haluaisi. Mutta tässä taas uudet logit:
Logfile of HijackThis v1.99.1
Scan saved at 02:42, on 06-12-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/en/Nero_6_Reloaded.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mocrosoft Internet Explorer - Sonera
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [wupdate] rundll32.exe C:\WINDOWS\system32\winupdate.dll,wupdate
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O20 - AppInit_DLLs:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
reg: ...\CLSID\{E22705D4-AC93-3528-75FF-4FCAE2388E92}\InprocServer32 (key deleted)
reg: ...\CLSID\{E22705D4-AC93-3528-75FF-4FCAE2388E92} (key deleted)
reg: ...\Internet Explorer\URLSearchHooks\{E22705D4-AC93-3528-75FF-4FCAE2388E92} (value deleted)
reg: ...\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E22705D4-AC93-3528-75FF-4FCAE2388E92} (key deleted)
C:\WINDOWS\jfaae1.dll: (deleted)
C:\System Volume Information\_restore{A3E5BA81-8F3B-4A24-9390-1F7D4947B472}\RP268\A0072757.dll: (deleted)
Trojan.Linkoptimizer has been successfully removed from your computer!
Here is the report:
The total number of the scanned files: 21379
The number of deleted threat files: 2
The number of threat processes terminated: 0
The number of threat threads terminated: 0
The number of registry entries fixed: 4
The tool initiated a system reboot.
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Program Files\Common Files
Trojan.Gromozon does not exist - your system is clean.
Mistä noita tulee koneelle, jostain sivustoista vai onko heikko puolustus tässä koneessa?
- Rahina Rescue
Sulla on Koneessa aika moinen Örminkäiskokoelma. :)
Lataa RustBFix http://www.uploads.ejvindh.net/rustbfix.exe ja tallenna se työpöydällesi.
Tuplaklikkaa tiedostoa rustbfix.exe. Jos löytyy Rustock.b-infektio, sinua pyydetään pian käynnistämään kone uudelleen. Uudelleenkäynnistyminen saattaa kestää hetken ja joudut ehkä käynnistämään koneen vielä toisenkin kerran. Kaikki tämä tapahtuu automaattisesti. Uudelleenkäynnistyksen jälkeen kaksi lokitiedostoa avautuu (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Kopioi ja liitä nämä kaksi lokitiedostoa seuraavaan vastaukseesi uuden HijackThis lokin kera.- Logi tässä
Joo. Tuntuu olevan avoimien ovien päivät!
Ja käynnissä olevien ohjelmien määrä on todella paljon kun tiimalasi on kursorin vieressä jatkuvasti. Jatkuvaa rohinaa koneessa. Kun tietäis mitä poistaa?
Jouduin muutaman kerran ajaa Haxfixi ja Combofixin et sain koneen auki. Menee vieläkin sinne c:n tarkastukseen. Ja sit heittää Win:sin vikailmoitusta työpöydälle.
Mut uudet logit tässä.
Logfile of HijackThis v1.99.1
Scan saved at 22:31, on 06-12-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4ae7b7488f2519148ba95fd809209ffe\update\update.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/en/Nero_6_Reloaded.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mocrosoft Internet Explorer - Sonera
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {E22705D4-AC93-3528-75FF-4FCAE2388E92} - C:\WINDOWS\jfaae1.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [wupdate] rundll32.exe C:\WINDOWS\system32\winupdate.dll,wupdate
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vmygntou
*******************
Script file located at: \??\C:\Program Files\qqchuhas.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.
Completed script processing.
*******************
Finished! Terminate.
************************* Rustock.b-fix -- By ejvindh *************************
06-12-04 22:20:12.86
******************* Pre-run Status of system *******************
Rootkit driver PE386 is found. Starting the unload-procedure....
Examine the Avenger-logfile in order to assess the success of the unload-procedure
Rustock.b-ADS attached to the System32-folder:
No streams found.
******************* Post-run Status of system *******************
Rustock.b-driver on the system: NONE!
Rustock.b-ADS attached to the System32-folder:
No streams found.
******************************* End of Logfile ******************************** - Poistelen vain
Logi tässä kirjoitti:
Joo. Tuntuu olevan avoimien ovien päivät!
Ja käynnissä olevien ohjelmien määrä on todella paljon kun tiimalasi on kursorin vieressä jatkuvasti. Jatkuvaa rohinaa koneessa. Kun tietäis mitä poistaa?
Jouduin muutaman kerran ajaa Haxfixi ja Combofixin et sain koneen auki. Menee vieläkin sinne c:n tarkastukseen. Ja sit heittää Win:sin vikailmoitusta työpöydälle.
Mut uudet logit tässä.
Logfile of HijackThis v1.99.1
Scan saved at 22:31, on 06-12-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4ae7b7488f2519148ba95fd809209ffe\update\update.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/en/Nero_6_Reloaded.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mocrosoft Internet Explorer - Sonera
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {E22705D4-AC93-3528-75FF-4FCAE2388E92} - C:\WINDOWS\jfaae1.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [wupdate] rundll32.exe C:\WINDOWS\system32\winupdate.dll,wupdate
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vmygntou
*******************
Script file located at: \??\C:\Program Files\qqchuhas.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.
Completed script processing.
*******************
Finished! Terminate.
************************* Rustock.b-fix -- By ejvindh *************************
06-12-04 22:20:12.86
******************* Pre-run Status of system *******************
Rootkit driver PE386 is found. Starting the unload-procedure....
Examine the Avenger-logfile in order to assess the success of the unload-procedure
Rustock.b-ADS attached to the System32-folder:
No streams found.
******************* Post-run Status of system *******************
Rustock.b-driver on the system: NONE!
Rustock.b-ADS attached to the System32-folder:
No streams found.
******************************* End of Logfile ********************************scannaa hjt:llä merkkaa paina fix checked
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
käynnistä > suorita kirjoita alla olevat ja jokaisen rivin jälkeen paina ok
sc stop MsaSvc
sc delete MsaSvc
Escan ajoon
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg
scannaa
jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl A.
Kopioi rivit komennolla Ctrl C.
Liitä rivit komennolla Ctrl V.
Laita virus log tänne.
laita uusi hjt loki tänne. - Rahina Rescue
Poistelen vain kirjoitti:
scannaa hjt:llä merkkaa paina fix checked
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
käynnistä > suorita kirjoita alla olevat ja jokaisen rivin jälkeen paina ok
sc stop MsaSvc
sc delete MsaSvc
Escan ajoon
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg
scannaa
jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl A.
Kopioi rivit komennolla Ctrl C.
Liitä rivit komennolla Ctrl V.
Laita virus log tänne.
laita uusi hjt loki tänne.@Poistele vain
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
Kyseinen rivi ei poistu pelkällä fixillä, vaan sille on oma erikoisfixi, Tehdäänkö niin että jatkan tästä eteenpäin ettei tule liikaa hämmennystä. :) - Poistelen vain
Rahina Rescue kirjoitti:
@Poistele vain
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
Kyseinen rivi ei poistu pelkällä fixillä, vaan sille on oma erikoisfixi, Tehdäänkö niin että jatkan tästä eteenpäin ettei tule liikaa hämmennystä. :)käynnistä > suorita kirjoita alla olevat
sc stop MsaSvc
sc delete MsaSvc
tuosta voit jatkaa ;) - Poistelen vain
Poistelen vain kirjoitti:
käynnistä > suorita kirjoita alla olevat
sc stop MsaSvc
sc delete MsaSvc
tuosta voit jatkaa ;)siten rivin jälkeen painetaan ok ;)
- Poistelen vain
aja
1.Lataa combofix.exe http://download.bleepingcomputer.com/sUBs/combofix.exe
tiedosto työpöydällesi.
2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen. - HJT logi
On tässä:
Logfile of HijackThis v1.99.1
Scan saved at 04:08, on 06-12-08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/en/Nero_6_Reloaded.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mocrosoft Internet Explorer - Sonera
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [wupdate] rundll32.exe C:\WINDOWS\system32\winupdate.dll,wupdate
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O20 - AppInit_DLLs:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
Kone tuntuu vähän kevyemmältä nykyään. Tiedä sit vielä onks kaikki hidasteet hävinny. Toivottavasti.
Escanin voin laittaa, kunhan tulee vähän nukuttua :)- Combofix
Eli tässä olis juuri otettu combofix.
HkwL - 06-12-08 17:09:04.63 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Documents and Settings\HkwL\Ty”p”yt„\Virustorjuntaa"
((((((((((((((((((((((((((((((( Files Created from 2006-11-08 to 2006-12-08 ))))))))))))))))))))))))))))))))))
2006-12-08 02:57 d-------- C:\Kaspersky
2006-12-07 01:32 d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2006-12-05 03:22 d--hs---- C:\FOUND.023
2006-12-05 03:02 d-------- C:\Program Files\MSXML 4.0
2006-12-05 03:02 d-------- C:\73d38c24b463bb3d287c7372
2006-12-04 22:29 d-------- C:\avenger
2006-12-04 22:20 d-------- C:\Rustbfix
2006-12-04 14:51 d--hs---- C:\FOUND.022
2006-12-04 03:32 d--hs---- C:\FOUND.021
2006-12-04 03:18 d--hs---- C:\FOUND.020
2006-12-04 03:05 d--hs---- C:\FOUND.019
2006-12-04 02:44 7,483 --a------ C:\clean.bat
2006-12-04 02:17 1,411 --a------ C:\WINDOWS\system32\87105.exe
2006-12-04 02:12 1,411 --a------ C:\WINDOWS\system32\37449.exe
2006-12-04 02:07 1,411 --a------ C:\WINDOWS\system32\84896.exe
2006-12-04 02:02 1,411 --a------ C:\WINDOWS\system32\10609.exe
2006-12-04 01:57 1,411 --a------ C:\WINDOWS\system32\93513.exe
2006-12-04 01:52 1,411 --a------ C:\WINDOWS\system32\41550.exe
2006-12-04 01:46 1,411 --a------ C:\WINDOWS\system32\86504.exe
2006-12-04 01:41 1,411 --a------ C:\WINDOWS\system32\68644.exe
2006-12-04 01:35 1,411 --a------ C:\WINDOWS\system32\39848.exe
2006-12-04 01:31 1,411 --a------ C:\WINDOWS\system32\45172.exe
2006-12-04 01:25 1,411 --a------ C:\WINDOWS\system32\8164.exe
2006-12-04 01:21 1,411 --a------ C:\WINDOWS\system32\21086.exe
2006-12-04 01:15 1,411 --a------ C:\WINDOWS\system32\28496.exe
2006-12-04 01:11 1,411 --a------ C:\WINDOWS\system32\75467.exe
2006-12-04 01:05 1,411 --a------ C:\WINDOWS\system32\23524.exe
2006-12-04 01:01 1,411 --a------ C:\WINDOWS\system32\58998.exe
2006-12-04 00:54 1,411 --a------ C:\WINDOWS\system32\68447.exe
2006-12-04 00:50 1,411 --a------ C:\WINDOWS\system32\19399.exe
2006-12-04 00:44 1,411 --a------ C:\WINDOWS\system32\56361.exe
2006-12-04 00:40 1,411 --a------ C:\WINDOWS\system32\72650.exe
2006-12-04 00:33 1,411 --a------ C:\WINDOWS\system32\73478.exe
2006-12-04 00:30 1,411 --a------ C:\WINDOWS\system32\58222.exe
2006-12-04 00:23 1,411 --a------ C:\WINDOWS\system32\27359.exe
2006-12-04 00:20 1,411 --a------ C:\WINDOWS\system32\63057.exe
2006-12-04 00:13 1,411 --a------ C:\WINDOWS\system32\76935.exe
2006-12-04 00:13 1,411 --a------ C:\Documents and Settings\HkwL\FFBBEFC.exe
2006-12-04 00:10 1,411 --a------ C:\WINDOWS\system32\82716.exe
2006-12-03 19:35 d--hs---- C:\FOUND.018
2006-12-03 13:46 d--hs---- C:\FOUND.017
2006-12-03 13:32 d--hs---- C:\FOUND.016
2006-12-03 13:18 d--hs---- C:\FOUND.015
2006-12-03 13:04 d--hs---- C:\FOUND.014
2006-12-03 12:45 d--hs---- C:\FOUND.013
2006-12-03 00:59 d--hs---- C:\FOUND.012
2006-12-02 19:01 d--hs---- C:\FOUND.011
2006-12-02 11:33 d--hs---- C:\FOUND.010
2006-12-02 11:07 d--hs---- C:\FOUND.009
2006-12-02 10:40 d--hs---- C:\FOUND.008
2006-12-02 03:58 d--hs---- C:\FOUND.007
2006-12-02 03:44 d--hs---- C:\FOUND.006
2006-12-02 03:31 d--hs---- C:\FOUND.005
2006-12-02 03:17 d--hs---- C:\FOUND.004
2006-12-02 03:04 d--hs---- C:\FOUND.003
2006-12-01 16:59 d--hs---- C:\FOUND.002
2006-11-30 16:11 d--hs---- C:\FOUND.001
2006-11-30 12:51 d--hs---- C:\FOUND.000
2006-11-29 23:05 d-------- C:\WINDOWS\temp
2006-11-29 01:08 d-------- C:\WINDOWS\Minidump
2006-11-23 13:43 14,336 --a------ C:\WINDOWS\system32\18396.exe
2006-11-23 13:32 29,184 --------- C:\WINDOWS\system32\rpcc.dll
2006-11-23 13:21 44,032 --a------ C:\WINDOWS\system32\winupdate.dll
2006-11-23 13:20 94,208 --a------ C:\wupdmnt.dll
2006-11-23 13:20 67,584 --a------ C:\eied_s7_c_231bf2.exe
2006-11-22 01:52 720,896 --a------ C:\WINDOWS\iun6002.exe
2006-11-22 01:52 d-------- C:\Program Files\Lasten palapelit 1.0
2006-11-21 20:13 40,704 -ra------ C:\WINDOWS\system32\drivers\ser2pl.sys
2006-11-14 00:32 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-11-13 21:24 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe
2006-11-13 21:24 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-11-13 21:24 4,096 --a------ C:\WINDOWS\system32\reboot.exe
2006-11-13 21:24 38,400 --a------ C:\WINDOWS\system32\moveex.exe
2006-11-13 21:23 d-------- C:\Program Files\HaxFix
2006-11-13 17:50 d-------- C:\Documents and Settings\HkwL\Application Data\wsInspector
2006-11-13 06:35 d-------- C:\Program Files\MP4Cam2Avi
2006-11-13 06:32 d-------- C:\Program Files\Startup Inspector for Windows
2006-11-13 05:53 d-------- C:\Program Files\Lavasoft
2006-11-08 01:43 50,014 --a------ C:\WINDOWS\system32\adirss.exe
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-11-25 21:08 70724 --a------ C:\WINDOWS\system32\lzx32.sys
2006-11-13 06:06 23104 --a------ C:\WINDOWS\system32\drivers\avgmfrs.sys
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-13 14:37 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 14:37 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 14:37 142336 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 12:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-09-13 07:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"wupdate"="rundll32.exe C:\\WINDOWS\\system32\\winupdate.dll,wupdate"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Nykyinen kotisivu"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rpcc
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: 06-12-08 17:09:52.97
C:\ComboFix2.txt ... 06-12-04 17:15
C:\ComboFix.txt ... 06-12-08 17:09
C:\ComboFix3.txt ... 06-12-04 03:27 - Rahina Rescue
Combofix kirjoitti:
Eli tässä olis juuri otettu combofix.
HkwL - 06-12-08 17:09:04.63 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Documents and Settings\HkwL\Ty”p”yt„\Virustorjuntaa"
((((((((((((((((((((((((((((((( Files Created from 2006-11-08 to 2006-12-08 ))))))))))))))))))))))))))))))))))
2006-12-08 02:57 d-------- C:\Kaspersky
2006-12-07 01:32 d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2006-12-05 03:22 d--hs---- C:\FOUND.023
2006-12-05 03:02 d-------- C:\Program Files\MSXML 4.0
2006-12-05 03:02 d-------- C:\73d38c24b463bb3d287c7372
2006-12-04 22:29 d-------- C:\avenger
2006-12-04 22:20 d-------- C:\Rustbfix
2006-12-04 14:51 d--hs---- C:\FOUND.022
2006-12-04 03:32 d--hs---- C:\FOUND.021
2006-12-04 03:18 d--hs---- C:\FOUND.020
2006-12-04 03:05 d--hs---- C:\FOUND.019
2006-12-04 02:44 7,483 --a------ C:\clean.bat
2006-12-04 02:17 1,411 --a------ C:\WINDOWS\system32\87105.exe
2006-12-04 02:12 1,411 --a------ C:\WINDOWS\system32\37449.exe
2006-12-04 02:07 1,411 --a------ C:\WINDOWS\system32\84896.exe
2006-12-04 02:02 1,411 --a------ C:\WINDOWS\system32\10609.exe
2006-12-04 01:57 1,411 --a------ C:\WINDOWS\system32\93513.exe
2006-12-04 01:52 1,411 --a------ C:\WINDOWS\system32\41550.exe
2006-12-04 01:46 1,411 --a------ C:\WINDOWS\system32\86504.exe
2006-12-04 01:41 1,411 --a------ C:\WINDOWS\system32\68644.exe
2006-12-04 01:35 1,411 --a------ C:\WINDOWS\system32\39848.exe
2006-12-04 01:31 1,411 --a------ C:\WINDOWS\system32\45172.exe
2006-12-04 01:25 1,411 --a------ C:\WINDOWS\system32\8164.exe
2006-12-04 01:21 1,411 --a------ C:\WINDOWS\system32\21086.exe
2006-12-04 01:15 1,411 --a------ C:\WINDOWS\system32\28496.exe
2006-12-04 01:11 1,411 --a------ C:\WINDOWS\system32\75467.exe
2006-12-04 01:05 1,411 --a------ C:\WINDOWS\system32\23524.exe
2006-12-04 01:01 1,411 --a------ C:\WINDOWS\system32\58998.exe
2006-12-04 00:54 1,411 --a------ C:\WINDOWS\system32\68447.exe
2006-12-04 00:50 1,411 --a------ C:\WINDOWS\system32\19399.exe
2006-12-04 00:44 1,411 --a------ C:\WINDOWS\system32\56361.exe
2006-12-04 00:40 1,411 --a------ C:\WINDOWS\system32\72650.exe
2006-12-04 00:33 1,411 --a------ C:\WINDOWS\system32\73478.exe
2006-12-04 00:30 1,411 --a------ C:\WINDOWS\system32\58222.exe
2006-12-04 00:23 1,411 --a------ C:\WINDOWS\system32\27359.exe
2006-12-04 00:20 1,411 --a------ C:\WINDOWS\system32\63057.exe
2006-12-04 00:13 1,411 --a------ C:\WINDOWS\system32\76935.exe
2006-12-04 00:13 1,411 --a------ C:\Documents and Settings\HkwL\FFBBEFC.exe
2006-12-04 00:10 1,411 --a------ C:\WINDOWS\system32\82716.exe
2006-12-03 19:35 d--hs---- C:\FOUND.018
2006-12-03 13:46 d--hs---- C:\FOUND.017
2006-12-03 13:32 d--hs---- C:\FOUND.016
2006-12-03 13:18 d--hs---- C:\FOUND.015
2006-12-03 13:04 d--hs---- C:\FOUND.014
2006-12-03 12:45 d--hs---- C:\FOUND.013
2006-12-03 00:59 d--hs---- C:\FOUND.012
2006-12-02 19:01 d--hs---- C:\FOUND.011
2006-12-02 11:33 d--hs---- C:\FOUND.010
2006-12-02 11:07 d--hs---- C:\FOUND.009
2006-12-02 10:40 d--hs---- C:\FOUND.008
2006-12-02 03:58 d--hs---- C:\FOUND.007
2006-12-02 03:44 d--hs---- C:\FOUND.006
2006-12-02 03:31 d--hs---- C:\FOUND.005
2006-12-02 03:17 d--hs---- C:\FOUND.004
2006-12-02 03:04 d--hs---- C:\FOUND.003
2006-12-01 16:59 d--hs---- C:\FOUND.002
2006-11-30 16:11 d--hs---- C:\FOUND.001
2006-11-30 12:51 d--hs---- C:\FOUND.000
2006-11-29 23:05 d-------- C:\WINDOWS\temp
2006-11-29 01:08 d-------- C:\WINDOWS\Minidump
2006-11-23 13:43 14,336 --a------ C:\WINDOWS\system32\18396.exe
2006-11-23 13:32 29,184 --------- C:\WINDOWS\system32\rpcc.dll
2006-11-23 13:21 44,032 --a------ C:\WINDOWS\system32\winupdate.dll
2006-11-23 13:20 94,208 --a------ C:\wupdmnt.dll
2006-11-23 13:20 67,584 --a------ C:\eied_s7_c_231bf2.exe
2006-11-22 01:52 720,896 --a------ C:\WINDOWS\iun6002.exe
2006-11-22 01:52 d-------- C:\Program Files\Lasten palapelit 1.0
2006-11-21 20:13 40,704 -ra------ C:\WINDOWS\system32\drivers\ser2pl.sys
2006-11-14 00:32 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-11-13 21:24 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe
2006-11-13 21:24 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-11-13 21:24 4,096 --a------ C:\WINDOWS\system32\reboot.exe
2006-11-13 21:24 38,400 --a------ C:\WINDOWS\system32\moveex.exe
2006-11-13 21:23 d-------- C:\Program Files\HaxFix
2006-11-13 17:50 d-------- C:\Documents and Settings\HkwL\Application Data\wsInspector
2006-11-13 06:35 d-------- C:\Program Files\MP4Cam2Avi
2006-11-13 06:32 d-------- C:\Program Files\Startup Inspector for Windows
2006-11-13 05:53 d-------- C:\Program Files\Lavasoft
2006-11-08 01:43 50,014 --a------ C:\WINDOWS\system32\adirss.exe
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-11-25 21:08 70724 --a------ C:\WINDOWS\system32\lzx32.sys
2006-11-13 06:06 23104 --a------ C:\WINDOWS\system32\drivers\avgmfrs.sys
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-13 14:37 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 14:37 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 14:37 142336 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 12:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-09-13 07:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"wupdate"="rundll32.exe C:\\WINDOWS\\system32\\winupdate.dll,wupdate"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Nykyinen kotisivu"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rpcc
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: 06-12-08 17:09:52.97
C:\ComboFix2.txt ... 06-12-04 17:15
C:\ComboFix.txt ... 06-12-08 17:09
C:\ComboFix3.txt ... 06-12-04 03:27Lataa http://www.downloads.subratam.org/KillBox.zipKillbox Option^Explicitiltä
Huomaa:Jos sinulla on jo Killbox, tämä on uusi versio joka sinun tulee asentaa. Poista aikaisempi
Tallenna työpöydällesi
Tupla-klikkaa Killbox.exe ajaaksesi ohjelman.
Valitse: Delete on Reboot sitten klikkaa All Files valintaa.
Kopioi ja liitä alapuolella olevat tiedostopolut leikepöydälle mustaamalla KAIKKI ne ja painamalla CTRL C (tai, mustaamisen jälkeen, oikea klikki hiirellä ja valitse kopioi):
C:\WINDOWS\system32\87105.exe
C:\WINDOWS\system32\37449.exe
C:\WINDOWS\system32\84896.exe
C:\WINDOWS\system32\10609.exe
C:\WINDOWS\system32\93513.exe
C:\WINDOWS\system32\41550.exe
C:\WINDOWS\system32\86504.exe
C:\WINDOWS\system32\68644.exe
C:\WINDOWS\system32\39848.exe
C:\WINDOWS\system32\45172.exe
C:\WINDOWS\system32\8164.exe
C:\WINDOWS\system32\21086.exe
C:\WINDOWS\system32\28496.exe
C:\WINDOWS\system32\75467.exe
C:\WINDOWS\system32\23524.exe
C:\WINDOWS\system32\58998.exe
C:\WINDOWS\system32\68447.exe
C:\WINDOWS\system32\19399.exe
C:\WINDOWS\system32\56361.exe
C:\WINDOWS\system32\72650.exe
C:\WINDOWS\system32\73478.exe
C:\WINDOWS\system32\58222.exe
C:\WINDOWS\system32\27359.exe
C:\WINDOWS\system32\63057.exe
C:\WINDOWS\system32\76935.exe
C:\WINDOWS\system32\82716.exe
C:\WINDOWS\system32\18396.exe
C:\WINDOWS\system32\rpcc.dll
C:\WINDOWS\system32\winupdate.dll
C:\wupdmnt.dll
C:\eied_s7_c_231bf2.exe
C:\WINDOWS\iun6002.exe
C:\WINDOWS\system32\adirss.exe
Palaa Killboxiin, mene File valikkoon, ja valitse Paste from Clipboard.
Klikkaa puna-valkoista Delete File valintaa. Klikkaa Yes "Delete on Reboot" pyyntöön. Klikkaa OK mihin vain PendingFileRenameOperations pyyntöön (ja anna fixaajan tietää jos jokin tälläinen tulee!).
Käynnistä koneesi itse jos se ei sitä automaattisesti tee
Jos saat tälläisen viestin: "Component 'MsComCtl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid." Kun yrität ajaa KillBoxia, klikkaa http://www.eudaemonia.me.uk/downloads/Files/missingfilesetup.exe ladataksesi ja ajaaksesi Missingfilessetup.exe;n. Sitten koita KillBoxia uudestaan.
Tallenna nämä ohjeet tekstitiedostoon tai tulosta nämä, muuten et pääse niihin käsiksi vikasietotilasta
Lataa AVG Anti-Spyware 7.5 http://www1.grisoft.com/doc/downloads-trials/lng/us/tpl/tpl01 ja tallenna ohjelma työpöydällesi.
Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa.
Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää.
Käynnistä AVG Anti-Spyware.
Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta.
Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa.
Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti.
Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine".
Sitten "Reports" valikon alta:
Laita täppi kohtaan "Automatically generate report after every scan"
Ota täppi pois kohdasta"Only if threats were found"
Sitten klikkaa "Shield" kuvaketta ikkunan ylälaidassa
"Resident shield is", muuta tila active:sta inactive:ksi
Sulje ohjelma, ÄLÄ skannaa vielä.]Käynnistä koneesi
vikasietotilaan, http://www.virustorjunta.net/modules.php?name=FAQ&myfaq=yes&id_cat=6&categories=Yleisohjeita ongelmatilanteiden ratkaisuun#37
Vikasietotilassa
Avaa HJT Paina do a system scan and save a logfile, laita ruksit seuraaviin riveihin ja paina Fix checked
O2 - BHO: Class - {E22705D4-AC93-3528-75FF-4FCAE2388E92} - C:\WINDOWS\jfaae1.dll (file missing)
O4 - HKLM\..\Run: [wupdate] rundll32.exe C:\WINDOWS\system32\winupdate.dll,wupdate
O20 - AppInit_DLLs:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
Onko sinulla mitään hajua mikä filu tämä mahtaisi olla C:\Documents and Settings\HkwL\==>FFBBEFC.exe - Rahina Rescue
Rahina Rescue kirjoitti:
Lataa http://www.downloads.subratam.org/KillBox.zipKillbox Option^Explicitiltä
Huomaa:Jos sinulla on jo Killbox, tämä on uusi versio joka sinun tulee asentaa. Poista aikaisempi
Tallenna työpöydällesi
Tupla-klikkaa Killbox.exe ajaaksesi ohjelman.
Valitse: Delete on Reboot sitten klikkaa All Files valintaa.
Kopioi ja liitä alapuolella olevat tiedostopolut leikepöydälle mustaamalla KAIKKI ne ja painamalla CTRL C (tai, mustaamisen jälkeen, oikea klikki hiirellä ja valitse kopioi):
C:\WINDOWS\system32\87105.exe
C:\WINDOWS\system32\37449.exe
C:\WINDOWS\system32\84896.exe
C:\WINDOWS\system32\10609.exe
C:\WINDOWS\system32\93513.exe
C:\WINDOWS\system32\41550.exe
C:\WINDOWS\system32\86504.exe
C:\WINDOWS\system32\68644.exe
C:\WINDOWS\system32\39848.exe
C:\WINDOWS\system32\45172.exe
C:\WINDOWS\system32\8164.exe
C:\WINDOWS\system32\21086.exe
C:\WINDOWS\system32\28496.exe
C:\WINDOWS\system32\75467.exe
C:\WINDOWS\system32\23524.exe
C:\WINDOWS\system32\58998.exe
C:\WINDOWS\system32\68447.exe
C:\WINDOWS\system32\19399.exe
C:\WINDOWS\system32\56361.exe
C:\WINDOWS\system32\72650.exe
C:\WINDOWS\system32\73478.exe
C:\WINDOWS\system32\58222.exe
C:\WINDOWS\system32\27359.exe
C:\WINDOWS\system32\63057.exe
C:\WINDOWS\system32\76935.exe
C:\WINDOWS\system32\82716.exe
C:\WINDOWS\system32\18396.exe
C:\WINDOWS\system32\rpcc.dll
C:\WINDOWS\system32\winupdate.dll
C:\wupdmnt.dll
C:\eied_s7_c_231bf2.exe
C:\WINDOWS\iun6002.exe
C:\WINDOWS\system32\adirss.exe
Palaa Killboxiin, mene File valikkoon, ja valitse Paste from Clipboard.
Klikkaa puna-valkoista Delete File valintaa. Klikkaa Yes "Delete on Reboot" pyyntöön. Klikkaa OK mihin vain PendingFileRenameOperations pyyntöön (ja anna fixaajan tietää jos jokin tälläinen tulee!).
Käynnistä koneesi itse jos se ei sitä automaattisesti tee
Jos saat tälläisen viestin: "Component 'MsComCtl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid." Kun yrität ajaa KillBoxia, klikkaa http://www.eudaemonia.me.uk/downloads/Files/missingfilesetup.exe ladataksesi ja ajaaksesi Missingfilessetup.exe;n. Sitten koita KillBoxia uudestaan.
Tallenna nämä ohjeet tekstitiedostoon tai tulosta nämä, muuten et pääse niihin käsiksi vikasietotilasta
Lataa AVG Anti-Spyware 7.5 http://www1.grisoft.com/doc/downloads-trials/lng/us/tpl/tpl01 ja tallenna ohjelma työpöydällesi.
Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa.
Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää.
Käynnistä AVG Anti-Spyware.
Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta.
Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa.
Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti.
Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine".
Sitten "Reports" valikon alta:
Laita täppi kohtaan "Automatically generate report after every scan"
Ota täppi pois kohdasta"Only if threats were found"
Sitten klikkaa "Shield" kuvaketta ikkunan ylälaidassa
"Resident shield is", muuta tila active:sta inactive:ksi
Sulje ohjelma, ÄLÄ skannaa vielä.]Käynnistä koneesi
vikasietotilaan, http://www.virustorjunta.net/modules.php?name=FAQ&myfaq=yes&id_cat=6&categories=Yleisohjeita ongelmatilanteiden ratkaisuun#37
Vikasietotilassa
Avaa HJT Paina do a system scan and save a logfile, laita ruksit seuraaviin riveihin ja paina Fix checked
O2 - BHO: Class - {E22705D4-AC93-3528-75FF-4FCAE2388E92} - C:\WINDOWS\jfaae1.dll (file missing)
O4 - HKLM\..\Run: [wupdate] rundll32.exe C:\WINDOWS\system32\winupdate.dll,wupdate
O20 - AppInit_DLLs:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
Onko sinulla mitään hajua mikä filu tämä mahtaisi olla C:\Documents and Settings\HkwL\==>FFBBEFC.exeLataa SDFix by AndyManchestahttp://downloads.andymanchesta.com/RemovalTools/SDFix.zip ja tallenna se työpöydällesi.
Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi:Käynnistä tietokone
Kun kuulet koneen piippaavan, paina F8, kuitenkin ennen Windowsin logon esiintuloa
Seuraavaksi pitäisi ilmestyä valikko
Valitse valikosta vikasietotila.
Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix.
Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman.
Paina Y käynnistääksesi skriptin.
Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot".
Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen.
Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta.
Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished".
Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle.
Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt[ sisältö viestiketjuusi uuden HijackThis lokin kera.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
- 996003
Riikan kukkaronnyöri on umpisolmussa
Kulutus ei lähde liikkeelle, koska kansalaiset eivät usko, että: – työpaikka säilyy – tulot eivät romahda – talous ei h804772Tanskan malli perustuu korkeaan ansioturvaan
Ja vahvoihin työllisyys- ja kotoutumispalveluihin. Suomessa Riikka on leikannut juuri näitä: palkkatukea, työttömyysturv963025Epäily: Räppäri yritti tappaa vauvansa.
https://www.mtvuutiset.fi/artikkeli/epaily-mies-yritti-tappaa-vauvansa/9300728 Tämä on erittäin järkyttävä teko täysin p262810Anteeksipyyntöni
Jätän tähän anteeksipyyntöni sinulle, koska en voi sanoa sitä missään muuallakaan. Pyydän anteeksi, jos purkamani tuska262095Sydämeni valtiaalle
En täältä aio asioita kysellä. Haluan tuoda tiedoksesi, että pohjimmiltani en ihmisiä tahdo satuttaa ja ajattelen muiden1191506Mikseivät suomalaiset kuluta? istutaan vaan säästötilirahojen päällä..
...Ihan haluamalla halutaan että maa menee konkurssiin? Ihan käsittämätöntä, ennätymäärät säästöjä sekä konkursseja sam3351057Oletko tyytyväinen
Tämän hetkiseen tilanteeseenne? Odotatko, että lähennytte vai yritätkö päästä yli ja eteenpäin?851028Jos oikeasti haluat vielä
Tee mitä miehen täytyy tehdä ja lähesty rohkeasti 📞 laita vaikka viestiä vielä kerran 😚125960- 48764