|
Tr.smal.ka
|
|
|
M.Hilator
Newbie
|
20. huhtikuuta 2005 @ 04:17 |
Linkki tähän viestiin
|
|
Mitä tehdä? Kirjattuani verkkotunnuksen ja käyttäjätunnuksen, käynnistyy antivir-ohjelma ja ilmoittaa kyseisestä troijan hevosesta. Yritettyäni deletoida sitä kone jää jumiin. Myös kokeillessani muita Antivirin antamia vaihtoehtoja....'
Kuinka saan estettyä, ettei antivir käynnisty automaattisesti koneelle kirjautuessa.
Kun olen tämän ongelman saanut ratkaistua, voin alkaa miettimään kuinka tuhota troijan hevonen koneeltani. Minulla on Windows 98.
|
|
pkaksp
Moderator
|
20. huhtikuuta 2005 @ 04:40 |
Linkki tähän viestiin
|
|
Koitas ihan sellaista pientä perusjuttua kun että menet vikasietotilaan ja skannaat siellä tuon antivirin. Jos saat sen poistettua näin ni hyvä mutta jos et ni katso sen pöpön tarkka polku, haet sen sieltä koneen syvyyksistä ja poistat manuaalisesti Shift + Delete.
Auttoiko?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 20. huhtikuuta 2005 @ 04:41
|
|
M.Hilator
Newbie
|
20. huhtikuuta 2005 @ 19:05 |
Linkki tähän viestiin
|
|
mites sinne vikasietotilaan pääsi? yritin manuaalista katsoa mutten löytänyt.... ;(
|
|
Toymaatti
Senior Member
|
20. huhtikuuta 2005 @ 19:20 |
Linkki tähän viestiin
|
|
W98:ssa varmaankin Ctrl näppäin käynnistyksen aikana.
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
|
M.Hilator
Newbie
|
20. huhtikuuta 2005 @ 19:22 |
Linkki tähän viestiin
|
|
kiitos. pitää huomenna käydä viruksen kimppuun...
|
AfterDawn Addict
4 tuotearviota
|
20. huhtikuuta 2005 @ 20:52 |
Linkki tähän viestiin
|
|
F8 on se oikea näppäin vikasietotilaan..
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 20. huhtikuuta 2005 @ 20:52
|
|
pkaksp
Moderator
|
21. huhtikuuta 2005 @ 05:26 |
Linkki tähän viestiin
|
|
Juu kyllä se tuo F8 on. Ja jos en ihan vääräs oo ni se sama näppäin on joka wintoosas.
|
|
M.Hilator
Newbie
|
21. huhtikuuta 2005 @ 06:33 |
Linkki tähän viestiin
|
|
joo, ei CTRL toiminutkaan.... :)
|
|
M.Hilator
Newbie
|
22. huhtikuuta 2005 @ 10:07 |
Linkki tähän viestiin
|
ei muuten ollu F8.
Olen nyt käynyt koneen läpi seuraavilla ohjelmilla (kaikki päivitetty): AntiVir, Ad-ware, Spybot, CCleaner, CWShredder,TweakNowRegCleaner. Lisäksi olen päivittänyt Windows 98:n.
Yhä on virus/Spyware tms. koneella. Vähän väliä avautuu internet explorer ja menee sivulle http://www.hotoffers.info/ad0271/go.php
Muutenkin kone on erittäin hidas........
Mitäköhän sitten keksisi. Ideoita???
|
|
pkaksp
Moderator
|
22. huhtikuuta 2005 @ 11:35 |
Linkki tähän viestiin
|
Quote:
ei muuten ollu F8.
Ihan niinku mielenkiinnosta et kuin niin ei ollu? Pääsitkö sit jollain toisel nappulal sinne vai pääsitkkö ollenkaa?
|
|
M.Hilator
Newbie
|
22. huhtikuuta 2005 @ 11:54 |
Linkki tähän viestiin
|
|
Konetta käynnistettäessä AntiVir ei tiltannut tällä kertaa....
Olen mm. havainnut, että kun liikutan hiirtä tauon jälkeen-->aukeaa Internet Explorer itsestään ja avaa sivun: Hotoffers
Mistäköhän sitä örkkiä alkais etsiä ja millä???
|
|
pkaksp
Moderator
|
23. huhtikuuta 2005 @ 09:33 |
Linkki tähän viestiin
|
|
Koita ny mennä vain sinne vikasietotilaan ja skannaa antivir + muut pöpön poisto softat.
|
Member
|
23. huhtikuuta 2005 @ 10:44 |
Linkki tähän viestiin
|
|
kyllä win 98:ssa vikasietotilaan mennään ctrl tai f8:lla jostain päivityksestä riippuen jos on päivitetty niin f8 muuten ctrl. Pidä koko ajan pohjassa jompaa kumpaa kun käynnistät koneen.
|
|
M.Hilator
Newbie
|
23. huhtikuuta 2005 @ 18:15 |
Linkki tähän viestiin
|
|
sori...oli se sittenkin CTRL, millä pääsi vikasietotilaan. ;)
vaihdoin internet explorerin firefoxiin, jolloin osa ongelmista katosi.
Yhä tulee joku varoitusloota mikä ilmoittaa että koneella spywarea...
eScan:lla sain lisää ötököitä pois koneesta, mutta en kaikkia....
|
Moderator
7 tuotearviota
|
23. huhtikuuta 2005 @ 19:10 |
Linkki tähän viestiin
|
|
|
M.Hilator
Newbie
|
24. huhtikuuta 2005 @ 15:52 |
Linkki tähän viestiin
|
tässä loki:
Logfile of HijackThis v1.99.1
Scan saved at 17:57:02, on 24.4.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\OHJELMATIEDOSTOT\POPUP KILLER\POPUPKILLER.EXE
C:\OHJELMATIEDOSTOT\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\OHJELMATIEDOSTOT\HEWLETT-PACKARD\PHOTOSMART\PHOTO IMAGING\HPI_MONITOR.EXE
C:\PROGRAM FILES\WINDOWS ADSERVICE\WINADSERV.EXE
C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE
C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rootsearch.biz/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0271/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Sonera Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;*.*.fi;*.*.*.fi;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: (no name) - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\SYSTEM\NSP4275.DLL
O2 - BHO: PynixObj Class - {00000000-DD60-0064-6EC2-6E0100000000} - C:\WINDOWS\PYNIX.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\OHJELM~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [PopUpKiller] C:\OHJELMATIEDOSTOT\POPUP KILLER\POPUPKILLER.EXE
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [AVGCtrl] C:\OHJELMATIEDOSTOT\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Ohjelmatiedostot\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CXMon] "C:\Ohjelmatiedostot\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Windows AdService] C:\PROGRAM FILES\WINDOWS ADSERVICE\WINADSERV.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [MsnMsgr] "c:\Ohjelmatiedostot\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\OHJELMATIEDOSTOT\LOGITECH\VIDEO\MANIFESTENGINE.EXE boot
O4 - Startup: Officen käynnistys.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.soneraplaza.fi
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.yeak.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.traffic2cash.biz
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv74/x.chm::/load.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=206a699e9ed002b764e389490796fb536ca1eceedef00fe00861e04964b74e26b235adf0c31b37010e8e2c69b6760c019447ee1641cd70938325:23e58dabdfe8c5d6602b8bf1fcecd7ff
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
mitäs sitte deletois.......
|
|
Mainos
|
|
|
|
Toymaatti
Senior Member
|
25. huhtikuuta 2005 @ 14:21 |
Linkki tähän viestiin
|
Sorry M.Hilator, olet saanut odotella.
On tainnut olla Kazaa koneella?
Laita piilotiedostot näkyviin
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339
Poista Lisää/Poista sovelluksesta
P2P NETWORKING
WINDOWS ADSERVICE
Hae DelDomains
http://www.mvps.org/winhelp2002/DelDomains.inf
Klikkaa linkkiä hiiren oikealla, valitse "tallenna kohde levylle..", ja ohjaa se työpöydälle.
Sulje selain.
Klikkaa hiiren oikealla DelDomains.inf kuvaketta ja valitse ASENNA.
Hae Protocol defaults
http://forum.gladiator-antivirus.com/index.php?act=Attach&type=post&id=91281
Tuplaklikkaa protocol defaults.reg
kuvaketta ja vastaa KYLLÄ.
Aja HjT, laita merkki noiden eteen, sulje selain ja muut ikkunat, klikkaa FIX
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rootsearch.biz/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0271/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html
R3 - URLSearchHook: (no name) - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\SYSTEM\NSP4275.DLL
O2 - BHO: PynixObj Class - {00000000-DD60-0064-6EC2-6E0100000000} - C:\WINDOWS\PYNIX.DLL
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [Windows AdService] C:\PROGRAM FILES\WINDOWS ADSERVICE\WINADSERV.EXE
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.yeak.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.traffic2cash.biz
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv74/x.chm::/load.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=206a699e9ed002b764e389490796fb536ca1eceedef00fe00861e04964b74e26b235adf0c31b37010e8e2c69b6760c019447ee1641cd70938325:23e58dabdfe8c5d6602b8bf1fcecd7ff
Käynnistä vikasietotilaan ja poista nuo
C:\WINDOWS\SYSTEM\===>NSP4275.DLL<===
C:\WINDOWS\===>PYNIX.DLL<===
C:\WINDOWS\SYSTEM\===>P2P NETWORKING<===Kansio
C:\PROGRAM FILES\===>WINDOWS ADSERVICE<===Kansio
Käynnistä normaalisti ja laita uusi loki.
HUOM!!!
Ainakin Norton hälyyttää Boodhound Exploit6 Viruksesta kun avaa tämän
viestiketjun. Kyse ei ole todellisesta viruksesta vaan yliherkästä virustojunnasta joka todennäköisesti reagoi lokissa olevaan 016 riviin jossa on suluissa pirusti ykkösiä.
M.Hilator, poista tuo rivi editillä kun olet lukenut nämä ohjeet.
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. huhtikuuta 2005 @ 14:34
|
