|
iehelper.dll = virus josta on mahdoton päästä eroon? (apua)
|
|
|
Val0ton
Suspended due to non-functional email address
|
24. lokakuuta 2009 @ 15:36 |
Linkki tähän viestiin
|
Tiedän, että tälläisiä samanlaisia kysymyksiä satelee tänne jatkuvasti mutta nyt ovat kyllä keinot itseltäni ja läheisiltä vähissä.
Onnistuin jotenkin saamaan koneelleni ongelman, joka kulkee nimellä System Security tms, mutta pääpiirteissään tämä virus/haittaohjelma selittää että kone on saastunut ja pitäisi ostaa jokin virusohjelma.
Onnistuin poistamaan prosessin, joka blokkasi kaikki puhdistusohjelmat ja muutenkin poistamaan melkein kaikki osat tästä kyseistä ilkivallantekijästä, mutta silti koneelle jäi siitä yksi osa. Se löytyy iehelper.dll nimellä etsiessä sitä koneelta, ja tiedoston nimeksi se on ottanut "AcroIEHelper.dll" Jostain syystä se on pesiytynyt Aboden kansioon ja siellä ActiveX:n alle. Ja tehtävien hallintaa katsellessa konelle on ilmestynyt PM.exe (selkeä virus) ja muutamia muita, jotka eivät todellakaan sinne kuulu.
Yritetty on:
- Malwarebytes' Anti-Malware, Spybot sekä Spyware Doctor ohjelmia; mikään näistä ei löydä virusta.
- Järjestelmän palauttamista sekä päivä että viikko taaksepäin; windows ilmoittaa ettei palautusta voida tehdä haluttuun palautuspisteeseen, mutta ei anna sille mitään suurempaa syytä.
- Saada XP menemään viansietotilaan, johon se ei koskaan päädy vaikka f8 näppäintä painaakin pohjassa tai rämpyttää koneen käynnistyessä. Eikä onnistunut sekään, että yritti luoda/avata boot.ini
- Ja tietysti (melkein unohtui) tiedoston uudelleen nimeäminen tai suoralta kädeltä poistaminen eivät todellakaan onnistu.
Kyseessä on siis pari vuotta vanha Fujitsun kannettava XP:llä, jossa on McAfee virustorjunta ohjelma käytössä (sillä yliopiston langattoman verkon käyttö vaatii tämän olemassaolon)
Tarkoittaako tämä nyt sitten sitä, että se on formatointi edessä? Ah, niin rakastan olla ulkomailla yksinäni tämän koneen kanssa.
Kiitos ja kummarrus niille, jotka vaivautuvat vastaamaan asiallisesti.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 24. lokakuuta 2009 @ 15:44
|
Member
|
24. lokakuuta 2009 @ 17:20 |
Linkki tähän viestiin
|
On kumma miten vähän saa aikaan,
jos vain lakkaa yrittämästä.
|
|
karike
Suspended due to non-functional email address
|
24. lokakuuta 2009 @ 17:43 |
Linkki tähän viestiin
|
Yllä oleva teksti on 80% varmuudella täyttä sontaa...
|
|
n0gear
Member
|
24. lokakuuta 2009 @ 20:42 |
Linkki tähän viestiin
|
|
kokeiles ajaa combofix vikasietotilassa.
|
Member
|
24. lokakuuta 2009 @ 21:10 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti n0gear:
kokeiles ajaa combofix vikasietotilassa.
Sehän sanoi, ettei pääse vikasietotilaan...
|
|
Val0ton
Suspended due to non-functional email address
|
24. lokakuuta 2009 @ 23:18 |
Linkki tähän viestiin
|
Kiitos jo nyt tulleista vastauksista! Apu on todella tarpeen.. Eli tilanne on edelleen sama. Tietyt virusprosessit hyrrää samantien käynnistyksen jälkeen ja niiden sammutteleminen aina käynnistettäessä on turhaa. Malware ilmoittaa, että joitakin tiedostoja on karanteenissa, mutta enpä tiedä vaikka poistaisin ne sieltä, ne tuntuvat ilmestyvän sinne uudelleen. Tässä on nyt se HiJack-loki jos joku selittäisi minullekin mitä siinä näkyy.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:12:29, on 24.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Hotkey Management\FuncKey.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\McAfee\Common Framework\udaterui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\AVC Finger-sensing Pad Driver\fspadsvr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\VirusScan Enterprise\engineserver.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\mfevtps.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Elina\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Elina\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
O4 - HKLM\..\Run: [FuncKey] "C:\Program Files\Hotkey Management\FuncKey.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: V&ie Microsoft Exceliin - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Lähetä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Läh&etä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...nt.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-palvelu (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FspadSvc - Unknown owner - C:\Program Files\AVC Finger-sensing Pad Driver\fspadsvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\engineserver.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 8258 bytes
Sen verran mitä tuota itse osaisin tulkita, niin ainakin yksi virus siellä näyttäisi olevan -> C:\WINDOWS\system32\ctfmon.exe
Sekä omaan mieleen hämärältä vaikuttaa tieto (Sillä tuostahan mainitsin jo ensimmäisessä viestissä) -> O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
Mutta fiksummat, apuanne kaivataan :)
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 24. lokakuuta 2009 @ 23:23
|
|
warwas
Suspended permanently
|
25. lokakuuta 2009 @ 01:25 |
Linkki tähän viestiin
|
Laita HJT missä et ole poistellut prosesseja.
|
|
Val0ton
Suspended due to non-functional email address
|
25. lokakuuta 2009 @ 02:26 |
Linkki tähän viestiin
|
Niin tietysti, liian hätäinen ja halukas pääsemään tästä kaikesta eroon. Tässä loki heti käynnistyksen jälkeen:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:23:14, on 25.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Power Manager\PM.exe
C:\Program Files\Hotkey Management\FuncKey.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\McAfee\Common Framework\udaterui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\AVC Finger-sensing Pad Driver\fspadsvr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\VirusScan Enterprise\engineserver.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\mfevtps.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
O4 - HKLM\..\Run: [FuncKey] "C:\Program Files\Hotkey Management\FuncKey.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: V&ie Microsoft Exceliin - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Lähetä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Läh&etä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...nt.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-palvelu (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FspadSvc - Unknown owner - C:\Program Files\AVC Finger-sensing Pad Driver\fspadsvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\engineserver.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 8177 bytes
|
|
warwas
Suspended permanently
|
30. lokakuuta 2009 @ 01:03 |
Linkki tähän viestiin
|
|
Sori että kesti :(
Loki puhdas, ongelmia edelleen?
|
|
Val0ton
Suspended due to non-functional email address
|
30. lokakuuta 2009 @ 07:09 |
Linkki tähän viestiin
|
Ei ole vaarallista vaikka kestikin :) Kiireitä itse kullakin. Opetin itseäni vähäsen lukemalla virustorjunta.netin puolelta hijacklogien tulkitsemista. Sen verran jopa ymmärsin että onnistuin itsekin päättelemään ettei koneessa pitäisi mitään vikaa enää olla (varmuutta en kyllä koskaan onnistunut saavuttamaan, sen verran onneton näiden kapistusten kanssa :D) Tiedä sitten mikä poppaskonsti sai sen viruksen koneelta katoamaan - sen verran monta keinoa käytiin läpi lyhyessä ajassa. Tästä kaikesta huolimatta tämä rakkine on jostain syystä kovin hidas edelleen.. Ilmeisesti alkaa vanhuus painaa (hurjat kaksi vuotta vanha kannettava).
Jos ei vanhuus niin sitten luulemma että suurin ongelma piilee tuossa McAfee -ohjelmassa, jonka jouduin asentamaan syksyllä. Ennen ei ole ollut lähestulkoon mitään ongelmia koneen kanssa, mutta nyt niitä on ollut oikein harmiksi asti. Yhteensopivuusongelmia joidenkin ohjelmistojen kanssa?
Täytyy testata jos sais tätä rakkinetta nopeammaksi karsimalla noita käynnistyviä ohjelmia sun muuta. Ehdotuksia mitä kannattaisi karsia? Ja osaatko sanoa, että onko siitä haittaa että minulla on päällä Windowsin oma palomuuri vaikka McAfee on samaan aikaan toiminnassa? Jokseenkaan en luota sen toimintakykyyn täysin :/ Todellakin huonoin mahdollinen ohjelmisto "suojaamaan" konetta.
Niin ja varmuuden vuoksi viellä yksi typerä kysymys, minkä ihmeen takia explorer.exe syö muistia yli 80 000 kt? Se on tehnyt tuota jo jonkun aikaa, ja rauhoittuu kun sen prosessin lopettaa ja käynnistää uudelleen.
Suuren suuri kiitos avustasi! :)
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 30. lokakuuta 2009 @ 07:12
|
|
warwas
Suspended permanently
|
1. marraskuuta 2009 @ 12:22 |
Linkki tähän viestiin
|
|
explorer.exe voi sy;d' paljon muistia jos vaikka ty;p;yt' on t'ynn' pikakuvakkeita, jos kuvien esikatselu on p''ll' ja jne...
|
|
Mainos
|
|
|
|
vnnutine
Newbie
|
4. marraskuuta 2009 @ 07:35 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Val0ton:
Tiedän, että tälläisiä samanlaisia kysymyksiä satelee tänne jatkuvasti mutta nyt ovat kyllä keinot itseltäni ja läheisiltä vähissä.
Onnistuin jotenkin saamaan koneelleni ongelman, joka kulkee nimellä System Security tms, mutta pääpiirteissään tämä virus/haittaohjelma selittää että kone on saastunut ja pitäisi ostaa jokin virusohjelma.
Onnistuin poistamaan prosessin, joka blokkasi kaikki puhdistusohjelmat ja muutenkin poistamaan melkein kaikki osat tästä kyseistä ilkivallantekijästä, mutta silti koneelle jäi siitä yksi osa. Se löytyy iehelper.dll nimellä etsiessä sitä koneelta, ja tiedoston nimeksi se on ottanut "AcroIEHelper.dll" Jostain syystä se on pesiytynyt Aboden kansioon ja siellä ActiveX:n alle. Ja tehtävien hallintaa katsellessa konelle on ilmestynyt PM.exe (selkeä virus) ja muutamia muita, jotka eivät todellakaan sinne kuulu.
Yritetty on:
- Malwarebytes' Anti-Malware, Spybot sekä Spyware Doctor ohjelmia; mikään näistä ei löydä virusta.
- Järjestelmän palauttamista sekä päivä että viikko taaksepäin; windows ilmoittaa ettei palautusta voida tehdä haluttuun palautuspisteeseen, mutta ei anna sille mitään suurempaa syytä.
- Saada XP menemään viansietotilaan, johon se ei koskaan päädy vaikka f8 näppäintä painaakin pohjassa tai rämpyttää koneen käynnistyessä. Eikä onnistunut sekään, että yritti luoda/avata boot.ini
- Ja tietysti (melkein unohtui) tiedoston uudelleen nimeäminen tai suoralta kädeltä poistaminen eivät todellakaan onnistu.
Kyseessä on siis pari vuotta vanha Fujitsun kannettava XP:llä, jossa on McAfee virustorjunta ohjelma käytössä (sillä yliopiston langattoman verkon käyttö vaatii tämän olemassaolon)
Tarkoittaako tämä nyt sitten sitä, että se on formatointi edessä? Ah, niin rakastan olla ulkomailla yksinäni tämän koneen kanssa.
Kiitos ja kummarrus niille, jotka vaivautuvat vastaamaan asiallisesti.
ville sama ongemaoli minullkin järjestelmänplauts pisteennen viruksentuloa nyt toimii
|
