Ultimate Defender

========================================================================================

Escan Alaluukku: (11 kpl)
================

File C:\PROGRA~1\TOPSEA~1\TOPSEA~1.EXE tagged as not-a-virus:AdWare.Win32.TopSearch.a. No

Action Taken.

File C:\PROGRA~1\TOPSEA~1\TOPSEA~1.EXE tagged as not-a-virus:AdWare.Win32.TopSearch.a. No

Action Taken.

File C:\WINDOWS\od-stnd243.exe tagged as not-a-virus:Porn-Dialer.Win32.WebDialer. No Action

Taken.

File C:\WINDOWS\SexShows.exe tagged as not-a-virus:Porn-Dialer.Win32.Generic. No Action

Taken.

File C:\Documents and Settings\Omistaja\Työpöytä\SmitfraudFix\Reboot.exe tagged as

not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.

File C:\Documents and Settings\Omistaja\Työpöytä\SmitfraudFix.exe tagged as

not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.

File C:\hp\bin\KillWind.exe tagged as not-a-virus:RiskTool.Win32.PsKill.p. No Action Taken.

File C:\Program Files\TopSearch\TopSearch.dll tagged as

not-a-virus:AdWare.Win32.TopSearch.a. No Action Taken.

File C:\Program Files\TopSearch\TopSearch.exe tagged as

not-a-virus:AdWare.Win32.TopSearch.a. No Action Taken.

File C:\WINDOWS\od-stnd243.exe tagged as not-a-virus:Porn-Dialer.Win32.WebDialer. No Action

Taken.

File C:\WINDOWS\SexShows.exe tagged as not-a-virus:Porn-Dialer.Win32.Generic. No Action

Taken.


========================================================================================

Escan viruslog:
===============

Iso kuin mikä, 10614 kb. Laitan tänne vain vähän alkua ja loppua. Pistänkö koko jutun sähköpostissa?

alku:

Sun Aug 12 18:27:59 2007 => **********************************************************
Sun Aug 12 18:27:59 2007 => eScan AntiVirus Toolkit Utility.
Sun Aug 12 18:27:59 2007 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sun Aug 12 18:27:59 2007 => **********************************************************
Sun Aug 12 18:27:59 2007 => Version 4.4.7
Sun Aug 12 18:28:00 2007 => Log File: C:\KASPER~1\mwav.log
Sun Aug 12 18:28:02 2007 => Latest Date of files inside MWAV: 13 May 2007 14:04:31.
Sun Aug 12 18:28:37 2007 => AV Library Loaded...
Sun Aug 12 18:28:37 2007 => Scanning File C:\KASPER~1\kavss.exe
Sun Aug 12 18:28:38 2007 => Scanning File C:\KASPER~1\Getvlist.exe
Sun Aug 12 18:28:38 2007 => Scanning File C:\KASPER~1\kavss.dll
Sun Aug 12 18:28:38 2007 => Scanning File C:\KASPER~1\kavssdi.dll
Sun Aug 12 18:28:38 2007 => Scanning File C:\KASPER~1\kavssi.dll
Sun Aug 12 18:28:38 2007 => Scanning File C:\KASPER~1\kavvlg.dll
Sun Aug 12 18:28:39 2007 => Scanning File C:\KASPER~1\msvlclnt.dll
Sun Aug 12 18:28:39 2007 => Scanning File C:\KASPER~1\ipc.dll
Sun Aug 12 18:28:39 2007 => Scanning File C:\KASPER~1\main.avi
Sun Aug 12 18:28:39 2007 => Scanning File C:\KASPER~1\virus.avi
Sun Aug 12 18:28:41 2007 => Virus Database Date: 2007/05/13
Sun Aug 12 18:28:41 2007 => Virus Database Count: 318294
Sun Aug 12 18:37:28 2007 => **********************************************************
Sun Aug 12 18:37:28 2007 => eScan AntiVirus Toolkit Utility.
Sun Aug 12 18:37:28 2007 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sun Aug 12 18:37:28 2007 => **********************************************************
Sun Aug 12 18:37:28 2007 => Version 4.4.7
Sun Aug 12 18:37:28 2007 => Log File: c:\KASPER~1\mwav.log
Sun Aug 12 18:37:29 2007 => Latest Date of files inside MWAV: 12 Aug 2007 17:46:45.
Sun Aug 12 18:37:33 2007 => AV Library Loaded...
Sun Aug 12 18:37:33 2007 => Scanning File c:\KASPER~1\kavss.exe
Sun Aug 12 18:37:33 2007 => Scanning File c:\KASPER~1\Getvlist.exe
Sun Aug 12 18:37:33 2007 => Scanning File c:\KASPER~1\kavss.dll
Sun Aug 12 18:37:33 2007 => Scanning File c:\KASPER~1\kavssdi.dll
Sun Aug 12 18:37:33 2007 => Scanning File c:\KASPER~1\kavssi.dll
Sun Aug 12 18:37:34 2007 => Scanning File c:\KASPER~1\kavvlg.dll
Sun Aug 12 18:37:34 2007 => Scanning File c:\KASPER~1\msvlclnt.dll
Sun Aug 12 18:37:34 2007 => Scanning File c:\KASPER~1\ipc.dll
Sun Aug 12 18:37:34 2007 => Scanning File c:\KASPER~1\main.avi
Sun Aug 12 18:37:34 2007 => Scanning File c:\KASPER~1\virus.avi
Sun Aug 12 18:37:35 2007 => Virus Database Date: 2007/08/12
Sun Aug 12 18:37:35 2007 => Virus Database Count: 378983

Sun Aug 12 18:39:55 2007 => **********************************************************
Sun Aug 12 18:39:55 2007 => eScan AntiVirus Toolkit Utility.
Sun Aug 12 18:39:55 2007 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sun Aug 12 18:39:55 2007 =>
Sun Aug 12 18:39:55 2007 => Support: [email protected]
Sun Aug 12 18:39:55 2007 => Web: http://www.mwti.net
Sun Aug 12 18:39:55 2007 => **********************************************************
Sun Aug 12 18:39:55 2007 => Version 4.4.7
Sun Aug 12 18:39:55 2007 => Log File: c:\KASPER~1\mwav.log
Sun Aug 12 18:39:55 2007 => Latest Date of files inside MWAV: 12 Aug 2007 17:46:45.

...


loppu:

Sun Aug 12 21:52:32 2007 => ***** Checking for specific ITW Viruses *****
Sun Aug 12 21:52:32 2007 => Checking for Welchia Virus...
Sun Aug 12 21:52:32 2007 => Checking for LovGate Virus...
Sun Aug 12 21:52:32 2007 => Checking for CodeRed Virus...
Sun Aug 12 21:52:32 2007 => Checking for OpaServ Virus...
Sun Aug 12 21:52:32 2007 => Checking for Sobig.e Virus...
Sun Aug 12 21:52:32 2007 => Checking for Winupie Virus...
Sun Aug 12 21:52:32 2007 => Checking for Swen Virus...
Sun Aug 12 21:52:32 2007 => Checking for JS.Fortnight Virus...
Sun Aug 12 21:52:32 2007 => Checking for Novarg Virus...
Sun Aug 12 21:52:32 2007 => Checking for Pagabot Virus...
Sun Aug 12 21:52:32 2007 => Checking for Parite.b Virus...
Sun Aug 12 21:52:32 2007 => Checking for Parite.a Virus...

Sun Aug 12 21:52:32 2007 => ***** Scanning complete. *****

Sun Aug 12 21:52:32 2007 => Total Number of Files Scanned: 93574
Sun Aug 12 21:52:32 2007 => Total Number of Virus(es) Found: 11
Sun Aug 12 21:52:32 2007 => Total Number of Disinfected Files: 0
Sun Aug 12 21:52:32 2007 => Total Number of Files Renamed: 0
Sun Aug 12 21:52:32 2007 => Total Number of Deleted Files: 0
Sun Aug 12 21:52:32 2007 => Total Number of Errors: 2
Sun Aug 12 21:52:32 2007 => Time Elapsed: 03:12:36
Sun Aug 12 21:52:32 2007 => Virus Database Date: 2007/08/12
Sun Aug 12 21:52:32 2007 => Virus Database Count: 378983

Sun Aug 12 21:52:32 2007 => Scan Completed.

=================================================
Kopioin tähän harmaalla alueella olevan Resultin:

Result

Total Number of Files Scanned 93574

Total Number of Virus(es) Found 11

Total Number of Disinfected Files 0

Total Number of Deleted Files 0

Total Number of Files Renamed 0

Total Number of Errors 2

Time Elapsed 03:12:36

========================================================================================

HJT Scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:41, on 12.8.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\program\fsbwsys.exe
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\FSGK32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FCH32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Common\FAMEH32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsqh.exe
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsrw.exe
C:\Program Files\Elisa Tietoturvapalvelu\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsav32.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\ccwtup32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\TopSearch\TopSearch.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE
C:\PROGRA~1\ELISAT~1\ANTI-S~1\fsaw.exe
C:\Program Files\Elisa Tietoturvapalvelu\FSGUI\ispnews.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Elisa Tietoturvapalvelu\FSGUI\fsguidll.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\Program\fspex.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
c:\kaspersky\mwavscan.com
c:\kaspersky\kavss.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://ws1.appswebservice.com/index.php?tpid=10244&ttid=104
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =

localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program

Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_16_0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {47C54F02-1B28-45F1-AE46-B5CDFB6E7926} - C:\WINDOWS\duocore.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot -

Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program

Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN

Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program

files\google\googletoolbar.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN

Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fi\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program

Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_16_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

files\google\googletoolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN

Toolbar\MSN Toolbar\01.02.5000.1021\fi\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update

Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ShowShifter TVTV EPG Daemon] "C:\Program Files\Home Media Networks

Limited\ShowShifter\TVTVD.exe"
O4 - HKLM\..\Run: [CalCompUtil] ccwtup32.exe
O4 - HKLM\..\Run: [GTCO.wtxpload] C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TopSearch] C:\Program Files\TopSearch\TopSearch.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Elisa Tietoturvapalvelu\TNB\TNBUtil.exe"

/CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Elisa

Tietoturvapalvelu\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Elisa

Tietoturvapalvelu\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop

Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen

palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader

8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader

8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Elisa Tietoturvapalvelu.lnk = C:\Program Files\Elisa

Tietoturvapalvelu\backweb\4119343\Program\fspex.exe
O8 - Extra context menu item: &Estä tämä kohoikkuna - C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &Google Search - res://C:\Program

Files\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program

Files\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program

Files\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program

Files\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program

Files\Google\googletoolbar.dll/cmtrans.html
O8 - Extra context menu item: Web Rebates. - file://C:\Program

Files\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: IE-suojaus - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program

Files\Elisa Tietoturvapalvelu\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-suojaus... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} -

C:\Program Files\Elisa Tietoturvapalvelu\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583}

- C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation

Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class)

- http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program

Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O21 - SSODL: wmpenv - {6B50638B-4678-4E74-9A8A-1231F4141BDE} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {9FFED03B-98FC-45EF-8E4A-CBF4D0219762} - C:\WINDOWS\wmpconf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program

Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Elisa Tietoturvapalvelu (BackWeb Plug-in - 4119343) - BackWeb Technologies

Inc. - C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation -

C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
O23 - Service: FSBWSYS (fsbwsys) - F-Secure Corp. - C:\Program Files\Elisa

Tietoturvapalvelu\backweb\4119343\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation -

C:\Program Files\Elisa Tietoturvapalvelu\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program

Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINDOWS\System32\Wintab32.exe
O24 - Desktop Component 0: (no name) -

file:///C:/Documents%20and%20Settings/Omistaja/Omat%20tiedostot/Omat%20kuvatiedostot/skanna

tut/nimet%F6n3.jpg
O24 - Desktop Component 1: (no name) -

http://banner.elisa.net:8080/adimage.php?filename=9.gif&contenttype=gif
O24 - Desktop Component 2: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 11690 bytes

Nyt pitää nukkua.

Altis Amatööri kirjoitti:

Nyt pitää nukkua.

ultimate defenderi lähtee smitfraudfixillä XD

Altis Amatööri kirjoitti:

Nyt pitää nukkua.

TopSearch

Poistelen vain kirjoitti:

TopSearch

Tässä kävi niin, että kilautin kaverille, joka tuli paikalle ja tilanne korjautui tällaiseksi.

HUOM! Tätä ei siis ole tehty sun neuvon mukaan vaan improvisoiden.

Uusi loki, Olisko tää OK? (toivottavasti). Suuret kiitokset sulle joka tapauksessa.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:29, on 13.8.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00

(7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware

2007\aawservice.exe
C:\PROGRA~1\ELISAT~1\backweb\4119343\Progr

am\SERVIC~1.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
C:\Program Files\Elisa

Tietoturvapalvelu\backweb\4119343\program\

fsbwsys.exe
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\FSGK32.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSMA32.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\Microsoft

Shared\VS7Debug\mdm.exe
C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSMB32.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Elisa

Tietoturvapalvelu\backweb\4119343\Program\

fspex.exe
C:\Program Files\Elisa

Tietoturvapalvelu\Common\FAMEH32.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fsqh.exe
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fsrw.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\ccwtup32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program

Files\Logitech\Video\LogiTray.exe
C:\Program Files\TopSearch\TopSearch.exe
C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSM32.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fsav32.exe
C:\Program Files\Elisa

Tietoturvapalvelu\FSGUI\ispnews.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elisa

Tietoturvapalvelu\FWES\Program\fsdfwd.exe
C:\Program Files\Common

Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ELISAT~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop

Messenger\8876480\Program\LogitechDesktopM

essenger.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Elisa

Tietoturvapalvelu\FSGUI\fsguidll.exe
C:\Program Files\Trend

Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Bar =

http://ws1.appswebservice.com/index.php?tp

id=10244&ttid=104
R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page =

http://www.google.fi/
R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet

Explorer\Main,Local Page =
R1 -

HKCU\Software\Microsoft\Windows\CurrentVer

sion\Internet Settings,ProxyOverride =

localhost
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Companion BHO -

{02478D38-C3F9-4efb-9B51-7695ECA05670} -

C:\Program

Files\Yahoo!\Companion\Installs\cpn\ycomp5

_3_16_0.dll
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Common

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.d

ll
O2 - BHO: (no name) -

{47C54F02-1B28-45F1-AE46-B5CDFB6E7926} -

(no file)
O2 - BHO: (no name) -

{53707962-6F74-2D53-2644-206D7942484F} -

C:\Program Files\Spybot - Search &

Destroy\SDHelper.dll
O2 - BHO: (no name) -

{7E853D72-626A-48EC-A868-BA8D5E23E045} -

(no file)
O2 - BHO: Windows Live Sign-in Helper -

{9030D464-4C02-4ABF-8ECC-5164760863C6} -

C:\Program Files\Common Files\Microsoft

Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST -

{9394EDE7-C8B5-483E-8773-474BF36AF6E4} -

C:\Program Files\MSN

Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper -

{AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\program files\google\googletoolbar.dll
O2 - BHO: MSNToolBandBHO -

{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -

C:\Program Files\MSN Apps\MSN Toolbar\MSN

Toolbar\01.02.5000.1021\fi\msntb.dll
O3 - Toolbar: Yahoo! Toolbar -

{EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Program

Files\Yahoo!\Companion\Installs\cpn\ycomp5

_3_16_0.dll
O3 - Toolbar: &Google -

{2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\program files\google\googletoolbar.dll
O3 - Toolbar: MSN -

{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -

C:\Program Files\MSN Apps\MSN Toolbar\MSN

Toolbar\01.02.5000.1021\fi\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv]

c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds]

C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard]

"C:\Program Files\Common

Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard]

C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ShowShifter TVTV EPG

Daemon] "C:\Program Files\Home Media

Networks Limited\ShowShifter\TVTVD.exe"
O4 - HKLM\..\Run: [CalCompUtil]

ccwtup32.exe
O4 - HKLM\..\Run: [GTCO.wtxpload]

C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [AlcxMonitor]

ALCXMNTR.EXE
O4 - HKLM\..\Run: [LVCOMSX]

C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair]

C:\Program

Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray]

C:\Program

Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TopSearch] C:\Program

Files\TopSearch\TopSearch.exe
O4 - HKLM\..\Run: [F-Secure Manager]

"C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSM32.EXE"

/splash
O4 - HKLM\..\Run: [F-Secure TNB]

"C:\Program Files\Elisa

Tietoturvapalvelu\TNB\TNBUtil.exe"

/CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup

Wizard] "C:\Program Files\Elisa

Tietoturvapalvelu\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service]

"C:\Program Files\Elisa

Tietoturvapalvelu\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program

Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program

Files\Common

Files\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [KernelFaultCheck]

%systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task]

"C:\Program Files\QuickTime\qttask.exe"

-atboottime
O4 - HKLM\..\Run: [iTunesHelper]

"C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program

Files\Logitech\Desktop

Messenger\8876480\Program\LogitechDesktopM

essenger.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE]

C:\WINDOWS\System32\CTFMON.EXE (User

'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]

C:\WINDOWS\System32\CTFMON.EXE (User

'Verkkopalve')
O4 - Global Startup: Adobe Reader Speed

Launch.lnk = C:\Program Files\Adobe\Reader

8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader

Synchronizer.lnk = C:\Program

Files\Adobe\Reader

8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Elisa

Tietoturvapalvelu.lnk = C:\Program

Files\Elisa

Tietoturvapalvelu\backweb\4119343\Program\

fspex.exe
O8 - Extra context menu item: &Estä tämä

kohoikkuna - C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Spyware\blockpopups

.htm
O8 - Extra context menu item: &Google

Search - res://C:\Program

Files\Google\googletoolbar.dll/cmsearch.ht

ml
O8 - Extra context menu item: Backward

&Links - res://C:\Program

Files\Google\googletoolbar.dll/cmbacklinks

.html
O8 - Extra context menu item: Cac&hed

Snapshot of Page - res://C:\Program

Files\Google\googletoolbar.dll/cmcache.htm

l
O8 - Extra context menu item: Si&milar

Pages - res://C:\Program

Files\Google\googletoolbar.dll/cmsimilar.h

tml
O8 - Extra context menu item: Translate

into English - res://C:\Program

Files\Google\googletoolbar.dll/cmtrans.htm

l
O8 - Extra context menu item: Web Rebates.

- file://C:\Program

Files\WebRebates4\websrebates\webtrebates\

toprC0.htm
O9 - Extra button: IE-suojaus -

{300DB664-75B5-47c0-8B45-A44ACCF73C00} -

C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Spyware\ieshield.dl

l
O9 - Extra 'Tools' menuitem: IE-suojaus...

- {300DB664-75B5-47c0-8B45-A44ACCF73C00} -

C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Spyware\ieshield.dl

l
O9 - Extra button: (no name) -

{e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem:

@xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O16 - DPF:

{17492023-C23A-453E-A040-C7C580BBF700}

(Windows Genuine Advantage Validation

Tool) -

http://go.microsoft.com/fwlink/?linkid=392

04
O16 - DPF:

{9A9307A0-7DA4-4DAF-B042-5009F29E09E1}

(ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as

5free/asinst.cab
O16 - DPF:

{B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

(MsnMessengerSetupDownloadControl Class) -

http://messenger.msn.com/download/msnmesse

ngersetupdownloader.cab
O16 - DPF:

{D27CDB6E-AE6D-11CF-96B8-444553540000}

(Shockwave Flash Object) -

http://fpdownload2.macromedia.com/get/shoc

kwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 -

{9462A756-7B47-47BC-8C80-C34B9B80B32B} -

C:\Program Files\Logitech\Desktop

Messenger\8876480\Program\GAPlugProtocol-8

876480.dll
O21 - SSODL: wmpenv -

{6B50638B-4678-4E74-9A8A-1231F4141BDE} -

(no file)
O21 - SSODL: wmpconf -

{9FFED03B-98FC-45EF-8E4A-CBF4D0219762} -

(no file)
O23 - Service: Ad-Aware 2007 Service

(aawservice) - Lavasoft AB - C:\Program

Files\Lavasoft\Ad-Aware

2007\aawservice.exe
O23 - Service: Elisa Tietoturvapalvelu

(BackWeb Plug-in - 4119343) - BackWeb

Technologies Inc.

-

C:\PROGRA~1\ELISAT~1\backweb\4119343\Progr

am\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper

Handler Starter) - F-Secure Corporation -

C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
O23 - Service: FSBWSYS (fsbwsys) -

F-Secure Corp. - C:\Program Files\Elisa

Tietoturvapalvelu\backweb\4119343\program\

fsbwsys.exe
O23 - Service: F-Secure Anti-Virus

Firewall Daemon (FSDFWD) - F-Secure

Corporation - C:\Program Files\Elisa

Tietoturvapalvelu\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation

- C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager

(IDriverT) - Macrovision Corporation -

C:\Program Files\Common

Files\InstallShield\Driver\11\Intel

32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service)

- Apple Inc. - C:\Program

Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper

Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP -

C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Wintab32 - Unknown owner -

C:\WINDOWS\System32\Wintab32.exe

--
End of file - 10796 bytes

Poistelen vain kirjoitti:

TopSearch

Se top search kyllä on muutamassa paikassa siellä mun uudessakin lokissa. Pitäisköhän sille tehdä jotain? Kone kyllä näytti toimivan taas normaalisti.

Altis Amatööri kirjoitti:

Tässä kävi niin, että kilautin kaverille, joka tuli paikalle ja tilanne korjautui tällaiseksi.

HUOM! Tätä ei siis ole tehty sun neuvon mukaan vaan improvisoiden.

Uusi loki, Olisko tää OK? (toivottavasti). Suuret kiitokset sulle joka tapauksessa.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:29, on 13.8.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00

(7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware

2007\aawservice.exe
C:\PROGRA~1\ELISAT~1\backweb\4119343\Progr

am\SERVIC~1.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
C:\Program Files\Elisa

Tietoturvapalvelu\backweb\4119343\program\

fsbwsys.exe
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\FSGK32.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSMA32.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\Microsoft

Shared\VS7Debug\mdm.exe
C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSMB32.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Elisa

Tietoturvapalvelu\backweb\4119343\Program\

fspex.exe
C:\Program Files\Elisa

Tietoturvapalvelu\Common\FAMEH32.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fsqh.exe
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fsrw.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\ccwtup32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program

Files\Logitech\Video\LogiTray.exe
C:\Program Files\TopSearch\TopSearch.exe
C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSM32.EXE
C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fsav32.exe
C:\Program Files\Elisa

Tietoturvapalvelu\FSGUI\ispnews.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elisa

Tietoturvapalvelu\FWES\Program\fsdfwd.exe
C:\Program Files\Common

Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ELISAT~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop

Messenger\8876480\Program\LogitechDesktopM

essenger.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Elisa

Tietoturvapalvelu\FSGUI\fsguidll.exe
C:\Program Files\Trend

Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Bar =

http://ws1.appswebservice.com/index.php?tp

id=10244&ttid=104
R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page =

http://www.google.fi/
R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet

Explorer\Main,Local Page =
R1 -

HKCU\Software\Microsoft\Windows\CurrentVer

sion\Internet Settings,ProxyOverride =

localhost
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Companion BHO -

{02478D38-C3F9-4efb-9B51-7695ECA05670} -

C:\Program

Files\Yahoo!\Companion\Installs\cpn\ycomp5

_3_16_0.dll
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Common

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.d

ll
O2 - BHO: (no name) -

{47C54F02-1B28-45F1-AE46-B5CDFB6E7926} -

(no file)
O2 - BHO: (no name) -

{53707962-6F74-2D53-2644-206D7942484F} -

C:\Program Files\Spybot - Search &

Destroy\SDHelper.dll
O2 - BHO: (no name) -

{7E853D72-626A-48EC-A868-BA8D5E23E045} -

(no file)
O2 - BHO: Windows Live Sign-in Helper -

{9030D464-4C02-4ABF-8ECC-5164760863C6} -

C:\Program Files\Common Files\Microsoft

Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST -

{9394EDE7-C8B5-483E-8773-474BF36AF6E4} -

C:\Program Files\MSN

Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper -

{AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\program files\google\googletoolbar.dll
O2 - BHO: MSNToolBandBHO -

{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -

C:\Program Files\MSN Apps\MSN Toolbar\MSN

Toolbar\01.02.5000.1021\fi\msntb.dll
O3 - Toolbar: Yahoo! Toolbar -

{EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Program

Files\Yahoo!\Companion\Installs\cpn\ycomp5

_3_16_0.dll
O3 - Toolbar: &Google -

{2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\program files\google\googletoolbar.dll
O3 - Toolbar: MSN -

{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -

C:\Program Files\MSN Apps\MSN Toolbar\MSN

Toolbar\01.02.5000.1021\fi\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv]

c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds]

C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard]

"C:\Program Files\Common

Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard]

C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ShowShifter TVTV EPG

Daemon] "C:\Program Files\Home Media

Networks Limited\ShowShifter\TVTVD.exe"
O4 - HKLM\..\Run: [CalCompUtil]

ccwtup32.exe
O4 - HKLM\..\Run: [GTCO.wtxpload]

C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [AlcxMonitor]

ALCXMNTR.EXE
O4 - HKLM\..\Run: [LVCOMSX]

C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair]

C:\Program

Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray]

C:\Program

Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TopSearch] C:\Program

Files\TopSearch\TopSearch.exe
O4 - HKLM\..\Run: [F-Secure Manager]

"C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSM32.EXE"

/splash
O4 - HKLM\..\Run: [F-Secure TNB]

"C:\Program Files\Elisa

Tietoturvapalvelu\TNB\TNBUtil.exe"

/CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup

Wizard] "C:\Program Files\Elisa

Tietoturvapalvelu\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service]

"C:\Program Files\Elisa

Tietoturvapalvelu\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program

Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program

Files\Common

Files\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [KernelFaultCheck]

%systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task]

"C:\Program Files\QuickTime\qttask.exe"

-atboottime
O4 - HKLM\..\Run: [iTunesHelper]

"C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program

Files\Logitech\Desktop

Messenger\8876480\Program\LogitechDesktopM

essenger.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE]

C:\WINDOWS\System32\CTFMON.EXE (User

'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]

C:\WINDOWS\System32\CTFMON.EXE (User

'Verkkopalve')
O4 - Global Startup: Adobe Reader Speed

Launch.lnk = C:\Program Files\Adobe\Reader

8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader

Synchronizer.lnk = C:\Program

Files\Adobe\Reader

8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Elisa

Tietoturvapalvelu.lnk = C:\Program

Files\Elisa

Tietoturvapalvelu\backweb\4119343\Program\

fspex.exe
O8 - Extra context menu item: &Estä tämä

kohoikkuna - C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Spyware\blockpopups

.htm
O8 - Extra context menu item: &Google

Search - res://C:\Program

Files\Google\googletoolbar.dll/cmsearch.ht

ml
O8 - Extra context menu item: Backward

&Links - res://C:\Program

Files\Google\googletoolbar.dll/cmbacklinks

.html
O8 - Extra context menu item: Cac&hed

Snapshot of Page - res://C:\Program

Files\Google\googletoolbar.dll/cmcache.htm

l
O8 - Extra context menu item: Si&milar

Pages - res://C:\Program

Files\Google\googletoolbar.dll/cmsimilar.h

tml
O8 - Extra context menu item: Translate

into English - res://C:\Program

Files\Google\googletoolbar.dll/cmtrans.htm

l
O8 - Extra context menu item: Web Rebates.

- file://C:\Program

Files\WebRebates4\websrebates\webtrebates\

toprC0.htm
O9 - Extra button: IE-suojaus -

{300DB664-75B5-47c0-8B45-A44ACCF73C00} -

C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Spyware\ieshield.dl

l
O9 - Extra 'Tools' menuitem: IE-suojaus...

- {300DB664-75B5-47c0-8B45-A44ACCF73C00} -

C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Spyware\ieshield.dl

l
O9 - Extra button: (no name) -

{e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem:

@xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O16 - DPF:

{17492023-C23A-453E-A040-C7C580BBF700}

(Windows Genuine Advantage Validation

Tool) -

http://go.microsoft.com/fwlink/?linkid=392

04
O16 - DPF:

{9A9307A0-7DA4-4DAF-B042-5009F29E09E1}

(ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as

5free/asinst.cab
O16 - DPF:

{B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

(MsnMessengerSetupDownloadControl Class) -

http://messenger.msn.com/download/msnmesse

ngersetupdownloader.cab
O16 - DPF:

{D27CDB6E-AE6D-11CF-96B8-444553540000}

(Shockwave Flash Object) -

http://fpdownload2.macromedia.com/get/shoc

kwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 -

{9462A756-7B47-47BC-8C80-C34B9B80B32B} -

C:\Program Files\Logitech\Desktop

Messenger\8876480\Program\GAPlugProtocol-8

876480.dll
O21 - SSODL: wmpenv -

{6B50638B-4678-4E74-9A8A-1231F4141BDE} -

(no file)
O21 - SSODL: wmpconf -

{9FFED03B-98FC-45EF-8E4A-CBF4D0219762} -

(no file)
O23 - Service: Ad-Aware 2007 Service

(aawservice) - Lavasoft AB - C:\Program

Files\Lavasoft\Ad-Aware

2007\aawservice.exe
O23 - Service: Elisa Tietoturvapalvelu

(BackWeb Plug-in - 4119343) - BackWeb

Technologies Inc.

-

C:\PROGRA~1\ELISAT~1\backweb\4119343\Progr

am\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper

Handler Starter) - F-Secure Corporation -

C:\Program Files\Elisa

Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
O23 - Service: FSBWSYS (fsbwsys) -

F-Secure Corp. - C:\Program Files\Elisa

Tietoturvapalvelu\backweb\4119343\program\

fsbwsys.exe
O23 - Service: F-Secure Anti-Virus

Firewall Daemon (FSDFWD) - F-Secure

Corporation - C:\Program Files\Elisa

Tietoturvapalvelu\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation

- C:\Program Files\Elisa

Tietoturvapalvelu\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager

(IDriverT) - Macrovision Corporation -

C:\Program Files\Common

Files\InstallShield\Driver\11\Intel

32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service)

- Apple Inc. - C:\Program

Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper

Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP -

C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Wintab32 - Unknown owner -

C:\WINDOWS\System32\Wintab32.exe

--
End of file - 10796 bytes

Lue lisää

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:29, on 13.8.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00

(7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware
2007\aawservice.exe
C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fsgk32st.exe
C:\Program Files\ElisaTietoturvapalvelu\backweb\4119343\program\fsbwsys.exe
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\FSGK32.EXE
C:\Program Files\ElisaTietoturvapalvelu\Common\FSMA32.EXE
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\MicrosoftShared\VS7Debug\mdm.exe
C:\Program Files\ElisaTietoturvapalvelu\Common\FSMB32.EXE
C:\Program Files\ElisaTietoturvapalvelu\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Elisa
Tietoturvapalvelu\backweb\4119343\Program\fspex.exe
C:\Program Files\ElisaTietoturvapalvelu\Common\FAMEH32.EXE
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fsqh.exe
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fsrw.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\ccwtup32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\ProgramFiles\Logitech\Video\LogiTray.exe
C:\Program Files\TopSearch\TopSearch.exe
C:\Program Files\ElisaTietoturvapalvelu\Common\FSM32.EXE
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fsav32.exe
C:\Program Files\ElisaTietoturvapalvelu\FSGUI\ispnews.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ElisaTietoturvapalvelu\FWES\Program\fsdfwd.exe
C:\Program Files\CommonFiles\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ELISAT~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\DesktopMessenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ElisaTietoturvapalvelu\FSGUI\fsguidll.exe
C:\Program Files\TrendMicro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet
Explorer\Main,Search Bar =http://ws1.appswebservice.com/index.php?tp
id=10244&ttid=104
R0 - HKCU\Software\Microsoft\InternetExplorer\Main,Start Page =
http://www.google.fi/
R0 - HKCU\Software\Microsoft\InternetExplorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\InternetExplorer\Main,Local Page =
R1 -HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
localhost
R0 - HKCU\Software\Microsoft\InternetExplorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Companion BHO -{02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:\ProgramFiles\Yahoo!\Companion\Installs\cpn\ycomp5_3_16_0.dll
O2 - BHO: Adobe PDF Reader Link Helper -{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\CommonFiles\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) -{47C54F02-1B28-45F1-AE46-B5CDFB6E7926} -(no file)
O2 - BHO: (no name) -{53707962-6F74-2D53-2644-206D7942484F} -
C:\Program Files\Spybot - Search &Destroy\SDHelper.dll
O2 - BHO: (no name) -{7E853D72-626A-48EC-A868-BA8D5E23E045} -(no file)
O2 - BHO: Windows Live Sign-in Helper -{9030D464-4C02-4ABF-8ECC-5164760863C6} -
C:\Program Files\Common Files\MicrosoftShared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST -{9394EDE7-C8B5-483E-8773-474BF36AF6E4} -
C:\Program Files\MSNApps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper -{AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar.dll
O2 - BHO: MSNToolBandBHO -{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:\Program Files\MSN Apps\MSN Toolbar\MSNToolbar\01.02.5000.1021\fi\msntb.dll
O3 - Toolbar: Yahoo! Toolbar -{EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:\ProgramFiles\Yahoo!\Companion\Installs\cpn\ycomp5_3_16_0.dll
O3 - Toolbar: &Google -{2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\program files\google\googletoolbar.dll
O3 - Toolbar: MSN -{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:\Program Files\MSN Apps\MSN Toolbar\MSNToolbar\01.02.5000.1021\fi\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv]c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds]C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard]"C:\Program Files\CommonFiles\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard]C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ShowShifter TVTV EPGDaemon] "C:\Program Files\Home MediaNetworks Limited\ShowShifter\TVTVD.exe"
O4 - HKLM\..\Run: [CalCompUtil]ccwtup32.exe
O4 - HKLM\..\Run: [GTCO.wtxpload]C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [AlcxMonitor]ALCXMNTR.EXE
O4 - HKLM\..\Run: [LVCOMSX]C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair]C:\ProgramFiles\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray]C:\ProgramFiles\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TopSearch] C:\ProgramFiles\TopSearch\TopSearch.exe
O4 - HKLM\..\Run: [F-Secure Manager]"C:\Program Files\ElisaTietoturvapalvelu\Common\FSM32.EXE"/splash
O4 - HKLM\..\Run: [F-Secure TNB]"C:\Program Files\ElisaTietoturvapalvelu\TNB\TNBUtil.exe"/CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure StartupWizard] "C:\Program Files\ElisaTietoturvapalvelu\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service]"C:\Program Files\ElisaTietoturvapalvelu\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\ProgramFiles\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\ProgramFiles\CommonFiles\Real\Update_OB\realsched.exe"-osboot
O4 - HKLM\..\Run: [KernelFaultCheck]%systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task]"C:\Program Files\QuickTime\qttask.exe"-atboottime
O4 - HKLM\..\Run: [iTunesHelper]"C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe]C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\ProgramFiles\Logitech\DesktopMessenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE]C:\WINDOWS\System32\CTFMON.EXE (User'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]C:\WINDOWS\System32\CTFMON.EXE (User'Verkkopalve')
O4 - Global Startup: Adobe Reader SpeedLaunch.lnk = C:\Program Files\Adobe\Reader8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe ReaderSynchronizer.lnk = C:\ProgramFiles\Adobe\Reader8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ElisaTietoturvapalvelu.lnk = C:\ProgramFiles\ElisaTietoturvapalvelu\backweb\4119343\Program\fspex.exe
O8 - Extra context menu item: &Estä tämäkohoikkuna - C:\Program Files\ElisaTietoturvapalvelu\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &GoogleSearch - res://C:\ProgramFiles\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward&Links - res://C:\ProgramFiles\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hedSnapshot of Page - res://C:\ProgramFiles\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: Si&milarPages - res://C:\ProgramFiles\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translateinto English - res://C:\ProgramFiles\Google\googletoolbar.dll/cmtrans.html
O8 - Extra context menu item: Web Rebates.- file://C:\ProgramFiles\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button:IE-suojaus-{300DB664-75B5-47c0-8B45-A44ACCF73C00}-C:\ProgramFiles\ElisaTietoturvapalvelu\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-suojaus...- {300DB664-75B5-47c0-8B45-A44ACCF73C00} -C:\ProgramFiles\ElisaTietoturvapalvelu\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) -{e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\NetworkDiagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem:@xpsp3res.dll,-20001 -{e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\NetworkDiagnostic\xpnetdiag.exe
O16 - DPF:{17492023-C23A-453E-A040-C7C580BBF700}
(Windows Genuine Advantage ValidationTool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF:{9A9307A0-7DA4-4DAF-B042-5009F29E09E1}(ActiveScan Installer Class) -
http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF:{B38870E4-7ECB-40DA-8C6A-595F0A5519FF}(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF:{D27CDB6E-AE6D-11CF-96B8-444553540000}(Shockwave Flash Object) -
http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 -{9462A756-7B47-47BC-8C80-C34B9B80B32B} -
C:\Program Files\Logitech\DesktopMessenger\8876480\Program\GAPlugProtocol-8876480.dll
O21 - SSODL: wmpenv -{6B50638B-4678-4E74-9A8A-1231F4141BDE} -(no file)
O21 - SSODL: wmpconf -{9FFED03B-98FC-45EF-8E4A-CBF4D0219762} -(no file)
O23 - Service: Ad-Aware 2007 Service(aawservice) - Lavasoft AB -
C:\ProgramFiles\Lavasoft\Ad-Aware2007\aawservice.exe
O23 - Service: Elisa Tietoturvapalvelu(BackWeb Plug-in - 4119343) - BackWebTechnologies Inc.
-C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure GatekeeperHandler Starter) - F-Secure Corporation -
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fsgk32st.exe
O23 - Service: FSBWSYS (fsbwsys) -F-Secure Corp. -
C:\Program Files\ElisaTietoturvapalvelu\backweb\4119343\program\fsbwsys.exe
O23 - Service: F-Secure Anti-VirusFirewall Daemon (FSDFWD) - F-SecureCorporation -
C:\Program Files\ElisaTietoturvapalvelu\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation-
C:\Program Files\ElisaTietoturvapalvelu\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager(IDriverT) - Macrovision Corporation -
C:\Program Files\CommonFiles\InstallShield\Driver\11\Intel32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service)- Apple Inc. -
C:\ProgramFiles\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver HelperService (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP -
C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Wintab32 - Unknown owner -
C:\WINDOWS\System32\Wintab32.exe

korjasin_ kirjoitti:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:29, on 13.8.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00

(7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware
2007\aawservice.exe
C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fsgk32st.exe
C:\Program Files\ElisaTietoturvapalvelu\backweb\4119343\program\fsbwsys.exe
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\FSGK32.EXE
C:\Program Files\ElisaTietoturvapalvelu\Common\FSMA32.EXE
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\MicrosoftShared\VS7Debug\mdm.exe
C:\Program Files\ElisaTietoturvapalvelu\Common\FSMB32.EXE
C:\Program Files\ElisaTietoturvapalvelu\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Elisa
Tietoturvapalvelu\backweb\4119343\Program\fspex.exe
C:\Program Files\ElisaTietoturvapalvelu\Common\FAMEH32.EXE
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fsqh.exe
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fsrw.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\ccwtup32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\ProgramFiles\Logitech\Video\LogiTray.exe
C:\Program Files\TopSearch\TopSearch.exe
C:\Program Files\ElisaTietoturvapalvelu\Common\FSM32.EXE
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fsav32.exe
C:\Program Files\ElisaTietoturvapalvelu\FSGUI\ispnews.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ElisaTietoturvapalvelu\FWES\Program\fsdfwd.exe
C:\Program Files\CommonFiles\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ELISAT~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\DesktopMessenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ElisaTietoturvapalvelu\FSGUI\fsguidll.exe
C:\Program Files\TrendMicro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet
Explorer\Main,Search Bar =http://ws1.appswebservice.com/index.php?tp
id=10244&ttid=104
R0 - HKCU\Software\Microsoft\InternetExplorer\Main,Start Page =
http://www.google.fi/
R0 - HKCU\Software\Microsoft\InternetExplorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\InternetExplorer\Main,Local Page =
R1 -HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
localhost
R0 - HKCU\Software\Microsoft\InternetExplorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Companion BHO -{02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:\ProgramFiles\Yahoo!\Companion\Installs\cpn\ycomp5_3_16_0.dll
O2 - BHO: Adobe PDF Reader Link Helper -{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\CommonFiles\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) -{47C54F02-1B28-45F1-AE46-B5CDFB6E7926} -(no file)
O2 - BHO: (no name) -{53707962-6F74-2D53-2644-206D7942484F} -
C:\Program Files\Spybot - Search &Destroy\SDHelper.dll
O2 - BHO: (no name) -{7E853D72-626A-48EC-A868-BA8D5E23E045} -(no file)
O2 - BHO: Windows Live Sign-in Helper -{9030D464-4C02-4ABF-8ECC-5164760863C6} -
C:\Program Files\Common Files\MicrosoftShared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST -{9394EDE7-C8B5-483E-8773-474BF36AF6E4} -
C:\Program Files\MSNApps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper -{AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar.dll
O2 - BHO: MSNToolBandBHO -{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:\Program Files\MSN Apps\MSN Toolbar\MSNToolbar\01.02.5000.1021\fi\msntb.dll
O3 - Toolbar: Yahoo! Toolbar -{EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:\ProgramFiles\Yahoo!\Companion\Installs\cpn\ycomp5_3_16_0.dll
O3 - Toolbar: &Google -{2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\program files\google\googletoolbar.dll
O3 - Toolbar: MSN -{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:\Program Files\MSN Apps\MSN Toolbar\MSNToolbar\01.02.5000.1021\fi\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv]c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds]C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard]"C:\Program Files\CommonFiles\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard]C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ShowShifter TVTV EPGDaemon] "C:\Program Files\Home MediaNetworks Limited\ShowShifter\TVTVD.exe"
O4 - HKLM\..\Run: [CalCompUtil]ccwtup32.exe
O4 - HKLM\..\Run: [GTCO.wtxpload]C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [AlcxMonitor]ALCXMNTR.EXE
O4 - HKLM\..\Run: [LVCOMSX]C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair]C:\ProgramFiles\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray]C:\ProgramFiles\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TopSearch] C:\ProgramFiles\TopSearch\TopSearch.exe
O4 - HKLM\..\Run: [F-Secure Manager]"C:\Program Files\ElisaTietoturvapalvelu\Common\FSM32.EXE"/splash
O4 - HKLM\..\Run: [F-Secure TNB]"C:\Program Files\ElisaTietoturvapalvelu\TNB\TNBUtil.exe"/CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure StartupWizard] "C:\Program Files\ElisaTietoturvapalvelu\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service]"C:\Program Files\ElisaTietoturvapalvelu\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\ProgramFiles\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\ProgramFiles\CommonFiles\Real\Update_OB\realsched.exe"-osboot
O4 - HKLM\..\Run: [KernelFaultCheck]%systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task]"C:\Program Files\QuickTime\qttask.exe"-atboottime
O4 - HKLM\..\Run: [iTunesHelper]"C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe]C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\ProgramFiles\Logitech\DesktopMessenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE]C:\WINDOWS\System32\CTFMON.EXE (User'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]C:\WINDOWS\System32\CTFMON.EXE (User'Verkkopalve')
O4 - Global Startup: Adobe Reader SpeedLaunch.lnk = C:\Program Files\Adobe\Reader8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe ReaderSynchronizer.lnk = C:\ProgramFiles\Adobe\Reader8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ElisaTietoturvapalvelu.lnk = C:\ProgramFiles\ElisaTietoturvapalvelu\backweb\4119343\Program\fspex.exe
O8 - Extra context menu item: &Estä tämäkohoikkuna - C:\Program Files\ElisaTietoturvapalvelu\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &GoogleSearch - res://C:\ProgramFiles\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward&Links - res://C:\ProgramFiles\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hedSnapshot of Page - res://C:\ProgramFiles\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: Si&milarPages - res://C:\ProgramFiles\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translateinto English - res://C:\ProgramFiles\Google\googletoolbar.dll/cmtrans.html
O8 - Extra context menu item: Web Rebates.- file://C:\ProgramFiles\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button:IE-suojaus-{300DB664-75B5-47c0-8B45-A44ACCF73C00}-C:\ProgramFiles\ElisaTietoturvapalvelu\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-suojaus...- {300DB664-75B5-47c0-8B45-A44ACCF73C00} -C:\ProgramFiles\ElisaTietoturvapalvelu\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) -{e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\NetworkDiagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem:@xpsp3res.dll,-20001 -{e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\NetworkDiagnostic\xpnetdiag.exe
O16 - DPF:{17492023-C23A-453E-A040-C7C580BBF700}
(Windows Genuine Advantage ValidationTool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF:{9A9307A0-7DA4-4DAF-B042-5009F29E09E1}(ActiveScan Installer Class) -
http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF:{B38870E4-7ECB-40DA-8C6A-595F0A5519FF}(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF:{D27CDB6E-AE6D-11CF-96B8-444553540000}(Shockwave Flash Object) -
http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 -{9462A756-7B47-47BC-8C80-C34B9B80B32B} -
C:\Program Files\Logitech\DesktopMessenger\8876480\Program\GAPlugProtocol-8876480.dll
O21 - SSODL: wmpenv -{6B50638B-4678-4E74-9A8A-1231F4141BDE} -(no file)
O21 - SSODL: wmpconf -{9FFED03B-98FC-45EF-8E4A-CBF4D0219762} -(no file)
O23 - Service: Ad-Aware 2007 Service(aawservice) - Lavasoft AB -
C:\ProgramFiles\Lavasoft\Ad-Aware2007\aawservice.exe
O23 - Service: Elisa Tietoturvapalvelu(BackWeb Plug-in - 4119343) - BackWebTechnologies Inc.
-C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure GatekeeperHandler Starter) - F-Secure Corporation -
C:\Program Files\ElisaTietoturvapalvelu\Anti-Virus\fsgk32st.exe
O23 - Service: FSBWSYS (fsbwsys) -F-Secure Corp. -
C:\Program Files\ElisaTietoturvapalvelu\backweb\4119343\program\fsbwsys.exe
O23 - Service: F-Secure Anti-VirusFirewall Daemon (FSDFWD) - F-SecureCorporation -
C:\Program Files\ElisaTietoturvapalvelu\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation-
C:\Program Files\ElisaTietoturvapalvelu\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager(IDriverT) - Macrovision Corporation -
C:\Program Files\CommonFiles\InstallShield\Driver\11\Intel32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service)- Apple Inc. -
C:\ProgramFiles\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver HelperService (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP -
C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Wintab32 - Unknown owner -
C:\WINDOWS\System32\Wintab32.exe

Lue lisää

R0 - HKCU\Software\Microsoft\InternetExplorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\InternetExplorer\Main,Local Page =
O2 - BHO: (no name) -{47C54F02-1B28-45F1-AE46-B5CDFB6E7926} -(no file)
O2 - BHO: (no name) -{7E853D72-626A-48EC-A868-BA8D5E23E045} -(no file)
O4 - HKLM\..\Run: [AlcxMonitor]ALCXMNTR.EXE
O4 - HKLM\..\Run: [TopSearch] C:\ProgramFiles\TopSearch\TopSearch.exe
O21 - SSODL: wmpenv -{6B50638B-4678-4E74-9A8A-1231F4141BDE} -(no file)
O21 - SSODL: wmpconf -{9FFED03B-98FC-45EF-8E4A-CBF4D0219762} -(no file)

Poistelen vain kirjoitti:

R0 - HKCU\Software\Microsoft\InternetExplorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\InternetExplorer\Main,Local Page =
O2 - BHO: (no name) -{47C54F02-1B28-45F1-AE46-B5CDFB6E7926} -(no file)
O2 - BHO: (no name) -{7E853D72-626A-48EC-A868-BA8D5E23E045} -(no file)
O4 - HKLM\..\Run: [AlcxMonitor]ALCXMNTR.EXE
O4 - HKLM\..\Run: [TopSearch] C:\ProgramFiles\TopSearch\TopSearch.exe
O21 - SSODL: wmpenv -{6B50638B-4678-4E74-9A8A-1231F4141BDE} -(no file)
O21 - SSODL: wmpconf -{9FFED03B-98FC-45EF-8E4A-CBF4D0219762} -(no file)

Lue lisää

Elisa tietoturva (eli f-secure) päivitti itsensä.

Alkajaisiksi se eristi topsearchin.

Sun ohjeessa oli "fix checked" kahdeksan kohtaa.
HJT-skannauksessa ei ollut enää tuota topsearch-riviä, joten ruksasin loput seitsemän.

(topsearch-rivi oli
O4 - HKLM\..\Run: [TopSearch] C:\ProgramFiles\TopSearch\TopSearch.exe

tämä on siis poissa)

Elisa tietoturva esti jo skannausvaiheessa ainakin kolme kertaa sovelluksen ja fix checked-vaiheessa vielä kerran.

HJT-skannaus näyttää, että nuo seitsemän riviä ovat vielä luettelossa.

Kahdeksasta rivistä yksi on siis poissa Elisan ansiosta ja loput seitsemän vielä tallella.

Altis Amatööri kirjoitti:

Elisa tietoturva (eli f-secure) päivitti itsensä.

Alkajaisiksi se eristi topsearchin.

Sun ohjeessa oli "fix checked" kahdeksan kohtaa.
HJT-skannauksessa ei ollut enää tuota topsearch-riviä, joten ruksasin loput seitsemän.

(topsearch-rivi oli
O4 - HKLM\..\Run: [TopSearch] C:\ProgramFiles\TopSearch\TopSearch.exe

tämä on siis poissa)

Elisa tietoturva esti jo skannausvaiheessa ainakin kolme kertaa sovelluksen ja fix checked-vaiheessa vielä kerran.

HJT-skannaus näyttää, että nuo seitsemän riviä ovat vielä luettelossa.

Kahdeksasta rivistä yksi on siis poissa Elisan ansiosta ja loput seitsemän vielä tallella.

Lue lisää

juu sehän f-secure säilöö kaikkia.

Painas tuosta tuo escan

Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl A.
Kopioi rivit komennolla Ctrl C.
Liitä rivit komennolla Ctrl V.

Laita virus log tänne.

Poistelen vain kirjoitti:

TopSearch

millee tän saa pois tän ultimate defenderin. tää alko sekoilemaan ja ikkunoit aukee itestään. helpoilla opastuksilla kiitos.

Poistelen vain kirjoitti:

juu sehän f-secure säilöö kaikkia.

Painas tuosta tuo escan

Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl A.
Kopioi rivit komennolla Ctrl C.
Liitä rivit komennolla Ctrl V.

Laita virus log tänne.

Lue lisää

Elisa-tietoturva on ruvennut reagoimaan (tänään tuli uusi päivitys, kuten jo mainitsin).

Ensin klikkasin väärään aikaan eScan-skannauksen päälle. Tämän väärän skannauksen aikana Elisa tietoturva halusi eristää kaksi haittaohjelmaa, annoin luvan. Se myös huomasi kaksi (vai kolme) riskiohjelmaa ehdotuksella "Älä tee mitään". Hyväksyin ehdotuksen.

Sitten skannasin niin että täpit olivat kuten ohjeessa.

Escan alaluukkuun ei tullut mitään.

Kopioin tähän harmaalla alueella olevan Resultin:

Result

Total Number of Files Scanned 93613

Total Number of Virus(es) Found 0

Total Number of Disinfected Files 0

Total Number of Deleted Files 0

Total Number of Files Renamed 0

Total Number of Errors 2

Time Elapsed 02:37:25

(result kopioitu käsin)

HJT-skannauksen aikana Elisa tietoturva esti sovelluksen muutaman kerran. Sitten se esti lokin seivauksen. Silmämäärällä katsoin, että loki on ennallaan, siellä on vielä luettelemistasi riveistä samat seitsemän.

Altis Amatööri kirjoitti:

Elisa-tietoturva on ruvennut reagoimaan (tänään tuli uusi päivitys, kuten jo mainitsin).

Ensin klikkasin väärään aikaan eScan-skannauksen päälle. Tämän väärän skannauksen aikana Elisa tietoturva halusi eristää kaksi haittaohjelmaa, annoin luvan. Se myös huomasi kaksi (vai kolme) riskiohjelmaa ehdotuksella "Älä tee mitään". Hyväksyin ehdotuksen.

Sitten skannasin niin että täpit olivat kuten ohjeessa.

Escan alaluukkuun ei tullut mitään.

Kopioin tähän harmaalla alueella olevan Resultin:

Result

Total Number of Files Scanned 93613

Total Number of Virus(es) Found 0

Total Number of Disinfected Files 0

Total Number of Deleted Files 0

Total Number of Files Renamed 0

Total Number of Errors 2

Time Elapsed 02:37:25

(result kopioitu käsin)

HJT-skannauksen aikana Elisa tietoturva esti sovelluksen muutaman kerran. Sitten se esti lokin seivauksen. Silmämäärällä katsoin, että loki on ennallaan, siellä on vielä luettelemistasi riveistä samat seitsemän.

Lue lisää

Kone näytti jo toimivan aika hyvin, mutta sitten alkoikin hidastelu. Pistin yöllä puoli kolmen aikoihin Elisan "Suorita tietokoneen täysi tarkistus". Klo 8 aamulla tiedostoja oli tarkistettu vajaa kaksisataatuhatta, mutta mikään ei edennyt.

Klikkailin siellä ja täällä. Siirsin elisan tarkistusikkunaa, otin yläpalkista kiinni ja siirsin muutaman sentin. Siirto kesti muutaman minuutin (kun normaalisti ottaa ikkunasta kiinni ja siirtää, niin sehän tapahtuu ilman viivettä). klo 8 koneen kello oli toistakymmentä minuuttia jäljessä.

Boottasin ja nyt taas kone on normaalinoloinen. Saa nähdä kuinka kauan. Kellokin näytti taas oikeaa aikaa.

Mulla on sellainen tunne, että hidastelu alkoi kun uteliaana pistin googleen "your privacy is in danger". Kävin muutamalla sivulla ja löysinkin mm. sen työpöydäksi asettuneen punaisen kuvan yhdeltä sivulta.

-jaffa kirjoitti:

millee tän saa pois tän ultimate defenderin. tää alko sekoilemaan ja ikkunoit aukee itestään. helpoilla opastuksilla kiitos.

Otan osaa.

Omassa tapauksessani on käynyt näin: Tauti iski lauantaina aamuyöllä. Työpöytä oli hyvin sekavassa kunnossa, mutta jonkin verran sotkun keskellä pystyi pujottelemaan. Etsin googlesta "Ultimate defender"-hakusanoilla, koska nämä sanat toistuivat itsestään aukeilevissa ikkunoissa. Ajelin jotain ohjelmia, Spybot ja Ad-Aware, normaalissa ja vikasietotilassa. Aina välillä boottasin. Sunnuntaina kirjoitin tänne.

Maanantaina tuli kaveri paikalle lähinnä siksi, että hän on kokeneempi koneentyhjentäjä kuin minä. Olin jo heittämässä pyyhettä kehään. Kaveri ajoi "advanced windows caren" jos oikein muistan. Näytölle pystyi tekemään jotain windowsin ohjauspaneelista. Uusi punainen "työpöytä" oli hakemistossa C:\WINDOWS\privacy_danger. Kun sen tuhosi niin se tuli heti takaisin. Homma ei ollut lainkaan helpon näköistä. IE:n kotisivu oli joku privacyprotection yms. Kun sitä yritti muuttaa, niin Elisan tietoturva esti.

Koko ajan ilmassa oli vahva tappelun maku. Mikään ei sujunut totuttuun tapaan. Kun sai jotain korjatuksi, niin se meni heti takaisin väärin.

Tiistaina Elisan tieturva päivittyi ja alkoi huomata sentään jotain.

Musta tuntuu, että jos jossain luvataan helppoa konstia, niin se on ansa. Varmaankin parasta on ladata tämä HijackThis, kunhan gurut täällä ehtivät neuvoa.

Nyt on siis keskiviikkoaamu ja tää kone toimi jo aika hyvin, mutta nyt tää hidastelee niin, että minäkin huomaan. Täytyy buuttailla aika usein.

SIIS: Pahoin pelkään, että helppoa keinoa ei ole.

-jaffa kirjoitti:

millee tän saa pois tän ultimate defenderin. tää alko sekoilemaan ja ikkunoit aukee itestään. helpoilla opastuksilla kiitos.

-jaffa

Avaa kokonaan uusi keskustelu HJT palstalle. Sitä ennen hae:

Lataa hjt:n tuosta http://koti.mbnet.fi/pattaya1/lataus/hijackthis_self.exe

asenna naputtele numero järjestyksessä

1.Unzip
2.OK
3.Close

scannaa paina tuosta > Do a system scan and save a logfile

Kopioi ponnahtava muistio HjT loki ja laita tänne.
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&subcat=758
........................................

Lataa SmitfraudFix (c) S!Ri http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Pura sisältö (kansio nimeltä SmitfraudFix) työpöydällesi:

Avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi!!!!!!!!

Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.

jooooo kirjoitti:

ultimate defenderi lähtee smitfraudfixillä XD

Sinänsä totta, mutta kuitenkin rekisteriä ei kai pidä muuttaa automatiikalla?

Sivumennen: googlatessa-surffatessa jostain tuli esiin Smitfraudfixin näköinen ohjelma, jossa oli toi arveluttava biohazard-merkkiä muistuttava logo. Työpöytäkaapparissa se oli punainen, tässä smitfraudjotain-ikonissa keltamusta. En tiedä olisiko ohjelma ollut kunnollinen, mutta mun "hajutestiä" se ei läpäissyt. Ehdin laittaa sen keltamustan asennusohjelman työpöydälle, mutta tuhosin sen heti kun rupisilta silmiltäni pystyin.

Altis Amatööri kirjoitti:

Kone näytti jo toimivan aika hyvin, mutta sitten alkoikin hidastelu. Pistin yöllä puoli kolmen aikoihin Elisan "Suorita tietokoneen täysi tarkistus". Klo 8 aamulla tiedostoja oli tarkistettu vajaa kaksisataatuhatta, mutta mikään ei edennyt.

Klikkailin siellä ja täällä. Siirsin elisan tarkistusikkunaa, otin yläpalkista kiinni ja siirsin muutaman sentin. Siirto kesti muutaman minuutin (kun normaalisti ottaa ikkunasta kiinni ja siirtää, niin sehän tapahtuu ilman viivettä). klo 8 koneen kello oli toistakymmentä minuuttia jäljessä.

Boottasin ja nyt taas kone on normaalinoloinen. Saa nähdä kuinka kauan. Kellokin näytti taas oikeaa aikaa.

Mulla on sellainen tunne, että hidastelu alkoi kun uteliaana pistin googleen "your privacy is in danger". Kävin muutamalla sivulla ja löysinkin mm. sen työpöydäksi asettuneen punaisen kuvan yhdeltä sivulta.

Lue lisää

Lataa SmitfraudFix (c) S!Ri http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Pura sisältö (kansio nimeltä SmitfraudFix) työpöydällesi:

Avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi.

Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.

Poistelen vain kirjoitti:

Lataa SmitfraudFix (c) S!Ri http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Pura sisältö (kansio nimeltä SmitfraudFix) työpöydällesi:

Avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi.

Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.

Lue lisää

Elisa tietoturva huomautti riskiohjelmasta.
Sitten tuli vielä ilmoitus, että "C\WINDOWS\system32\swreg" yrittää muuttaa järjestelmää. Valitsin "luotan ohjelmaan", MENIKÖ OIKEIN?

LOKI:

SmitFraudFix v2.212

Scan done at 18:41:26,98, ke 15.08.2007
Run from C:\Documents and Settings\Omistaja\Ty”p”yt„\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\FSGK32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FCH32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Common\FAMEH32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsqh.exe
C:\Program Files\Elisa Tietoturvapalvelu\FSAUA\program\fsaua.exe
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fssm32.exe
C:\Program Files\Elisa Tietoturvapalvelu\FWES\Program\fsdfwd.exe
C:\Program Files\Elisa Tietoturvapalvelu\FSAUA\program\fsus.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsav32.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\ccwtup32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\FSGUI\ispnews.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Elisa Tietoturvapalvelu\FSGUI\fsguidll.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Omistaja


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Omistaja\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Omistaja\Suosikit


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Nykyinen kotisivu"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS 900-Based PCI Fast Ethernet Adapter - Paketinajoituksen miniportti
DNS Server Search Order: 193.229.0.40
DNS Server Search Order: 193.229.0.42

HKLM\SYSTEM\CCS\Services\Tcpip\..\{BBB4DC83-5CAE-4904-830F-9965E879F068}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BBB4DC83-5CAE-4904-830F-9965E879F068}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BBB4DC83-5CAE-4904-830F-9965E879F068}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BBB4DC83-5CAE-4904-830F-9965E879F068}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Poistelen vain kirjoitti:

TopSearch

Pitääkö Top Search poistaa nyt vielä? Ohjauspaneelissa se näkyy. Käytetty harvoin, viimeksi helmikuussa 2006.

.......... kirjoitti:

-jaffa

Avaa kokonaan uusi keskustelu HJT palstalle. Sitä ennen hae:

Lataa hjt:n tuosta http://koti.mbnet.fi/pattaya1/lataus/hijackthis_self.exe

asenna naputtele numero järjestyksessä

1.Unzip
2.OK
3.Close

scannaa paina tuosta > Do a system scan and save a logfile

Kopioi ponnahtava muistio HjT loki ja laita tänne.
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&subcat=758
........................................

Lataa SmitfraudFix (c) S!Ri http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Pura sisältö (kansio nimeltä SmitfraudFix) työpöydällesi:

Avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi!!!!!!!!

Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.

Lue lisää

SmitFraudFix v2.212

Scan done at 15:47:12,92, to 16.08.2007
Run from C:\Documents and Settings\user\Ty”p”yt„\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Sonera\InternetAvustaja\bin\sprtcmd.exe
C:\Documents and Settings\user\Työpöytä\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\program files\steam\steam.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe
C:\HJT\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wuauclt.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\duocore.dll FOUND !
C:\WINDOWS\main_uninstaller.exe FOUND !
C:\WINDOWS\privacy_danger FOUND !
C:\WINDOWS\wmpconf.dll FOUND !
C:\WINDOWS\wmpenv.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\user\Suosikit


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\VideoAccessCodec\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://picture.funnyjunk.com/pics/tiredkitten.jpg"
"SubscribedURL"="http://picture.funnyjunk.com/pics/tiredkitten.jpg"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Nykyinen kotisivu"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: IC Plus IP100 10/100 Fast Ethernet Adapter - Paketinajoituksen miniportti
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{70A9101B-DE32-44EF-8E01-5B2EB4F390F3}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{70A9101B-DE32-44EF-8E01-5B2EB4F390F3}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{70A9101B-DE32-44EF-8E01-5B2EB4F390F3}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Altis Amatööri kirjoitti:

Elisa tietoturva huomautti riskiohjelmasta.
Sitten tuli vielä ilmoitus, että "C\WINDOWS\system32\swreg" yrittää muuttaa järjestelmää. Valitsin "luotan ohjelmaan", MENIKÖ OIKEIN?

LOKI:

SmitFraudFix v2.212

Scan done at 18:41:26,98, ke 15.08.2007
Run from C:\Documents and Settings\Omistaja\Ty”p”yt„\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\FSGK32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FCH32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Common\FAMEH32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsqh.exe
C:\Program Files\Elisa Tietoturvapalvelu\FSAUA\program\fsaua.exe
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fssm32.exe
C:\Program Files\Elisa Tietoturvapalvelu\FWES\Program\fsdfwd.exe
C:\Program Files\Elisa Tietoturvapalvelu\FSAUA\program\fsus.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsav32.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\ccwtup32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE
C:\Program Files\Elisa Tietoturvapalvelu\FSGUI\ispnews.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Elisa Tietoturvapalvelu\FSGUI\fsguidll.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Omistaja


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Omistaja\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Omistaja\Suosikit


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Nykyinen kotisivu"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS 900-Based PCI Fast Ethernet Adapter - Paketinajoituksen miniportti
DNS Server Search Order: 193.229.0.40
DNS Server Search Order: 193.229.0.42

HKLM\SYSTEM\CCS\Services\Tcpip\..\{BBB4DC83-5CAE-4904-830F-9965E879F068}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BBB4DC83-5CAE-4904-830F-9965E879F068}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BBB4DC83-5CAE-4904-830F-9965E879F068}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BBB4DC83-5CAE-4904-830F-9965E879F068}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Lue lisää

tuossa.

-jaffa kirjoitti:

SmitFraudFix v2.212

Scan done at 15:47:12,92, to 16.08.2007
Run from C:\Documents and Settings\user\Ty”p”yt„\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Sonera\InternetAvustaja\bin\sprtcmd.exe
C:\Documents and Settings\user\Työpöytä\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\program files\steam\steam.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe
C:\HJT\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wuauclt.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\duocore.dll FOUND !
C:\WINDOWS\main_uninstaller.exe FOUND !
C:\WINDOWS\privacy_danger FOUND !
C:\WINDOWS\wmpconf.dll FOUND !
C:\WINDOWS\wmpenv.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\user\Suosikit


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\VideoAccessCodec\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://picture.funnyjunk.com/pics/tiredkitten.jpg"
"SubscribedURL"="http://picture.funnyjunk.com/pics/tiredkitten.jpg"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Nykyinen kotisivu"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: IC Plus IP100 10/100 Fast Ethernet Adapter - Paketinajoituksen miniportti
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{70A9101B-DE32-44EF-8E01-5B2EB4F390F3}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{70A9101B-DE32-44EF-8E01-5B2EB4F390F3}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{70A9101B-DE32-44EF-8E01-5B2EB4F390F3}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Lue lisää

Printtaa ohjeet ulos.

Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi.

Kun vikasietotilassa, avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #2 - Clean kirjoittamalla 2 ja painamalla "Enter" poistaaksesi tarttuneet tiedostot.

Sinulta kysytään: "Registry cleaning - Do you want to clean the registry ?"; vastaa "Yes" kirjoittamalla Y ja paina "Enter" poistaaksesi työpöydän taustakuvan ja puhdistaaksesi tarttuneet rekisteriavaimet.

Työkalu tarkistaa jos wininet.dll on tarttunut. Sinua saatetaan pyytää korvaamaan tarttunut .dll (jos löytyy); vastaa "Yes" kirjoittamalla Y ja painamalla "Enter".

Työkalun saattaa tarvita käynnistää kone uudelleen; jos ei tee niin, käynnistä normaaliin Windowsiin.
Tekstitiedosto ilmestyy, puhdistusprosessin jäljiltä; kopioi & liitä tämän raportin tulokset vastaukseesi.
Raportti löytyy paikalliselta levyltäsi, useimmiten C:\rapport.txt.

Varoitus : Ajamalla optio 2:n EI-tarttuneessa tietokoneessa, poistaa sinun työpöytäsi taustakuvan.

jooooo kirjoitti:

ultimate defenderi lähtee smitfraudfixillä XD

Kiitos Joooo:lle. Epätoivoisesti etsin ratkaisua Ultimaten poistamiseen ja Smitfraudilla päätin kokeilla turhia kikkailematta. Hyvin toimii, eikä vahinkoa (ainakaan vielä) tapahtunut, vaikka en manuaalisesti pilaantuneita filejä poistanutkaan. Kaiken kaikkiaan viddumaisin virus koneella, jonka olen tavannut!