[Axegrinder]

Mukaan Carbon, en voi olla virus.

Logfile ja Trend Micro HijackThis v2.0.2
Scan tallennettu at 16:49:26, on 14/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Käynnissä olevista prosesseista:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ Lsass.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Program Files \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ Program Files \ Linksys Wireless-G USB Wireless Network Monitor \ WLService.exe
C: \ Program Files \ Linksys Wireless-G USB Wireless Network Monitor \ WUSB54GSv2.exe
C: \ WINDOWS \ Explorer.exe
C: \ WINDOWS \ RTHDCPL.EXE
C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ WINDOWS \ tsnp2std.exe
C: \ WINDOWS \ vsnp2std.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ Program Files \ MSN Messenger \ MsnMsgr.Exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ Google \ Google Updater \ GoogleUpdater.exe
C: \ Program Files \ MessengerDiscovery \ MessengerDiscovery Live.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ Program Files \ MSN Messenger \ usnsvc.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.co.uk/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyServer = webcache.virginmedia.com: 3128
O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - (AA58ED58-01DD-4d91-8333-CF10577473F7) - c: \ program files \ google \ googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - (AF69DE43-7D58-4638-B6FA-CE66B5AD205D) - C: \ Program Files \ Google \ GoogleToolbarNotifier \ 2.1.1119.1736 \ s wg.dll
O3 - Toolbar: & Google - (2318C2B1-4965-11D4-9B18-009027A5CD4F) - c: \ program files \ google \ googletoolbar1.dll
O4 - HKLM \ .. \ Run: [NvCplDaemon] rundll32.exe C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [nwiz] nwiz.exe / install
O4 - HKLM \ .. \ Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM \ .. \ Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [tsnp2std] C: \ WINDOWS \ tsnp2std.exe
O4 - HKLM \ .. \ Run: [snp2std] C: \ WINDOWS \ vsnp2std.exe
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ QuickTime \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / Käynnistysmerkinnät
O4 - HKLM \ .. \ Run: [NvMediaCenter] rundll32.exe C: \ WINDOWS \ system32 \ NvMcTray.dll, NvTaskbarInit
O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKCU \ .. \ Run: [MsnMsgr] "C: \ Program Files \ MSN Messenger \ MsnMsgr.Exe" / tausta
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [swg] C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C: \ Program Files \ Google \ Google Updater \ GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra button: PalTalk - (4EAFEF58-EEFA-4116-983D-03B49BCBFFFE) - C: \ Program Files \ Paltalk Messenger \ Paltalk.exe
O9 - Extra button: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (0E5F0222-96B9-11D3-8997-00104BD12D94) (PCPitstop Utility) -- http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Crucial cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) (MessengerStatsClient Class) -- http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: (DF780F87-FF2B-4DF8-92D0-73DB16A1543A) (PopCapLoader Object) -- http://www.shockwave.com/content/bej...loader_v10.cab
O16 - DPF: (E8F628B5-259A-4734-97EE-BA914D7BE941) (Driver Agent ActiveX Control) -- http://driveragent.com/files/driveragent.cab
O16 - DPF: (F5A7706B-B9C0-4C89-A715-7A0C6B05DD48) (miinanraivaaja Flags Class) -- http://messenger.zone.msn.com/binary...r.cab56986.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (5DE0FB69-1D9B-48DC-83CC-D71DA02E6BAB): NameServer = 208.67.222.222,208.67.220.220
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C: \ Program Files \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: WUSB54GSv2SVC - GEMTEKS - C: \ Program Files \ Linksys Wireless-G USB Wireless Network Monitor \ WLService.exe
--
End of file - 7776 bytes

[evilfantasy]

Windows virheet liittyvät winlogon.exe?

winlogon.exe on prosessi, joka kuuluu Windows Login Manager. Se käsittelee kirjautuminen ja liikemerkki menettelyjen järjestelmää. Tämä ohjelma on tärkeää vakaan ja turvallisen toiminnan ja tietokoneen ei pitäisi lopettaa.


En näe mitään loki mutta sinun pitäisi suorittaa SUPERAntiSpyware kaksinkertaista tarkistaa.

[Axegrinder]

No SAS didnt havaita mitään merkittäviä vain paljon seuranta evästeitä.

[evilfantasy]

Tiedät etten voi aina kaivaa syvemmälle. winlogon.exe on explioted on haittaohjelma, jotta voimme myös näyttää.

Ole hyvä ja lataa Combofix jonka Subs jonkin alle linkkejä.
(Yritä kaikki kolme tarvittaessa)

• Linkki # 1
• Linkki # 2
• Linkki # 3

Tärkeää! Combofix.exe MUST tallennetaan ja juoksi alkaen Desktop.

• Sulje kaikki avoimet Internet-selaimissa. (Firefox, Internet Explorer jne.) ennen Combofix.
• Tärkeää! Väliaikaisesti poistaa käytöstä sinun antivirus, komentosarjojen esto ja kaikki AntiSpyware reaaliaikainen suoja ennen suorittamalla skannata.
  • Valitse linkki nähdä luettelon tietoturvaohjelmia, että otetaan huomioon myös vammaisten ja miten poistaa ne käytöstä.
  • Jos koneesi ei ole luettelossa ja et tiedä miten sen pois, kysy.
• Varoitus: Combofix katkaisee tietokonetta Internetissä. Yhteyden automaattisesti palauttaa ennen Combofix päättää aikavälillä.
• Kaksoisnapsauta combofix.exe ja seuraa ohjeita.
  • From näppäimistön valitse 1 ja paina Anna
• Kun olet valmis, se tuottaa lokin sinulle.
• Post, että kirjaudut sisään seuraavan vastauksen.

Varoitus: Älä mouseclick combofix ikkunassa, kun se on käynnissä. Tämä saattaa aiheuttaa sen, pilttuu

• Jos Combofix joutuu vaikeuksissa ja päättyy ennenaikaisesti, yhteys voidaan manuaalisesti palauttaa tietokoneen käynnistämistä uudelleen.
• Tärkeää: Muista uudelleen käyttöön virustentorjuntaohjelmasi ja antispyware ennen uuden yhteyden Internetiin.

----------

Seuraava post
Combofix log

[Axegrinder]

Hups.

Tein jotain väärin

Bear with me

[evilfantasy]

Asennettu Combofix väärässä. On tallentaa työpöydälle.
Please do this.
Mene Käynnistä> Suorita> kopioi ja liitä Combofix / u ruutuun ja valitse sitten OK.
Lataa Combofix suoraan Desktop asentaa palautuskonsolin.

• Linkki # 1
• Linkki # 2
• Linkki # 3

Nyt ehdotan, että asennat Windows Recovery Console. Windowsin palautuskonsoli voit käynnistyä osaksi erityistä hyödyntämistä tilassa, jonka avulla voimme auttaa sinua siinä tapauksessa, että tietokone on ongelma jälkeen yrittänyt poistaminen haittaohjelmia.

Mene Microsoftin sivuille tästä -> http://support.microsoft.com/kb/310994

Valitse lataus, että asianmukaista sinun Käyttöjärjestelmä



Lataa tiedosto ja tallenna se on alun perin nimeltään vieressä ComboFix.exe.



Nyt sulkea kaikki avoimet ikkunat ja ohjelmat.
Vedä setup paketin päälle ComboFix.exe ja pudottaa sen.
Seuraa kehotteita aloittaa ComboFix ja pyydettäessä, sopia the End-User License Agreement asentaa Microsoft palautuskonsolin.
Kun päivitys on valmis, lokin nimeltä CF_RC.txt avautuu.
Lähetä sisällön että kirjaudut seuraavan vastauksen.

Kiitos Bleeping tietokoneen opasta.


Lisäksi en usko, että se on haittaohjelma.

[Axegrinder]

Tämä?


WindowsXP-KB310994-SP2-Home-BootDisk-FIN.exe
[boot loader]
timeout = 2
default = multi (0) disk (0) rdisk (0) partition (1) \ WINDOW S
[operating systems]
multi (0) disk (0) rdisk (0) partition (1) \ WINDOWS = "Micro-soft Windows XP Home Edition" / noexecute = OptIn / fastdetect
C: \ cmdcons \ BOOTSECT.DAT = "Microsoft Windows Recovery Console" / cmdcons

[evilfantasy]

Puhallusmateriaali on siinä. Olet nyt palautuskonsolin asennettu.