|
Ongelmia koneessani
|
|
|
danero
Member
|
2. helmikuuta 2008 @ 00:14 |
Linkki tähän viestiin
|
|
Siinä mun logi, mutta menen nyt pois koneelta
kiitos että vastasi joku edes
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 00:15 |
Linkki tähän viestiin
|
Lataa: RegSeeker.zip työpöydälle:
http://fileforum.betanews.com/detail/RegSeeker/1035382760/1
Pura zip C:\RegSeeker\ kansioon. Sieltä käynnistät RegSeeker.exe ohjelman.
Oikeasa yläkulmassa on Languages.... linkki, josta valitset Suomenkielen.
Vasemmasta alakulmasta ruksit Luo vrmuuskopio ja sitten linkki Puhdista rekisteri
Ruksit kaikkiin muihin kohtiin paitsi "Käyttökelvottomat.." sitten "OK" (odotat hetken).
Ruutuun ilmestyy lista epäkelvoista rekisterimerkinnöistä, jotka alapalkista Valitse kohdasta
klikkaat Valitse kaikki jolloin valitut saavat keltaisen pohjavärin.
Alapalkin Toiminnot linkistä klikkaat Poista valitut kohteet
Ponnahdusikkunaan "Kaikki valitut kohteet poistetaan ? vastaat "OK".
Seuraavaan Ponnahdusikkunaan "Varmuuskopiot" vastaat "OK".
Klikaa vasemmalta Lopeta RegSeeker ja käynnistä koneesi uudelleen.
===
lataa startuplite
http://www.malwarebytes.org/startuplite.php
tallena tiedosto työpöydälle. Tuplalikkaa StartUpLite.exe:ä
sitten voi valita mitä jätät käynistyviin ja paina sitten continue.
Voiko tietsikka koskaan toimia?
|
|
danero
Member
|
2. helmikuuta 2008 @ 00:17 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Hujo:
Lataa: RegSeeker.zip työpöydälle:
http://fileforum.betanews.com/detail/RegSeeker/1035382760/1
Pura zip C:\RegSeeker\ kansioon. Sieltä käynnistät RegSeeker.exe ohjelman.
Oikeasa yläkulmassa on Languages.... linkki, josta valitset Suomenkielen.
Vasemmasta alakulmasta ruksit Luo vrmuuskopio ja sitten linkki Puhdista rekisteri
Ruksit kaikkiin muihin kohtiin paitsi "Käyttökelvottomat.." sitten "OK" (odotat hetken).
Ruutuun ilmestyy lista epäkelvoista rekisterimerkinnöistä, jotka alapalkista Valitse kohdasta
klikkaat Valitse kaikki jolloin valitut saavat keltaisen pohjavärin.
Alapalkin Toiminnot linkistä klikkaat Poista valitut kohteet
Ponnahdusikkunaan "Kaikki valitut kohteet poistetaan ? vastaat "OK".
Seuraavaan Ponnahdusikkunaan "Varmuuskopiot" vastaat "OK".
Klikaa vasemmalta Lopeta RegSeeker ja käynnistä koneesi uudelleen.
===
lataa startuplite
http://www.malwarebytes.org/startuplite.php
tallena tiedosto työpöydälle. Tuplalikkaa StartUpLite.exe:ä
sitten voi valita mitä jätät käynistyviin ja paina sitten continue.
Mitä noiden molempien pitäisi auttaa ?
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 00:21 |
Linkki tähän viestiin
|
|
Puhdistaa turhan rekisterin ja tuo toinen vähentää turhaan käynistyviä
Voiko tietsikka koskaan toimia?
|
|
danero
Member
|
2. helmikuuta 2008 @ 00:34 |
Linkki tähän viestiin
|
Eli pitääkö nuo kaksi tehä + tuo avast 7.5 hommeli juttu ?
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 00:38 |
Linkki tähän viestiin
|
Voiko tietsikka koskaan toimia?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 2. helmikuuta 2008 @ 00:41
|
|
danero
Member
|
2. helmikuuta 2008 @ 00:42 |
Linkki tähän viestiin
|
Joo no sekotin AVG ja avastin
|
|
danero
Member
|
2. helmikuuta 2008 @ 13:23 |
Linkki tähän viestiin
|
|
Tein tuon , mutta tuossa yhessä kohtaa pyydetään klikkaa scannauksen jälkeen ihme apply all jutun
ja sitte klikkasin sitä ja luin toisen kohan, ja siinä sanottiin että jos siinä ei lue quarteen 1 vaim ilälie ni vaiha se siihe sillee jne
mulla luki custom ja olin jo painanut apply all hommelia.
tein uuden scannauksen ja ne kaikki oli lähtenyt.
itte nyt se virus tai se hommeli vaihto paikkaa
PS. siel scannissa oli joku rookit jonka risk oli high
se meni niiitte juttujen mukana
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 15:02 |
Linkki tähän viestiin
|
Lataa RustBFix by ejvindh http://www.uploads.ejvindh.net/rustbfix.exe
ja tallenna se työpöydällesi.
Tuplaklikkaa tiedostoa rustbfix.exe. Jos löytyy Rustock.b-infektio, sinua pyydetään pian käynnistämään kone uudelleen. Uudelleenkäynnistyminen saattaa kestää hetken ja joudut ehkä käynnistämään koneen vielä toisenkin kerran. Kaikki tämä tapahtuu automaattisesti. Uudelleenkäynnistyksen jälkeen kaksi lokitiedostoa avautuu (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Kopioi ja liitä nämä kaksi lokitiedostoa seuraavaan vastaukseesi uuden HijackThis lokin kera.
Voiko tietsikka koskaan toimia?
|
|
danero
Member
|
2. helmikuuta 2008 @ 15:08 |
Linkki tähän viestiin
|
|
Mitä tuon pitäisi auttaa ?
Tuli tällänen :
************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
la 02.02.2008 15:08:09,69
No Rustock.b-rootkits found
******************************* End of Logfile ********************************
Käynnistänkö koneen uusiksi nyt ? Vai tekeekö se automaattisesti ?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 2. helmikuuta 2008 @ 15:10
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 15:11 |
Linkki tähän viestiin
|
|
Käynnistä kone uudestaan
Voiko tietsikka koskaan toimia?
|
|
danero
Member
|
2. helmikuuta 2008 @ 15:18 |
Linkki tähän viestiin
|
Lainaus:
Uudelleenkäynnistyksen jälkeen kaksi lokitiedostoa avautuu (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Avasin koneen uudelleen eikä tullut mitää lokia
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 15:23 |
Linkki tähän viestiin
|
|
Ne on tuola C:/RustBFix
Voiko tietsikka koskaan toimia?
|
|
danero
Member
|
2. helmikuuta 2008 @ 15:27 |
Linkki tähän viestiin
|
|
Tuolla oli vain kaksti tekstitiedostoa.
Yks oli tmp1 jossa oli tälläne :
C:\WINDOWS\system32
No streams found.
ja sitte toine on pelog jossa oli täää sama :
************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
la 02.02.2008 15:08:09,69
No Rustock.b-rootkits found
******************************* End of Logfile ********************************
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 15:28 |
Linkki tähän viestiin
|
|
ok laitas scannaten uusi hjt:n loki
Voiko tietsikka koskaan toimia?
|
|
danero
Member
|
2. helmikuuta 2008 @ 15:31 |
Linkki tähän viestiin
|
Logfile of HijackThis v1.99.1
Scan saved at 15:30:26, on 2.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Norman\Npm\bin\ZLH.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hjt\scanner.exe.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Lee\Käynnistä-valikko\Ohjelmat\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...nt.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...ash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 15:40 |
Linkki tähän viestiin
|
|
Käynnistä > suorita kirjoita msconfig > ok
Käynnistys välilehti
Ota alla olevien edestä ruksi pois
IMJPMIG
ImScInst
TINTSETP
realsched
jusched
reader_sl
käytä ja ok
Käynnistä kone uudelleen ja laita pikkuseen neliöön ruksi ja paina sitten vasta ok
Voiko tietsikka koskaan toimia?
|
|
danero
Member
|
2. helmikuuta 2008 @ 15:46 |
Linkki tähän viestiin
|
|
TINTSEPT ejä on kaksi otanko molemmat ruksit pois ?
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 15:48 |
Linkki tähän viestiin
|
|
ota pois
Voiko tietsikka koskaan toimia?
|
|
danero
Member
|
2. helmikuuta 2008 @ 15:55 |
Linkki tähän viestiin
|
|
Entä nyt ?
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 16:02 |
Linkki tähän viestiin
|
Mites se kone toimii nyt
Lataa OTMoveIt
OTMoveIt ja tallenna se työpöydällesi.
Tuplaklikkaa OTMoveIt.exe.
Klikkaa CleanUp!.
Valitse Yes kun kysytään "Begin cleanup Process?".
Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse.
HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt yrittää päästä nettin, niin anna sen päästä sinne.
======
Fixsaa tuo pois
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Voiko tietsikka koskaan toimia?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 2. helmikuuta 2008 @ 16:04
|
|
danero
Member
|
2. helmikuuta 2008 @ 16:06 |
Linkki tähän viestiin
|
|
No nyt ei ainakaan se virus piippaa nii useesti.
Ainaku menee sinne kansioo missä se virus on ni sillo alkaa piippaa
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 16:08 |
Linkki tähän viestiin
|
|
Missäs se vielä on mikä kansio se on
Voiko tietsikka koskaan toimia?
|
|
danero
Member
|
2. helmikuuta 2008 @ 16:13 |
Linkki tähän viestiin
|
|
Siellä samas kohtaa
|
|
Mainos
|
|
|
|
Hujo
Suspended permanently
|
2. helmikuuta 2008 @ 16:21 |
Linkki tähän viestiin
|
c:\windows/system32\93819df9.dll <-- täämäkö siellä huutaa
Lataa killbox
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
Pura,avaa ja täppi kohtaan Delete on Reboot
Sitte kopioi rivi tosta alapuolelta yhellä kertaa
c:\windows/system32\93819df9.dll
Sitten KillBoxissa ylhäältä File > Paste from Clipboard
Valitse "All Files".Sen jälkeen paina Delete (punainen, jossa on valkonen X)
Vastaa myöntävästi kysymyksiin ja jos kone ei itestään käynnisty uudestaan,niin käynnistä se.
Voiko tietsikka koskaan toimia?
|
