Tehtävienhallinta-ominaisuuden palautus
|
|
Member
4 tuotearviota
|
17. marraskuuta 2005 @ 05:00 |
Linkki tähän viestiin
|
Koneellani kävi örkki, joka poisti tehtävienhallinnan (taskmgr.exe) käytöstä. Mitenkäs sen sais takaisin?
|
Senior Member
2 tuotearviota
|
17. marraskuuta 2005 @ 05:20 |
Linkki tähän viestiin
|
1. Eli valittaako se että tiedosto puuttuu?
Jos niin ->laita windows Cd cd-asemaan -> Suorita/Run -> SFC /Scannow
2. Laita Hijackthis logi tänne niin joku voi sen tutkia.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 05:21
|
Member
4 tuotearviota
|
17. marraskuuta 2005 @ 05:48 |
Linkki tähän viestiin
|
HJT-logissa ei ole enää mitään vakoilijoihin viittaavaa. Tehtävienhallintaa käynnistettäessä pukkaa laaatikon "Järjestelmänvalvoja on poistanut tehtävienhallinnan käytöstä".
|
AfterDawn Addict
|
17. marraskuuta 2005 @ 05:58 |
Linkki tähän viestiin
|
Jos kuitenkin laittaisit sen HjT-lokin varoiksi vielä tänne?
|
Member
4 tuotearviota
|
17. marraskuuta 2005 @ 06:05 |
Linkki tähän viestiin
|
Oucci-doucci:
Logfile of HijackThis v1.99.1
Scan saved at 11:01:24, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATITool\ATITool.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\Documents and Settings\IO\Työpöytä\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATITool] "C:\Program Files\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Windows Shell] C:\WINDOWS\system32\shell32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
|
AfterDawn Addict
|
17. marraskuuta 2005 @ 06:24 |
Linkki tähän viestiin
|
Jep, olihan siellä vikaa :)
Siirrä ensin HjT omaan kansioonsa: C:\Documents and Settings\IO\Työpöytä\HijackThis.exe -> C:\hjt\HijackThis.exe
Fixaa tämä rivi(do a system scan only, merkkaa ja paina fix checked):
O4 - HKLM\..\Run: [Windows Shell] C:\WINDOWS\system32\shell32.exe
Laita piilotiedostot näkyviin, ohje -> http://keskustelu.afterdawn.com/thread_view.cfm/248944
Katso, löydätkö tämän -> C:\WINDOWS\system32\==>shell32.exe<==
Jos, niin poista se vikasietotilassa (F8 käynnistyksen yhteydessä).
Käynnistä uudelleen ja lähetä uusi HjT-loki.
|
Member
4 tuotearviota
|
17. marraskuuta 2005 @ 06:51 |
Linkki tähän viestiin
|
OK - ongelma ei kuitenkaan poistunut...
Logfile of HijackThis v1.99.1
Scan saved at 11:49:02, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATITool\ATITool.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATITool] "C:\Program Files\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
|
ratnunter
Member
|
17. marraskuuta 2005 @ 09:08 |
Linkki tähän viestiin
|
korjaa task manager näin:
kopioi alla oleva notepadiin, tallenna nimellä restore.reg
tallennusmuote kaikki tiedostot
sitte tuplaklikkaa restore.regiä ja paina kyllä+ok
Quote: REGEDIT 4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-
|
Member
4 tuotearviota
|
17. marraskuuta 2005 @ 09:36 |
Linkki tähän viestiin
|
Vaikutti hyvältä idealta vaan ei toiminut.
|
ratnunter
Member
|
17. marraskuuta 2005 @ 10:38 |
Linkki tähän viestiin
|
|
Member
4 tuotearviota
|
17. marraskuuta 2005 @ 12:11 |
Linkki tähän viestiin
|
Ok - tässä loki. Sain muuten asiaan ainakin väliaikaisen korjauksen: Ctrl+Alt+Deletellä käynnistyy nyt Process Explorer.
Incident Status Location
Adware:Adware/IST.ISTBar No disinfected C:\Documents and Settings\IO\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-5aa0b436-36133871.zip[InstallerApplet.class]
Adware:Adware/WinAD No disinfected C:\WINDOWS\system32\shell32.exe
Adware:Adware/eZula No disinfected C:\WINDOWS\system32\sp2protect.exe
Adware:Adware/EliteBar No disinfected C:\WINDOWS\system32\username.exe
Virus:Trj/Downloader.BSP Disinfected C:\WINDOWS\system32\wudupdate.exe
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 12:21
|
Member
4 tuotearviota
|
17. marraskuuta 2005 @ 12:23 |
Linkki tähän viestiin
|
Poistin kaikki scannerin ilmoittamat tiedostot - ei vaikutusta. :-o
|
Zipp2
Member
|
17. marraskuuta 2005 @ 16:22 |
Linkki tähän viestiin
|
Oon törmänny pari kertaa että örkki sammutti Task Managerin ja molemmissa tapauksissa se tuli kuntoon kun scannas ja putsas Ad-Awarella.
Voit myös kokeilla tota
http://www.kellys-korner-xp.com/regs_edits/taskmgrenable.reg
säästä työpöydälle ja sitte tuplaklikkaa sitä ja vastaa myöntävästi.
Käynnistä kone uudestaan ja kato jos toimii.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 16:27
|
Zipp2
Member
|
17. marraskuuta 2005 @ 16:22 |
Linkki tähän viestiin
|
ohos tuli tuplana otin pois.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 16:25
|
Member
4 tuotearviota
|
17. marraskuuta 2005 @ 16:40 |
Linkki tähän viestiin
|
OOHO!!! Tolla (taskmgrenable.reg) tuli kerralla kuntoon - HIENOA! Kiitoksia Zipp2. Kiitoksia myös muille asian kanssa pähkäilleille. :)
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 16:42
|
ratnunter
Member
|
17. marraskuuta 2005 @ 16:48 |
Linkki tähän viestiin
|
aika monet virukset poistaa task managerin..
se vika voi myös olla tällasessa arvossa:
HKEY_USERS{CLSID}\Software\Microsoft\Windows\CurrentVersion\Policies\System
tai sitten ei örkkiä olla saatu vielä kokonaan pois
eli ota ewido täältä
http://www.ewido.net/en/download/
asenna päivitä ja skannaa vikasietotilassa
anna poistaa mitä löytää
sitte laita hijckthisistä startuplist loki:
avaa hjt, paina open misc tools section
eti sieltä generate startuplist log, laita rastit kohtiin empty ja minor sections ja sitte paina nappia generate startuplist log
tallenna loki ja paa sen sisältö tänne
edit: toi kelly's cornerin reg fiksi on sama mitä mä tarjosin, liekö kopsatessa tullu mukaan ylimääräisiä merkkejä, regedit on tarkka...
jos tuli esim ylimääräinen enter-lyönti sanan REGEDIT 4 eteen niin reg filu ei toiminut..
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. marraskuuta 2005 @ 16:52
|
Member
4 tuotearviota
|
17. marraskuuta 2005 @ 18:54 |
Linkki tähän viestiin
|
Ratkaisustahan voi päätellä, että örkki oli sotkenut ainoastaan rekisterin. Käytössä olevalla virus- ja spywarenpoistoohjelmallani sain jo aiemmin poistettua örkit. Epäilen, että tehtävienhallinnan poistanut spyware oli englanninkielisen nimen alla oleva saksankielinen dialer, joka yritti ottaa yhteyttä asennuttuaan.
|
Member
4 tuotearviota
|
17. marraskuuta 2005 @ 19:49 |
Linkki tähän viestiin
|
...koetin vielä evidoakin. Erinomainen scanneri; löysi viitisenkymmentä mahdollista vakoojaevästettä
|
ratnunter
Member
|
18. marraskuuta 2005 @ 04:10 |
Linkki tähän viestiin
|
siispä tallentaessasi tota regfileä minkä mä laiton teit pikku virheen jonka vuoksi se ei toiminut ;)
no loppu hyvin, kaikki hyvin :D
|
Member
4 tuotearviota
|
18. marraskuuta 2005 @ 18:25 |
Linkki tähän viestiin
|
noh... puuttuhan siitä tuo dword-arvo... `-)
|
Mainos
|
|
|
ratnunter
Member
|
19. marraskuuta 2005 @ 03:33 |
Linkki tähän viestiin
|
hmm en tiedä miten paljon oot ollut rekisterin kanssa tekemisisä muut toi dword ei meinaa mitään koska siinä filen alussa on REGEDIT 4, eli kyseessä on 2 tapaa tehä sama asia
eli ainut ero noilla fileillä on se et toinen on unicode ja toinen ANSI
vaikutus on sama!
toi mun filu käy kaikille windows versioille, toi kelly's cornerin käy vain win 2k ja uudemmat ;)
halusin vain selvittää et miks toi filu ei sulla toiminut vaikka se on toiminut aikasemmin jo ainakin parikymmentätuhatta kertaa ;)
|