Ärsyttävä virus

Tuomas Kuukasjärvi · Joulukuu 4, 2006

Moi,

On näköjään tullut koneelle kaksi sellaista virusta, jotka eivät suostu poistumaan sitten millään. >:(

Toinen on gotgo.exe:ssä ja haittaohjelman nimi on Win32:VB-AXQ ja toinen on winstall.exessä ja nimi on Win32:PurityScan-AD.

Nuo eivät suostu poistumaan, vaan tulevat aina uudestaan ja uudestaan vaikka mitä tekisi... Vinkkejä?

Juho Vastapuu · Joulukuu 4, 2006

Eli siis ne pystyy poistamaan mutta sitten ne tulevat uudelleen. Kokeile ensiksi palomuurista estää kaikkia mahdollisia ohjelmia nettiin pääsystä ja jos ei auta niin sulje koko nettiyhteys ja etsi vikaa.

Mikko Lindström · Joulukuu 4, 2006

Hae Hijackthis niminen ohjelma, käynnistä ja paina Do a system scan and save a log file ja lähetä sen tuottama loki tänne niin syynään mitä on tehtävissä.

Tuomas Kuukasjärvi · Joulukuu 4, 2006

Muuten kyllä lähettäisin, mutta eikait tähän voi mitään tiedostoa, kuin kuvia liittää? Voisinhan toki ottaa kuvaa noista teksteistä kohta.

Tatu Kantomaa · Joulukuu 4, 2006

Muuten kyllä lähettäisin, mutta eikait tähän voi mitään tiedostoa, kuin kuvia liittää? Voisinhan toki ottaa kuvaa noista teksteistä kohta.

Avaa se loki notepadilla, siiten kopioit tekstit ja liität tänne. Ei siitä mitään kuvia tartte alkaa ottamaan....

Tuomas Kuukasjärvi · Joulukuu 4, 2006

Avaa se loki notepadilla, siiten kopioit tekstit ja liität tänne. Ei siitä mitään kuvia tartte alkaa ottamaan....

No niinpä niin. Hermot menneet jo niin pahasti, ettei edes ajatus kulje

Tässä tulee:

Logfile of HijackThis v1.99.1

Scan saved at 21:08:03, on 4.12.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ipwins\ipwins.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\MSN Messenger\msrr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Common Files\{CC303045-0876-1035-0728-050316060166}\Update.exe

C:\Program Files\Opera\Opera.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\KUUKAS~1\LOCALS~1\Temp\Rar$EX00.937\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.inet.fi:800

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit

R3 - URLSearchHook: (no name) - {F39C45D7-48A6-4A16-AF72-23577A6D8496} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fi\msntb.dll

O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C303~2\888Bar.dll

O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C303~2\888Bar.dll

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ipWins] C:\Program Files\ipwins\ipwins.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: BJ Status Monitor Canon MP360 Series Printer.lnk = ?

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Locate Spot on Map by GPS - C:\Program Files\Opanda\IExif 2.25\IExifMap.htm

O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - C:\Program Files\Opanda\IExif 2.25\IExifCom.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5BDBD95C-1E7F-4FB1-8497-20AF879F8B68} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fi/filesharingctrl.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134801373843

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.gfoto.com/ImageUploader3.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Tatu Kantomaa · Joulukuu 4, 2006

Mikko saa varmaan enemmän tästä irti mutta sulla on siellä Messenger kansiossa tällainen exe: msrr.exe

http://www.sophos.com/security/analyses/trojbamerd.html

Se ei ole mitenkään viaton, eikä se myöskään kuulu meseen.

Joulukuu 4, 2006

ihän ensimaisena otta system restore pois päältä. Stars->All Programs->Accessories->system tools. Nyt kaikki anti-virukset/spyware poistot skannamaan. Voi tarvi uudellen käynistämistä ja uudellen skannaousta pari kerta. Tavalisesti toi toimipite hoita pöpöt pois jos ohjelmat ovat ajantasalla. :thmbup: Toki on näyhtykin niitä joka ei saa pois millä. $:-\$

Mikko Lindström · Joulukuu 4, 2006

Moi! Sori kun kesti, duunin pikkujoulut ::)

Tosiaan mörköjä löytyy koneelta, aloitetaan fiksaamaan:

Mene ohjauspaneliin ja siellä lisää/poista sovellus-kohtaan. Poista seuraavien ohjelmien asennus (jos löytyy):

IPWins

888 Toolbar

Purityscan by Oin

tai mikä tahansa ohjelma, jossa on Oin tai Outerinfo

Lataa ja aja tämä uninstaller:

http://www.outerinfo.com/OiUninstaller.exe

Ohjeet uninstallerille, jos tarvis (englanniksi)

Sulje KAIKKI ohjelmat, paitsi HijackThis - Klikkaa Scan ja.....

merkkaa seuraavat rivit:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/

R3 - URLSearchHook: (no name) - {F39C45D7-48A6-4A16-AF72-23577A6D8496} - (no file)

O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C303~2\888Bar.dll

O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C303~2\888Bar.dll

O4 - HKLM\..\Run: [ipWins] C:\Program Files\ipwins\ipwins.exe

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab

Klikkaa Fix Checked ja sulje HijackThis.

Aseta piilotiedostot näkyviin jos ei entuudestaan ole.

Käynnistä tietokoen vikasietotilaan (painele F8 ennen kuin Windows alkaa latautumaan ja siitä valikosta sitten valitset vikasietotilan)

Poista vikasietotilassa seuraavat tiedostot / kansiot (jos löytyy):

C:\PROGRA~1\COMMON~1\{3C303~2\==>888Bar.dll<==

C:\Program Files==>\ipwins\<==

C:\Program Files\MSN Messenger\==>msrr.exe<==

Käynnistä tietokone uudelleen normaalisti ja aseta piilotiedostot pois näkyvistä.

Lataa ja aja escan, ohjeet tässä:

http://koti.mbnet.fi/pattaya1/escanmwav.htm

Poista mitä escan löytää ja liitä sen tuottama loki tähän ketjuun.

Päivitetään Java niin ei tule sen kautta ryönää sisään

# Klikkaa Käynnistä > Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.

# Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )

Niissä pitäisi olla seuraava kuva vieressä:

# Valitse kaikki entiset Java versiosi ja valitse Poista.

# Asenna uusin Java päivitys seuraavasta linkistä..

# Käynnistä kone uudelleen asennuksen jälkeen:

http://java.sun.com/javase/downloads/index.jsp

# Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).

# Temporary Internet Files -osion alla, klikkaa Delete Files nappia.

# Varmista että kaikki kolme valintaa ovat rastitettuja:

Downloaded Applets

Downloaded Applications

Other Files

# Klikkaa OK "Delete Temporary Internet Files" -ikkunassasi.

Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.

# Klikkaa OK jättääksesi Java asetusikkunasi.

Käytät ilmeisesti XP:n omaa palomuuria ??? Suosittelen pistämään esim. Zonealarmin tai Sygaten niin pysyy paremmin möröt ulkona.

Skannaa uudelleen HjT:llä ja lähetä sen uusi loki.

- Mikko

Tuomas Kuukasjärvi · Joulukuu 5, 2006

Tässäpä tulee noi logit. Täällä eScan

Tässä Hijack:

Logfile of HijackThis v1.99.1

Scan saved at 19:57:32, on 5.12.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\DOCUME~1\KUUKAS~1\LOCALS~1\Temp\svchost.exe

C:\Program Files\Common Files\{CC303045-0877-1035-0728-050316060166}\Update.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Opera\Opera.exe

C:\Documents and Settings\kuukasjärvi\Työpöytä\nutty.exe

C:\Documents and Settings\kuukasjärvi\Työpöytä\Tope\jutut\VATSIM\SERVINFO\ServInfo.exe

C:\Pelit\Tiedostot\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.inet.fi:800

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit

O2 - BHO: C:\WINDOWS\system32\zkPeCrypt.dll - {8A5849C4-93F3-429D-FF34-660A2068897C} - C:\WINDOWS\system32\zkPeCrypt.dll

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Recoveru systems] C:\DOCUME~1\KUUKAS~1\LOCALS~1\Temp\svchost.exe

O4 - HKCU\..\RunOnce: [DeleteDLL] cmd.exe /c del C:\PROGRA~1\COMMON~1\{3C303~1\888Bar.dll > nul

O4 - Startup: BJ Status Monitor Canon MP360 Series Printer.lnk = ?

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Locate Spot on Map by GPS - C:\Program Files\Opanda\IExif 2.25\IExifMap.htm

O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - C:\Program Files\Opanda\IExif 2.25\IExifCom.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5BDBD95C-1E7F-4FB1-8497-20AF879F8B68} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fi/filesharingctrl.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134801373843

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.gfoto.com/ImageUploader3.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Teemu Lokka · Joulukuu 5, 2006

C:\DOCUME~1\KUUKAS~1\LOCALS~1\Temp\svchost.exe

toi ei kuulu joukkoon. joten sen vois "killata" ja sitten poistaa...

Mikko Lindström · Joulukuu 5, 2006

Et sitten ilmeisesti päivittänytkään Javaa? Uusin versio on 1.5.0_09.

Fixaa HjT:llä vielä nämä rivit:

O2 - BHO: C:\WINDOWS\system32\zkPeCrypt.dll - {8A5849C4-93F3-429D-FF34-660A2068897C} - C:\WINDOWS\system32\zkPeCrypt.dll

O4 - HKCU\..\RunOnce: [DeleteDLL] cmd.exe /c del C:\PROGRA~1\COMMON~1\{3C303~1\888Bar.dll > nul

O4 - HKCU\..\Run: [Recoveru systems] C:\DOCUME~1\KUUKAS~1\LOCALS~1\Temp\svchost.exe

Poista vielä nämä tiedostot/kansiot vikasietotilassa

C:\WINDOWS\system32\==>zkPeCrypt.dll<==

C:\PROGRA~1\COMMON~1==>\{3C303~1\<==

C:\DOCUME~1\KUUKAS~1\LOCALS~1\Temp==>\svchost.exe<==

Lataa CCleaner

http://www.download.fi/tyopoytaohjelmat/haittaohjelmien_poisto/ccleaner.cfm

Aja sillä kaikki siivoustoiminnot läpi niin lähtee nuo mörkömerkinnät Temp kansioista ja rekisteristä.

Lähetä vielä kerran uusi HjT loki noiden toimenpiteiden jälkeen

Tuomas Kuukasjärvi · Joulukuu 5, 2006

Moro taas...

Tässä tämä HiJackn loki, noiden viimeisimpien ojeiden toteutuksen jälkeen.

Logfile of HijackThis v1.99.1

Scan saved at 23:34:11, on 5.12.2006