|
|
|
Keskustelualueet
Keskustelualueet
|
|
|
Kuka kolkuttaa ulos? Troijalainen ?
|
|
|
Jallu59
Newbie
|
26. kesäkuuta 2006 @ 18:14 |
Linkki tähän viestiin
|
Mitenkähän saisisn selville, mikä sovellus/prosessi yrittää päästä ulos koneestani. Palomuuriin(ZA) tulee n.12 min välein lähetysyrityksiä, joiden vastaanottajan osoite ei todellakaan ole asiallinen. Virustorjuntana/vahtina Antivir. Olen siivonnut jo konetta seuraavilla: Antivir
Ad-Aware
Escan
CCleaner
Joitain troijalaisia on löytynyt ja tuhottu, mutta vielä vaan palomuuri kolisee sisältäpäin.
Hijak-lokia:
Logfile of HijackThis v1.99.1
Scan saved at 22:13:49, on 26/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\ati2plab.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\SMC\SMC.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\ntvdm.exe
C:\PROGRA~1\WINPAT~1\WINPAT~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Omat Lataukset\HijackThis_v1.99.1.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.ramgo.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
F1 - win.ini: run=fntldr.exe
F2 - REG:system.ini: UserInit=
O2 - BHO: (no name) - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SMC] C:\SMC\SMC.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\WINPAT~1\winpatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9679533-3D05-4CF4-8439-0D6104A226F4}: NameServer = 193.166.80.16,193.166.234.15
O20 - AppInit_DLLs: c:\winnt\system32\ctlje.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2plab.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe
Juhannuksen jälkeisin terveisin
Jari J. Lehtinen, Wanhempi tietoteekkari Turust
|
|
Werewolf_
Member
|
26. kesäkuuta 2006 @ 18:36 |
Linkki tähän viestiin
|
hmm, luulisin että seuraavat voipi fixata:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.ramgo.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
|
|
Jallu59
Newbie
|
26. kesäkuuta 2006 @ 19:43 |
Linkki tähän viestiin
|
Tein ehdotetut muutokset, ei auttanut. Eikä pitänytkään vaikuttaa, koskan käytän selaamiseen Firefoxia 1.5.0.4. Ai niin alusta on W2K Professional (english) varustettuna SP4:llä ja automaattisilla päivityksillä. Kolistelun detaljiksi ZA ilmoittaa NetBIOS session.
Lisäehdotuksia?
Logfile of HijackThis v1.99.1
Scan saved at 23:18:17, on 26/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\ati2plab.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\SMC\SMC.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\ctfmon.exe
C:\PROGRA~1\WINPAT~1\WINPAT~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Omat Lataukset\HijackThis_v1.99.1.exe
F1 - win.ini: run=fntldr.exe
F2 - REG:system.ini: UserInit=
O2 - BHO: (no name) - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SMC] C:\SMC\SMC.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\WINPAT~1\winpatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9679533-3D05-4CF4-8439-0D6104A226F4}: NameServer = 193.166.80.16,193.166.234.15
O20 - AppInit_DLLs: c:\winnt\system32\ctlje.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2plab.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe
Jari J. Lehtinen, Wanhempi tietoteekkari Turust
|
|
spertti
Senior Member
|
26. kesäkuuta 2006 @ 21:06 |
Linkki tähän viestiin
|
Tuollahan toi mörkö on
O20 - AppInit_DLLs: c:\winnt\system32\ctlje.dll
Tuo ei kuitenkaan fixaamalla lähde. En nyt muista oliko tuo vundo, vai Look2Me vai joku muu mikä näkyi sattumanvaraisen nimisenä .dll filuna 020 rivillä. Joka tapauksessa älä tee mitään ennenkuin saat ohjeet millä työkalulla tuo örkki poistetaan. Fixaamalla tuo ei nimittäin koneeltasi poistu.
Taitaa tuolla olla vielä joku Gatorinkin jämä
F1 - win.ini: run=fntldr.exe
Katsopa olisiko ohjaupaneelin lisää/poista sovelluksissa Gator nimistä mainosohjelmaa. Jos löytyy, niin poista se.
Edit: Lähetä tuo filu C:\WINNT\system32\regsvc.exe http://www.virustotal.com/ sivulle ja laita tulokset seuraavaan viestiisi.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 26. kesäkuuta 2006 @ 21:29
|
|
Jallu59
Newbie
|
26. kesäkuuta 2006 @ 22:11 |
Linkki tähän viestiin
|
|
Kiitoksia SPertille neuvoista. Voiko sen "F1 - win.ini: run=fntldr.exe":n hävittää? Vaan Gatoria ei ollut ja eipä mitään tuoltakaan löytynyt:
Complete scanning result of "regsvc.exe", received in VirusTotal at 06.27.2006, 00:50:30 (CET).
Antivirus Version Update Result
AntiVir 6.35.0.16 06.26.2006 no virus found
Authentium 4.93.8 06.26.2006 no virus found
Avast 4.7.844.0 06.26.2006 no virus found
AVG 386 06.26.2006 no virus found
BitDefender 7.2 06.27.2006 no virus found
CAT-QuickHeal 8.00 06.26.2006 no virus found
ClamAV devel-20060426 06.26.2006 no virus found
DrWeb 4.33 06.26.2006 no virus found
eTrust-InoculateIT 23.72.49 06.25.2006 no virus found
eTrust-Vet 12.6.2275 06.26.2006 no virus found
Ewido 3.5 06.26.2006 no virus found
Fortinet 2.77.0.0 06.27.2006 no virus found
F-Prot 3.16f 06.26.2006 no virus found
Ikarus 0.2.65.0 06.26.2006 no virus found
Kaspersky 4.0.2.24 06.27.2006 no virus found
McAfee 4793 06.26.2006 no virus found
Microsoft 1.1481 06.25.2006 no virus found
NOD32v2 1.1626 06.26.2006 no virus found
Norman 5.90.21 06.26.2006 no virus found
Panda 9.0.0.4 06.26.2006 no virus found
Sophos 4.07.0 06.26.2006 no virus found
Symantec 8.0 06.26.2006 no virus found
TheHacker 5.9.8.165 06.26.2006 no virus found
UNA 1.83 06.23.2006 no virus found
VBA32 3.11.0 06.26.2006 no virus found
VirusBuster 4.3.7:9 06.25.2006 no virus found
Aditional Information
File size: 68368 bytes
MD5: 250c4ce389783fa2398e3afa4317008c
SHA1: 7e55bfcb4daac93380f178d5378e2f9d7f072a0a
Jari J. Lehtinen, Wanhempi tietoteekkari Turust
|
|
spertti
Senior Member
|
26. kesäkuuta 2006 @ 22:26 |
Linkki tähän viestiin
|
Ookke. Vähän arvelinkin, ettei tuosta mörköä löydy, mutta saman niminen troijalainenkin on olemassa, mutta kun en löytänyt polkua missä se yleensä sijaitsee niin käskin tuon tarkistamaan.
Tuon F1 - win.ini: run=fntldr.exe voit fixata. Se poistuu tosiaan ihan HjT:llakin.
Pahus kun itselläni on kaikki nuo HjT-ohjeet kadonnut kun forkkasin koneen kuukausi takaperin, enkä nyt voi kertoa mikä tuo mörkö 020 rivillä on. Ei se kuitenkaan taida Vundo olla,
Fixaa se kuitenkin nyt ensin HjT:lla, ja sen jälkeen kokeillaan poistaa filu KillBoxilla, josko se olisi tuollainen helppo tapaus =)
Hae KillBox
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
Pura,avaa ja täppi kohtaan Delete on Reboot
Sitte kopioi rivi tosta alapuolelta
c:\winnt\system32\ctlje.dll
Sitten KillBoxissa ylhäältä File > Paste from Clipboard
Valitse "All Files".Sen jälkeen paina Delete (punainen, jossa on valkonen X)
Vastaa myöntävästi kysymyksiin ja jos kone ei itestään käynnisty uudestaan,niin käynnistä se.
Lähetä sen jälkeen uus Hijack-logi.
Huom. Jos olet bootannut koneen viimeisen lähettämäsi lokin jälkeen tuosta ei ole mitään hyötyä. Tuo paskiainen nimittäin vaihtaa nimeään joka käynnistyksella. Eli jos olet koneen välillä sammuttanut, niin katso uudestaan tuon filun nimim ja muokkaa fixi sen mukaiseksi.
|
|
Jallu59
Newbie
|
27. kesäkuuta 2006 @ 12:20 |
Linkki tähän viestiin
|
Tehty edelläolevan ohjeen mukaan, alla HjT-loki tempun jälkeen. Outo dll kyllä poistui, mutta palomuuri kolisee edelleen sisältäpäin, n.12min välein yrittää aina samaan osoitteeseen(kiinteä Ip samassa talossa, TOASnet). Ovela veijari tuo troijalainen, missähän se nyt luuraa, itse en keksi.
Logfile of HijackThis v1.99.1
Scan saved at 16:13:54, on 27/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\ati2plab.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\SMC\SMC.exe
C:\PROGRA~1\WINPAT~1\winpatrol.exe
C:\WINNT\system32\ctfmon.exe
C:\Omat Lataukset\HijackThis_v1.99.1.exe
F2 - REG:system.ini: UserInit=
O2 - BHO: (no name) - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SMC] C:\SMC\SMC.exe
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\WINPAT~1\winpatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9679533-3D05-4CF4-8439-0D6104A226F4}: NameServer = 193.166.80.16,193.166.234.15
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2plab.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe
Jari J. Lehtinen, Wanhempi tietoteekkari Turust
|
|
spertti
Senior Member
|
27. kesäkuuta 2006 @ 18:24 |
Linkki tähän viestiin
|
Sori, kun työt estää vähän tätä auttamista =), mutta Ewido on vielä kokeilematta, Eli lataa Ewido, päivitä se, ja anna poistaa kaikki mitä löytyy. Tallenna raportti, ja lähetä se tänne
EDIT: Ewidon saat täältä http://www.ewido.net/en/download/
Muista tehdä Full system scan
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 27. kesäkuuta 2006 @ 18:24
|
|
Jallu59
Newbie
|
27. kesäkuuta 2006 @ 19:55 |
Linkki tähän viestiin
|
|
No vihdoin oli aikaa ladata ja ajaa ewido, seuraavassa tulos. Ei vaikutusta palomuurin rapinaan.
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------
+ Created at: 23:47:32 27/06/2006
+ Scan result:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Winds_24 -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Microsoft\Mserv -> Adware.Daemonize : Cleaned with backup (quarantined).
C:\WINNT\winsx.dll -> Adware.Puper : Cleaned with backup (quarantined).
C:\WINNT\webdlg32.dll -> Adware.SBSoft : Cleaned with backup (quarantined).
C:\WINNT\system32\msxmlfilt.dll -> Adware.XmlMimeFilter : Cleaned with backup (quarantined).
:mozilla.25:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookies.txt -> TrackingCookie.Statcounter : Cleaned.
:mozilla.25:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookiesnew.txt -> TrackingCookie.Statcounter : Cleaned.
:mozilla.14:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.14:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookiesnew.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.15:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.15:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookiesnew.txt -> TrackingCookie.Tradedoubler : Cleaned.
::Report end
Jari J. Lehtinen, Wanhempi tietoteekkari Turust
|
|
Mainos
|
|
|
|
Jallu59
Newbie
|
29. kesäkuuta 2006 @ 20:02 |
Linkki tähän viestiin
|
|
Tapoin aikani kuluksi muutamia lisäörkkejä a2:lla ja poistin muutaman tarpeettoman rivin hjt:lla. Sen verran muutosta on tullut, että 12 min intervalli on pidentynyt n 50 minuuttiin. Epäilen kyllä sen johtuvan siitä, että koneeseen on tullut sen verran lisätorjuntaa, että keskusmuisti(192M) alkaa olla täynnä eli swapataan jo.
Edelleen kaipaisin softaa,joka kertoisi mikä softa todella yrittää lähettää noita paketteja ulospäin.
Tcpview näyttä systeemin touhuavan ihmeteltävän paljon PID 8:lla, mutta tietoni eivät riitä sen asiallisuuden verifiointiin.
Jari J. Lehtinen, Wanhempi tietoteekkari Turust
|
|
