|
Vähän apuja HiJackThis-login kanssa.
|
|
|
Zerath
Newbie
|
3. toukokuuta 2005 @ 11:15 |
Linkki tähän viestiin
|
Eli siis, koneella on trojania yms. paskaa ja paljon onkin. Mutta pitäisi päästä eroon. Monella ohjelmalla oon koittanut päästä näistä eroon mutta ei niin ei. HJT on kait ratkaisu, mutta tarvin tosiaan apua. Tässäpä logi:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {25DE4583-4C13-47A2-A6C4-CB8ADEBDA93B} - C:\WINDOWS\System32\blnb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {563EC66E-5A1B-51D2-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/pop03.chm::/MegaInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098441386310
O18 - Filter: text/html - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll
O18 - Filter: text/plain - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
|
|
Zerath
Newbie
|
3. toukokuuta 2005 @ 11:17 |
Linkki tähän viestiin
|
|
Oho, ei tullut ihan kokonaan. Tuo alku siis on tässä:
Logfile of HijackThis v1.99.1
Scan saved at 15:15:29, on 3.5.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Opera76\opera.exe
C:\Program Files\Winamp\winamp.exe
C:\hijackthis\HijackThis.exe
Kiittelen jo heti kättelyssä ;)
|
|
Toymaatti
Senior Member
|
3. toukokuuta 2005 @ 15:30 |
Linkki tähän viestiin
|
No onhan tuolla örkki poikineen, tiedätkö muuten miksi näin on päässyt käymään?
Syy on örkinmentäviä reikiä täynnä oleva käyttöjärjestelmä(XP),
koska siellä ei ole ainuttakaan PÄIVITYSTÄ!!
Laita piilotiedostot näkyviin
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339
Laita Ad-Awaren Ad-Watch manuaalikäytölle ja anna sille lupa tehdä muutokset puhdistuksen aikana, jos se niitä kyselee.
Hae RegSeeker rekisterin puhdistus ohjelma(Languages napista saat sen Suomenkieliseksi)
http://www.hoverdesk.net/freeware.htm
Hae se.dll fixaustyökalu ja pura se työpöydälle
http://www.derbilk.de/SpSeHjfix112.zip
Käynnistä ohjelma, ja kone käynnistyy uudelleen. Mene VIKASIETOTILAAN(painele F8 käynnistyksen aikana)
Sammuta nuo prosessit tehtävienhallinnasta jos löytyvät(Ctrl+Alt+Delete)
msole32.exe
popuper.exe
intmonp.exe
Scannaa HjT:llä, laita merkki noiden eteen, sulje muut ikkunat ja klikkaa Fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {25DE4583-4C13-47A2-A6C4-CB8ADEBDA93B} - C:\WINDOWS\System32\blnb.dll
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file)
O9 - Extra button: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {563EC66E-5A1B-51D2-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/pop03.chm::/MegaInstaller.exe
O18 - Filter: text/html - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll
O18 - Filter: text/plain - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll
Etsi ja poista nuo
C:\WINDOWS\System32\===>msole32.exe<===
C:\WINDOWS\===>popuper.exe<===
C:\WINDOWS\System32\===>intmonp.exe<===
C:\WINDOWS\System32\===>blnb.dll<===
Tyhjennä temp kansiot
Nuo alemmat kaikissa käyttäjätileissä
C:\Temp
C:\Windows\Prefetch
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp
Normaali käynnistys, puhdista RegSeekerillä ja jos kaikki toimii kunnolla puhdista järjestelmän palautus.
http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleansystemrestore.shtml
Laita uusi loki.
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 3. toukokuuta 2005 @ 15:33
|
Senior Member
5 tuotearviota
|
3. toukokuuta 2005 @ 16:21 |
Linkki tähän viestiin
|
|
Edit
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 3. toukokuuta 2005 @ 18:36
|
|
Zerath
Newbie
|
3. toukokuuta 2005 @ 17:01 |
Linkki tähän viestiin
|
Toistaiseksi hyvältä vaikuttaa. Kiitos. Tältä näyttää logi nyt:
Logfile of HijackThis v1.99.1
Scan saved at 20:54:51, on 3.5.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Opera76\opera.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098441386310
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
|
|
Toymaatti
Senior Member
|
3. toukokuuta 2005 @ 17:28 |
Linkki tähän viestiin
|
|
Zerath, fixaa vielä tuo
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
Huomasin vasta nyt että siellähän on kaksi virustorjuntaa AVG ja BitDefender, sammuta toinen ja varmista että se joka jää myöskin toimii. Palomuuria ei näy, onko rautamuuri?
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
Senior Member
5 tuotearviota
|
3. toukokuuta 2005 @ 17:39 |
Linkki tähän viestiin
|
|
Entäs minä?
|
|
Zerath
Newbie
|
3. toukokuuta 2005 @ 17:42 |
Linkki tähän viestiin
|
|
Poistin. Jos meinaat rautamuurilla ns. ulkoista palomuuria niin kyllä. Tuossa hubissa kuuleman mukaan pitäisi olla. Vai reititinkö tuo on. Mutta voisihan sitä jonkun muurin tähänkin hakea, ihan varmuuden vuoksi.
|
|
Toymaatti
Senior Member
|
3. toukokuuta 2005 @ 18:08 |
Linkki tähän viestiin
|
extralow, siirrä HjT tuonne C:\HjT\HijackThis.exe
Mikähän ohjelma tuo on?
C:\PROGRA~1\Ack58NT
Hae remv3
http://forums.skads.org/index.php?act=Attach&type=post&id=114
Pura se C:lle
Käynnistä vikasietotilaan, tuplaklikkaa remv3.bat.
Anna scannata ja käynnistä sitten normaalisti.
Tällä pitäis päästä eroon tuosta rivistä
O17 - HKLM\System\CCS\Services\Tcpip\..\{696C5FC4-DDCC-4013-ACBD-1786471654B3}: NameServer = 223.223.223.223
Aja HjT merkkaa nuo, sulje selain ja muut ikkunat, klikkaa Fix
O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
Ja katso häviskö se 017 rivi, jos se löytyy vielä niin koita lähteekö HjT fixillä.
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
|
Mainos
|
|
|
Senior Member
5 tuotearviota
|
3. toukokuuta 2005 @ 18:39 |
Linkki tähän viestiin
|
Kiitos hommat hoitui. :-)
Quote:
Mikähän ohjelma tuo on?
C:\PROGRA~1\Ack58NT
Se on multimedianäppäimistön ohjelma.
Kiitos.
|
