[foreman5]

Mure on seotud muutuva avalehega. Pärast mitmeid proovimisi sain Ad-Aware ja AVG niikaugele, et viiruse- ja muid teateid ei tule, aga avaleht püsib ikka daosearch.com ja pop-upid ilmuvad ka. Proovisin regeditis ka Start Page muuta, aga alati tuleb tagasi.
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\DOCUME~1\Margus\LOCALS~1\Temp\init32m.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\Services\{90D3988E-25EB-432C-A233-35FB444DFCF6}\SVCHOST.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\mter.exe
C:\WINDOWS\System32\j?vaw.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/index.php?id=32580
F3 - REG:win.ini: load=C:\DOCUME~1\Margus\LOCALS~1\Temp\init32m.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8E7F9336-048B-170D-8D9A-04A2AED739E5} - C:\WINDOWS\System32\aqojkdy.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [psrj3Fg] xen0_lcs.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{90D3988E-25EB-432C-A233-35FB444DFCF6}\SVCHOST.EXE
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [Taoc] C:\WINDOWS\System32\mter.exe
O4 - HKCU\..\Run: [Blp] C:\WINDOWS\System32\j?vaw.exe
O4 - HKCU\..\Run: [YB0tRPMqX] wsttwk.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://213.180.28.251/activex/AxisCamControl.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[HacaX]

Su HJT logi on poolik (päis on puudu). Aga võiksid esmalt mõne teise antiviirusega proovida (kas mõni onlineskänn või kasvõi NOD32 trial). ja kindlasti kasuta lisaks Ad-aware'ile ka SpyBoti ja CWShredderit. Kui nendega masinast üle käidud ja probleem ikka veel esineb, siis võiks safe mode'is ära märkida ja parandada järgnevad sissekanded:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/index.php?id=32580
F3 - REG:win.ini: load=C:\DOCUME~1\Margus\LOCALS~1\Temp\init32m.exe
O2 - BHO: (no name) - {8E7F9336-048B-170D-8D9A-04A2AED739E5} - C:\WINDOWS\System32\aqojkdy.dll (file missing)
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [psrj3Fg] xen0_lcs.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{90D3988E-25EB-432C-A233-35FB444DFCF6}\SVCHOST.EXE
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [Taoc] C:\WINDOWS\System32\mter.exe
O4 - HKCU\..\Run: [Blp] C:\WINDOWS\System32\j?vaw.exe
O4 - HKCU\..\Run: [YB0tRPMqX] wsttwk.exe

[vecna]

O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{90D3988E-25EB-432C-A233-35FB444DFCF6}\SVCHOST.EXE
see tundub viiruse moodi olema
http://securityresponse.symantec.com/avcenter/venc/data/w32.cone.f@mm.html
Symantec Security Response - W32.Cone.F@mm

[Porno Parm]

lase üle ka CWS schredderiga ja ka MS antispywarega
vaata mis siis kostab