|
Työpöytä häviää (Trojan)
|
|
|
apilas
Suspended permanently
|
23. joulukuuta 2007 @ 18:41 |
Linkki tähän viestiin
|
|
Jees, eli työpöytä häviää tässä muutaman sekunnin välein ja ilmestyy sitten takaisin. Ajoin läpi tuossa muutamia virusohjelmia sekä haittaohjelmien poistajia, mutta ongelma ei poistu. Esim. viimeinen oli F-Securen kotisivulla oleva koneen scannaus, joka löysi Troijalaisen ja pari malwarea ja poisti ne, mutta kun käynnistin koneen uudelleen niin sama työpöydän katoaminen jatkuu. Troijalainen on ilmeisesti pesiytynyt johonkin käynnistys logiin tai vastaavaan.
Käynnistys vikasietotilassa aiheuttaa samanlaista välkkymistä.
Onkohan muuta vaihtoehtoa kuin asentaa Windows uudestaan?
EDIT:
Tai siis tuo työpöydän "välkkyminen" on sitä, että kone yrittää käynnistää kaikkia ohjelmia, mutta jotenkin aina käynnistys alkaa alusta. Ja tosiaan muutaman sekunnin 6-7 välein tuo työpöytä häviää ja kohta tulee taas takaisin.
7900GTO 512mb T.S.A SANCTI
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 23. joulukuuta 2007 @ 21:32
|
Member
|
24. joulukuuta 2007 @ 17:03 |
Linkki tähän viestiin
|
|
no kyl tälläsissä tapauksissa kannattaa varmaan formatoida, ainakin itse forkkaisin. mut kuin pystyt käyttää konettas ylipäätänsä jos siinä on tommonen ettei työpöytä näy?
|
|
apilas
Suspended permanently
|
25. joulukuuta 2007 @ 01:19 |
Linkki tähän viestiin
|
|
Joo eli troijalainen on koneessa. En vaan saa poistettua sitä. Tilanne on tällä hetkellä se, että F-securen ohjelma poistaa saatuneita tiedostoja, mutta troijalainen tekee aina vain uusia tiedostoja. Käynnistäminen vikasietotilaan ei auta asiaa. Tai sitten en vain osaa tehdä asioita oikein. Työpöytä sentään näkyy :)
F-secure ilmoittaa:
Tartunta: Trojan-Dropper.Win32.Agent.dgo
Toiminto: Tiedosto on nimetty uudelleen.
Aikaisemmin olen aina selvittänyt vastaavanlaiset ongelmat, mutta nyt tämä troijalainen yrittää pilata jouluni haha! Noh täytyy vaan pistää kova kovaa vastaan :)
EDIT:
Löydän troijalaisen "pää-tiedostot", mutta en saa niitä poistettua enkä myöskään eristettyä. Mikähän avuksi?
7900GTO 512mb T.S.A SANCTI
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. joulukuuta 2007 @ 02:20
|
AfterDawn Addict
|
25. joulukuuta 2007 @ 09:26 |
Linkki tähän viestiin
|
|
Kannattaa poistaa järjestelmän palauttaminen käytöstä ja skannata kone ja käynnistää uudelleen ja laittaa sit järjestelmän palauttaminen päälle. Poistaa käynnistystiedostot jossa troijalainen taitaa piileskellä. combofixiä vois kans kokeilla.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. joulukuuta 2007 @ 09:29
|
|
apilas
Suspended permanently
|
25. joulukuuta 2007 @ 12:57 |
Linkki tähän viestiin
|
|
Kuinka käynnistystiedostot poistetaan?
7900GTO 512mb T.S.A SANCTI
|
AfterDawn Addict
|
25. joulukuuta 2007 @ 13:47 |
Linkki tähän viestiin
|
|
Ne on siellä palautus tiedostoissa, sen kun otat pois päältä ja boottaat, niin se poistaa ne jämät. Sitten vaan laitat palautuksen taas päälle.
Käynnistä-ohjauspaneeli-suorituskyky ja vasemmasta laidasta järjestelmän palautus, sielta valitset palauttaisen asetukset ja laitat täpin poista järjestelmän palauttaminen kaikissa asemissa. sittenkun olet bootannu koneen otat vaan täpin pois niin se on taas käytössä kun seuraavan kerran käynnistät tai asennat jotain.
|
Member
|
25. joulukuuta 2007 @ 14:16 |
Linkki tähän viestiin
|
muistaakseni uusimmalla ccleaner:lla pystyy poistaa autom. käynnistyvät prosessit. Ainakin ohjelmat mutta mun muistaakseni myös prosesseja.
annas sun hjt loki nii katon vähän
|
|
apilas
Suspended permanently
|
25. joulukuuta 2007 @ 14:53 |
Linkki tähän viestiin
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:04, on 25.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DMW Client 3\dmwclient.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\nHancer\nHancerService.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\FSPC\fspc.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Spyware Doctor\SDTrayApp .exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
F3 - REG:win.ini: load=C:\WINDOWS\system32\awtsp.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2B3CBDC2-8AB6-45B1-B59E-7B0DEE595917} - (no file)
O2 - BHO: (no name) - {449F6DBF-A83D-40B1-8FB8-F4EB0E28F7EC} - C:\WINDOWS\system32\awtsp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DmwClient] "dmwclient.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Lapsilukko... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Lapsilukko... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: vtuspnm - vtuspnm.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Program Files\nHancer\nHancerService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
--
End of file - 9076 bytes
EDIT: Paljon en tuosta ymmärrä, mutta tuossa taitaa se ongelma olla, tai ainakin osa siitä:
C:\WINDOWS\system32\svchost.exe
7900GTO 512mb T.S.A SANCTI
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. joulukuuta 2007 @ 14:56
|
Member
|
25. joulukuuta 2007 @ 22:58 |
Linkki tähän viestiin
|
|
O9 - Extra button: Lapsilukko... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Lapsilukko... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
Toi kiinnitti huomioita. Tää on ilmeisesti joku säätö f-securesta joka bugaa. Milloin tää on laitettu ja milloin tää työpöytä alkoi temppuilemaan?
P.S Tuo svchost.exe prosessi on ihan normaali ja niitä saakin olla monia ja niitä onkin monta riippuen mitä sovelluksia/prosesseja sulla on yhteydessä internetiin.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. joulukuuta 2007 @ 22:59
|
|
apilas
Suspended permanently
|
25. joulukuuta 2007 @ 23:04 |
Linkki tähän viestiin
|
|
Tuo troijalainen tuli toissa päivänä. Sen jälkeen asensin tuon F-securen, mutta se ei poista sitä.
7900GTO 512mb T.S.A SANCTI
|
Member
|
25. joulukuuta 2007 @ 23:18 |
Linkki tähän viestiin
|
hmm. luulen että tämä troijalainen ei ole syypää tähän työpöydän katoamiseen vaan noi palomuurit/anti spyware/antivirus ohjelmat.
Sullahan on f-secure, spyware doctor ja ad-aware.
asensitko spyware d. ja ad-awaren tän työpöydän "katoamisen" ennen vai jälkeen, ja jos ennen nii olitko säätänyt jotain asetuksia jommasta kummasta ohjelmasta?
P.S oliko toi f-securen lapsilukko sitten säädetty tän asentamisen jälkeen jos kerta asensit f-securen vasta tän "katoamisen" jälkeen.
|
|
apilas
Suspended permanently
|
26. joulukuuta 2007 @ 00:11 |
Linkki tähän viestiin
|
Ennen troijalaista oli Ad-aware, spybot, ja antivir. Troijalaisen jälkeen asentin F-securen ja spyware doctoren.
Manuaalisesti en ole koskenut mihinkään F-securen asetuksiin.
7900GTO 512mb T.S.A SANCTI
|
Member
|
26. joulukuuta 2007 @ 00:20 |
Linkki tähän viestiin
|
|
|
apilas
Suspended permanently
|
26. joulukuuta 2007 @ 15:49 |
Linkki tähän viestiin
|
Troijalainen hävisi. Miten? Se jäikin hiukan mysteeriksi. Ajelin noita eri spyware ohjelmia mm. VundoFix ja aina F-securen virusohjelma ilmoitti troijalaisesta. Lopulta uninstalloin F-securen ja sitten taas ajelin noita ohjelmia niin sitten se troijalainen meni pois. Kävi vissiin olo liian tukalaksi :)
Jäi sellainen maku, että se majaili jossain F-securen käynnistys- tai palautustiedostossa?
Edelleen löytyy tuo:
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
Miksei sitä voi poistaa suoraan sillä Hijack ohjelmalla? Ruksi vain sinne haluttuun kohtaan ja remove this file. Poistui ainakin silleen, en tiedä sitten tuleeko kohta takaisin, jos käynnistän koneen uudelleen.
7900GTO 512mb T.S.A SANCTI
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 26. joulukuuta 2007 @ 15:51
|
|
enokoteit
Member
3 tuotearviota
|
26. joulukuuta 2007 @ 16:09 |
Linkki tähän viestiin
|
Kalminen sanoi omassa logissani:
Lainaus:
Tämä tiedosto:
C:\WINDOWS\System32\NTSpool.exe on virus ja
tarvitsee erikoistyökalun !!! Ei HJT sitä poista.
Itellänikin oli tuo NTSpool virus("C:\WINDOWS\System32\NTSpool.exe")
nitten takii Kaspeskyn lisenssi tuli invalid ja työpöytä alkoi sekoilee. Luultavasti tuon takii työpöytäsi häviää välillä.
|
|
apilas
Suspended permanently
|
26. joulukuuta 2007 @ 16:12 |
Linkki tähän viestiin
|
|
Jassoo. Tarvitsee käynnistää kone uudelleen ja tehdä sitten tilanne arvio.
7900GTO 512mb T.S.A SANCTI
|
|
apilas
Suspended permanently
|
26. joulukuuta 2007 @ 16:44 |
Linkki tähän viestiin
|
Miltäs tämä nyt näyttää?
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DMW Client 3\dmwclient.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\GameSpy\Comrade\Comrade.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\nHancer\nHancerService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2B3CBDC2-8AB6-45B1-B59E-7B0DEE595917} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DmwClient] "dmwclient.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [PrevxCSI] "C:\Program Files\PrevxCSI\prevxcsi.exe" -boot
O4 - HKCU\..\Run: [Comrade.exe] C:\Program Files\GameSpy\Comrade\Comrade.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: vtuspnm - vtuspnm.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Program Files\nHancer\nHancerService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
--
End of file - 7592 bytes
Kyllä se O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe vain sieltä hävisi.
7900GTO 512mb T.S.A SANCTI
|
Member
|
26. joulukuuta 2007 @ 18:22 |
Linkki tähän viestiin
|
|
Näyttäisi siltä, ettei käytössäsi ole nyt lainkaan palomuuria ja aktiivista virustorjuntaa.
Nämä voit fixata:
O2 - BHO: (no name) - {2B3CBDC2-8AB6-45B1-B59E-7B0DEE595917} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: vtuspnm - vtuspnm.dll (file missing)
Tunnetko tämän?
O4 - HKCU\..\Run: [Comrade.exe] C:\Program Files\GameSpy\Comrade\Comrade.exe
Jos et, fixaa sekin.
|
|
apilas
Suspended permanently
|
26. joulukuuta 2007 @ 18:32 |
Linkki tähän viestiin
|
Virustorjuntaa ei ole tällä hetkellä, koska poistin ne, kun painiskelin tuon troijalaisen kanssa. Asennan kyllä uudestaan takaisin.
Palomuurina on XP:n oma. Zone alarm tulee sekin myöhemmin.
Lainaus, alkuperäisen viestin kirjoitti Kasavuori:
O4 - HKCU\..\Run: [Comrade.exe] C:\Program Files\GameSpy\Comrade\Comrade.exe
Juu tuo comrade tuli kun asensin äskettäin Crysiksen. Tarkkaan oikein tiedä mikä se on. Jokin nettipeliin tai vastaavaan liittyvä juttu.
7900GTO 512mb T.S.A SANCTI
|
Member
|
26. joulukuuta 2007 @ 18:47 |
Linkki tähän viestiin
|
|
|
Mainos
|
|
|
|
apilas
Suspended permanently
|
26. joulukuuta 2007 @ 18:51 |
Linkki tähän viestiin
|
|
Kaikki alkoi ennen Crysiksen ja F-securen asennusta.
Tuo Windows care minulla olikin. Tosin en ole päivittänyt sitä.
7900GTO 512mb T.S.A SANCTI
|
