AfterDawn.com Mainosta sivuillamme
User Käyttäjä Salasana  
  Puuttuuko tunnus? Liity jäseneksi nyt!.
Salasana hukassa? Klikkaa tästä. 		 
  Etusivu   Uutiset   Oppaat   Ohjelmat   Sanasto   Laitevertailu   Profiilit   Keskustelu  
 Yksityisviestit     Luo uusi yksityisviesti     Kaikki uudet viestit     Ilman vastauksia olevat viestiketjut     Hae viestejä
lauantai 8.11.2025 / 14:40
Hae keskustelualueilta:        In English   Suomeksi   På svenska
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat > pop up ikkunat pomppii silmille ja kone varottelee viruksesta...hjt loki
Näytä aiheet
 
Keskustelualueet
Keskustelualueet
Pop up ikkunat pomppii silmille ja kone varottelee viruksesta...Hjt loki
  Siirry:
 
Kirjoittaja Viesti
Sivu:<12
-kemisti-
AfterDawn Addict
_ 		11. maaliskuuta 2006 @ 15:18 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Winlogon.exe on windowsin oma tiedosto, voi päästää nettiin.
[ + lainaa]
sg552
Suspended due to non-functional email address
_ 		11. maaliskuuta 2006 @ 15:21 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
mut mistäs kaikki ylimääräset ohjelmat ilmesty työpöydälle? ja miten joku käytti konetta netin kautta...mun mielestä sen winlogon kautta...

siis kun mää hyväksyin lopullisesti sen winlogon.exe:n niin sen jälkeen alko tuleen viruksia ja niitä ohjelmia
[ + lainaa]
blade81
Senior Member
_ 		11. maaliskuuta 2006 @ 15:30 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Näkyykö winlogonin pyrkiessä nettiin sen sijaintia? Sais siitä pääteltyy voiko päästää..
[ + lainaa]
ASAP & UNITE member since 2006



sg552
Suspended due to non-functional email address
_ 		12. maaliskuuta 2006 @ 04:27 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
File Version : 5.1.2600.1557
File Description : Windows NT -kirjaus (winlogon.exe)
File Path : C:\WINDOWS\system32\winlogon.exe
Process ID : 0x2F0 (Heximal) 752 (Decimal)

Connection origin : local initiated
Protocol : TCP
Local Address : 81.197.10.56
Local Port : 1792
Remote Name : kitehosting.com
Remote Address : 85.255.113.234
Remote Port : 80 (HTTP - World Wide Web)
[ + lainaa]
viljami22
Newbie
_ 		12. maaliskuuta 2006 @ 05:32 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Mun mielestä sitä winlogon.exe ei saa päästää nettiin. Kun mullakaan ei koskaan ole halunnu ko exe mennä nettiin, mutta nyt kun tuli spyfalcon alko se halaan nettiin. Enkä kyllä päästäny. Mietin tossa sellasta että jos toi mato on ottanu ja tehny sulle uuden käyttäjän, ja piilottanu sen, ja kun winlogon.exe päästetään nettiin, niin sitä kauttahan on mahdollista vaikka piilomapata sun c:/>

Eli jos tuo winlogon exe viellä hakkaa ulos, niin koneella täytyy olla viellä jotain joka käskettää ko exe:ä nettiin...

Iteltä kun sain läppäriltä örkit pois, heitti ko filu haluamasta nettiin... Joten minä en kyllä tuota filua nettiin päästäis.
[ + lainaa]
-kemisti-
AfterDawn Addict
_ 		12. maaliskuuta 2006 @ 06:25 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Hmmm tuo mihin se pyrkii viittaa wareouttiin.

Tee varoiksi näin:

Hae fixwareout -> http://downloads.subratam.org/Fixwareout.exe
Tallenna johonkin hakemistoon ja käynnistä se. Seuraa ohjeita, käynnistä kone uudestaan kun fixi pyytää sitä. Fixi avaa HjT:n. Sulje se.
Lähetä uusi HjT-loki ja C:\fixwareout\report.txt-tiedoston sisältö tänne.
[ + lainaa]
sg552
Suspended due to non-functional email address
_ 		12. maaliskuuta 2006 @ 06:58 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
laitoin ton fixin päälle ja käynnistin koneen uudelleen...sitten kun pääsin työpöydälle niin huomasin että roskakoriin oli ilmestyny jotain...sielä oli fixin report.txt ?


Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
...
[ + lainaa]
sg552
Suspended due to non-functional email address
_ 		12. maaliskuuta 2006 @ 07:00 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
tässä on vielä uusi hjt loki

Logfile of HijackThis v1.99.1
Scan saved at 11:58:49, on 12.3.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\DigitalPersona\Bin\DPWinLct.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\DigitalPersona\Bin\DpHost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Plus!\MsgPlus.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\PeerGuardian2\pg2.exe
D:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Plus!\MsgPlus.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [AWMON] "D:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\System32\DPWLEvHd.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
[ + lainaa]
-kemisti-
AfterDawn Addict
_ 		12. maaliskuuta 2006 @ 07:15 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Nuo on ok. Sen takia vaan varmistin, kun winlogon.exe pyrkii ip:hen, mistä tulee wareouttia.
[ + lainaa]
sg552
Suspended due to non-functional email address
_ 		12. maaliskuuta 2006 @ 07:23 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
mitä on wareout?
[ + lainaa]
-kemisti-
AfterDawn Addict
_ 		12. maaliskuuta 2006 @ 07:28 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Tuossa siitä lisää -> http://www.spywareguide.com/product_show.php?id=1818

Se on rootkit, joka siis piilottaa osan tiedostoistaan ja toimii lisäksi örkki-imurina.
[ + lainaa]
sg552
Suspended due to non-functional email address
_ 		12. maaliskuuta 2006 @ 07:33 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
onnistuko muutes se fixi? onko enään mitään koneella?
[ + lainaa]
-kemisti-
AfterDawn Addict
_ 		12. maaliskuuta 2006 @ 07:39 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Tuon mukaan sitä wareouttia ei ollut koneellasi :) Molemmat lokit on ok.
Tuolla kitehosting.comissa on vaan örkkejä, jota joku toinen örkki voi yrittää ladata.
[ + lainaa]
sg552
Suspended due to non-functional email address
_ 		12. maaliskuuta 2006 @ 07:42 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
hyvä juttu...pitäs ladata escan, mutta en vaan saa sitä mbnetin sivulta...lataa vaan sitä sivua ja mitään ei tapahdu?
[ + lainaa]
-kemisti-
AfterDawn Addict
_ 		12. maaliskuuta 2006 @ 07:44 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Tässä suora linkki, ainakin mulla toimii ->
http://www.spywareinfo.dk/download/mwav.exe
[ + lainaa]
Mainos
_ 		__
 
_
sg552
Suspended due to non-functional email address
_ 		12. maaliskuuta 2006 @ 07:52 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
skannaan viel kaikilla ohjelmilla tän koneen, jos tulee viel jotain niin
tuun sitten kertoon asiasta

Kiitos kaikille! :)
[ + lainaa]
 
Sivu:<12
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat > pop up ikkunat pomppii silmille ja kone varottelee viruksesta...hjt loki
 

Apua ongelmiin: AfterDawnin keskustelualueet | AfterDawnin Vastaukset
Uutiset: IT-alan uutiset | Uutisia puhelimista
Musiikkia: MP3Lizard.com
Tuotearviot: Laitevertailu | Vertaa puhelimia | Vertaa kännykkäliittymiä
Pelit: Pelitiedostot, pelidemot ja trailerit
Ohjelmat: download.fi | AfterDawnin ohjelma-alueet
International: AfterDawn in English | Software downloads | Free, legal MP3s | AfterDawn på svenska
RSS -syötteet: AfterDawnin uutiset | Uusimmat ohjelmapäivitykset | Keskustelualueiden viestit
Tietoja: Tietoa AfterDawn Oy:stä | Mainosta sivuillamme | Sivuston käyttöehdot ja tietoja yksityisyydensuojasta
Ota yhteyttä: Lähetä palautetta | Ota yhteyttä mainosmyyntiimme
 
  © 1999-2025 AfterDawn Oy