User Käyttäjä Salasana  
   
maanantai 23.12.2024 / 15:45
Hae keskustelualueilta:        In English   Suomeksi   På svenska
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat > tehtävienhallinta-ominaisuuden palautus
Näytä aiheet
 
Keskustelualueet
Keskustelualueet
Tehtävienhallinta-ominaisuuden palautus
  Siirry:
 
Kirjoittaja Viesti
Member

4 tuotearviota
_
17. marraskuuta 2005 @ 05:00 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Koneellani kävi örkki, joka poisti tehtävienhallinnan (taskmgr.exe) käytöstä. Mitenkäs sen sais takaisin?


Senior Member

2 tuotearviota
_
17. marraskuuta 2005 @ 05:20 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
1. Eli valittaako se että tiedosto puuttuu?
Jos niin ->laita windows Cd cd-asemaan -> Suorita/Run -> SFC /Scannow

2. Laita Hijackthis logi tänne niin joku voi sen tutkia.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 05:21

Member

4 tuotearviota
_
17. marraskuuta 2005 @ 05:48 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
HJT-logissa ei ole enää mitään vakoilijoihin viittaavaa. Tehtävienhallintaa käynnistettäessä pukkaa laaatikon "Järjestelmänvalvoja on poistanut tehtävienhallinnan käytöstä".


AfterDawn Addict
_
17. marraskuuta 2005 @ 05:58 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Jos kuitenkin laittaisit sen HjT-lokin varoiksi vielä tänne?
Member

4 tuotearviota
_
17. marraskuuta 2005 @ 06:05 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Oucci-doucci:

Logfile of HijackThis v1.99.1
Scan saved at 11:01:24, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATITool\ATITool.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\Documents and Settings\IO\Työpöytä\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATITool] "C:\Program Files\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Windows Shell] C:\WINDOWS\system32\shell32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




AfterDawn Addict
_
17. marraskuuta 2005 @ 06:24 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Jep, olihan siellä vikaa :)

Siirrä ensin HjT omaan kansioonsa: C:\Documents and Settings\IO\Työpöytä\HijackThis.exe -> C:\hjt\HijackThis.exe

Fixaa tämä rivi(do a system scan only, merkkaa ja paina fix checked):

O4 - HKLM\..\Run: [Windows Shell] C:\WINDOWS\system32\shell32.exe

Laita piilotiedostot näkyviin, ohje -> http://keskustelu.afterdawn.com/thread_view.cfm/248944

Katso, löydätkö tämän -> C:\WINDOWS\system32\==>shell32.exe<==

Jos, niin poista se vikasietotilassa (F8 käynnistyksen yhteydessä).

Käynnistä uudelleen ja lähetä uusi HjT-loki.
Member

4 tuotearviota
_
17. marraskuuta 2005 @ 06:51 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
OK - ongelma ei kuitenkaan poistunut...

Logfile of HijackThis v1.99.1
Scan saved at 11:49:02, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATITool\ATITool.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATITool] "C:\Program Files\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



ratnunter
Member
_
17. marraskuuta 2005 @ 09:08 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
korjaa task manager näin:

kopioi alla oleva notepadiin, tallenna nimellä restore.reg
tallennusmuote kaikki tiedostot

sitte tuplaklikkaa restore.regiä ja paina kyllä+ok
Quote:
REGEDIT 4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-
Member

4 tuotearviota
_
17. marraskuuta 2005 @ 09:36 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Vaikutti hyvältä idealta vaan ei toiminut.


ratnunter
Member
_
17. marraskuuta 2005 @ 10:38 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
hmm koitetaanpa sitte jotain online skanneria:

vaikka
http://www.pandasoftware.com/products/activescan

tallenna sen loki kun valmis ja paa tänne
Member

4 tuotearviota
_
17. marraskuuta 2005 @ 12:11 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Ok - tässä loki. Sain muuten asiaan ainakin väliaikaisen korjauksen: Ctrl+Alt+Deletellä käynnistyy nyt Process Explorer.

Incident Status Location

Adware:Adware/IST.ISTBar No disinfected C:\Documents and Settings\IO\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-5aa0b436-36133871.zip[InstallerApplet.class]

Adware:Adware/WinAD No disinfected C:\WINDOWS\system32\shell32.exe

Adware:Adware/eZula No disinfected C:\WINDOWS\system32\sp2protect.exe

Adware:Adware/EliteBar No disinfected C:\WINDOWS\system32\username.exe

Virus:Trj/Downloader.BSP Disinfected C:\WINDOWS\system32\wudupdate.exe



Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 12:21

Member

4 tuotearviota
_
17. marraskuuta 2005 @ 12:23 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Poistin kaikki scannerin ilmoittamat tiedostot - ei vaikutusta. :-o


Zipp2
Member
_
17. marraskuuta 2005 @ 16:22 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Oon törmänny pari kertaa että örkki sammutti Task Managerin ja molemmissa tapauksissa se tuli kuntoon kun scannas ja putsas Ad-Awarella.
Voit myös kokeilla tota

http://www.kellys-korner-xp.com/regs_edits/taskmgrenable.reg

säästä työpöydälle ja sitte tuplaklikkaa sitä ja vastaa myöntävästi.
Käynnistä kone uudestaan ja kato jos toimii.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 16:27

Zipp2
Member
_
17. marraskuuta 2005 @ 16:22 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
ohos tuli tuplana otin pois.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 16:25

Member

4 tuotearviota
_
17. marraskuuta 2005 @ 16:40 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
OOHO!!! Tolla (taskmgrenable.reg) tuli kerralla kuntoon - HIENOA! Kiitoksia Zipp2. Kiitoksia myös muille asian kanssa pähkäilleille. :)


Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 16:42

ratnunter
Member
_
17. marraskuuta 2005 @ 16:48 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
aika monet virukset poistaa task managerin..

se vika voi myös olla tällasessa arvossa:

HKEY_USERS{CLSID}\Software\Microsoft\Windows\CurrentVersion\Policies\System

tai sitten ei örkkiä olla saatu vielä kokonaan pois

eli ota ewido täältä
http://www.ewido.net/en/download/

asenna päivitä ja skannaa vikasietotilassa
anna poistaa mitä löytää

sitte laita hijckthisistä startuplist loki:
avaa hjt, paina open misc tools section
eti sieltä generate startuplist log, laita rastit kohtiin empty ja minor sections ja sitte paina nappia generate startuplist log

tallenna loki ja paa sen sisältö tänne

edit: toi kelly's cornerin reg fiksi on sama mitä mä tarjosin, liekö kopsatessa tullu mukaan ylimääräisiä merkkejä, regedit on tarkka...

jos tuli esim ylimääräinen enter-lyönti sanan REGEDIT 4 eteen niin reg filu ei toiminut..

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 16:52

Member

4 tuotearviota
_
17. marraskuuta 2005 @ 18:54 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Ratkaisustahan voi päätellä, että örkki oli sotkenut ainoastaan rekisterin. Käytössä olevalla virus- ja spywarenpoistoohjelmallani sain jo aiemmin poistettua örkit. Epäilen, että tehtävienhallinnan poistanut spyware oli englanninkielisen nimen alla oleva saksankielinen dialer, joka yritti ottaa yhteyttä asennuttuaan.


Member

4 tuotearviota
_
17. marraskuuta 2005 @ 19:49 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
...koetin vielä evidoakin. Erinomainen scanneri; löysi viitisenkymmentä mahdollista vakoojaevästettä


ratnunter
Member
_
18. marraskuuta 2005 @ 04:10 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
siispä tallentaessasi tota regfileä minkä mä laiton teit pikku virheen jonka vuoksi se ei toiminut ;)
no loppu hyvin, kaikki hyvin :D
Member

4 tuotearviota
_
18. marraskuuta 2005 @ 18:25 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
noh... puuttuhan siitä tuo dword-arvo... `-)


Mainos
_
__
 
_
ratnunter
Member
_
19. marraskuuta 2005 @ 03:33 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
hmm en tiedä miten paljon oot ollut rekisterin kanssa tekemisisä muut toi dword ei meinaa mitään koska siinä filen alussa on REGEDIT 4, eli kyseessä on 2 tapaa tehä sama asia

eli ainut ero noilla fileillä on se et toinen on unicode ja toinen ANSI
vaikutus on sama!
toi mun filu käy kaikille windows versioille, toi kelly's cornerin käy vain win 2k ja uudemmat ;)

halusin vain selvittää et miks toi filu ei sulla toiminut vaikka se on toiminut aikasemmin jo ainakin parikymmentätuhatta kertaa ;)
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat > tehtävienhallinta-ominaisuuden palautus
 

Apua ongelmiin: AfterDawnin keskustelualueet | AfterDawnin Vastaukset
Uutiset: IT-alan uutiset | Uutisia puhelimista
Musiikkia: MP3Lizard.com
Tuotearviot: Laitevertailu | Vertaa puhelimia | Vertaa kännykkäliittymiä
Pelit: Pelitiedostot, pelidemot ja trailerit
Ohjelmat: download.fi | AfterDawnin ohjelma-alueet
International: AfterDawn in English | Software downloads | Free, legal MP3s | AfterDawn på svenska
RSS -syötteet: AfterDawnin uutiset | Uusimmat ohjelmapäivitykset | Keskustelualueiden viestit
Tietoja: Tietoa AfterDawn Oy:stä | Mainosta sivuillamme | Sivuston käyttöehdot ja tietoja yksityisyydensuojasta
Ota yhteyttä: Lähetä palautetta | Ota yhteyttä mainosmyyntiimme
 
  © 1999-2024 AfterDawn Oy