|
Löytyykö epämiellyttäviä vieraita...
|
|
|
mihku
Member
|
25. joulukuuta 2005 @ 13:20 |
Linkki tähän viestiin
|
F-secure teki neidin koneella tempun terävän ja oli ollut hetken jostain syystä pois päältä, ja tietäähän sen mitä siitä seuraa. Muutama pöpö löytyi ja on poistettu, mutta tässä varmuuden vuoksi HjT-logi, jos on sattunut jäämään jotain huomaamatta?
Logfile of HijackThis v1.99.1
Scan saved at 18:12:12, on 25.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Internet Security\FSPC\fspc.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\Program Files\BUFFALO\HDManage\HDManage.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijack this\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FI_FI...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FI_FI...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FI_FI...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dnainternet.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FI_FI...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FI_FI...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FI_FI...
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dnainternet.fi/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://paivitys.dnainternet.fi/yhteys/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: HP-näkymä - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe"
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\HP\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: BUFFALO Power Save Utility for HD.lnk = C:\Program Files\BUFFALO\HDManage\HDManage.exe
O4 - Global Startup: F-Secure 2006.lnk = C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O8 - Extra context menu item: &Estä tämä kohoikkuna - C:\Program Files\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Download with NetPumper - C:\Documents and Settings\HP_Omistaja\Omat tiedostot\pumpper\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Keskeytä Web-sivujen suodatus - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Kiellä tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Salli tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: IE-suojaus - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-suojaus... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: iPod-palvelu (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
|
Senior Member
1 tuotearvio
|
25. joulukuuta 2005 @ 13:33 |
Linkki tähän viestiin
|
Fixaa seuraava, eli do a system scan only, laita rasti seuraavaan ja fix checked:
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
Hae LSPFix tuolta (joko se zippi tai sitten exe).
http://cexx.org/lspfix.htm
Tallenna se vaikka työpöydälle tai johonkin hakemistoon.
Avaa LSPFix
Laita rasti ruutuun, "I know what I’m doing".
Klikkaa vasemmassa ruudussa olevaa winsflt.dll , siirrä se oikealla olevaan ruutuun nuolinäppäimellä, klikkaa "Remove" ja sulje LSPFix.
Jos haluat vielä varmistaa onko koneesi puhdas, niin lataa eScan -> http://koti.mbnet.fi/pattaya1/escanmwav.htm päivitä, skannaa ja lähetä sen logi tänne.
|
|
mihku
Member
|
25. joulukuuta 2005 @ 13:48 |
Linkki tähän viestiin
|
|
Kiitos Disa- neuvoista, tehty tähän saakka. Ajan kyllä varmuuden vuoksi vielä eScaninkin ja laitan tulokset tänne kunhan homma hoidettu loppuun.
|
Senior Member
|
25. joulukuuta 2005 @ 15:11 |
Linkki tähän viestiin
|
|
Poistappa vielä tämmöinen hakemistosta eli se ollaan jo fixattu:
C:\WINDOWS\-->ALCXMNTR.EXE<--
Jos ei lähde niin sitten vikasietotilassa (F8 näpyttelemällä koneen käynnistyksessä vikasietotilaan)
|
|
mihku
Member
|
25. joulukuuta 2005 @ 15:50 |
Linkki tähän viestiin
|
|
No niin, aloitetaanpa eScanin tuloksista:
File C:\Documents and Settings\HP_Omistaja\Local Settings\Temporary Internet Files\Content.IE5\496NOD2Z\RDGFI283[1].0XE infected by "Trojan-Downloader.Win32.Small.ayl" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\HP_Omistaja\Local Settings\Temporary Internet Files\Content.IE5\IQDTPG25\ABOXINST_INT12[1].0XE infected by "Trojan-Downloader.Win32.VB.ft" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\HP_Omistaja\Local Settings\Temporary Internet Files\Content.IE5\YV8DM40P\SEND_CAR_INT[1].0TM infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\HP_Omistaja\Omat tiedostot\pumpper\NetPumper\ZM\minime.0xe tagged as not-a-virus:AdWare.Win32.Lop.ai. No Action Taken.
File C:\Documents and Settings\HP_Omistaja\Omat tiedostot\pumpper\netpumper-1.24-setup.exe tagged as not-a-virus:AdWare.Win32.Lop.ai. No Action Taken.
File C:\Program Files\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
@aaxxeell: Löysin C/Windows/system32:sta kansion jossa tämä ALCXMNTR.EXE on. Voinko poistaa koko kansion sisältöineen päivineen? (sisältää .inf,.cat,.CPL,.PNF ja .SYS -päätteisiä tiedostoja .EXE:n lisäksi)
|
Senior Member
|
25. joulukuuta 2005 @ 16:20 |
Linkki tähän viestiin
|
Tyhjennä tempit:
File C:\Documents and Settings\HP_Omistaja\Local Settings\Temporary Internet Files\Content.IE5
Jos et löytänyt ALCXMNTR.EXE neuvomastani polusta sitä niin jätä, se on fixattu jo hjt:n avulla hyväksi.
Lisäksi voit vielä kokeilla ewidoa jos haluat varmistua puhtaudesta:
-> http://keskustelu.afterdawn.com/thread_view.cfm/269186
eScan ja ewido on todella hyvä yhdistelmä mielestäni ja toiminut monella =) Oletkos muuten pitkään aikaan puhdistanut nuo temp kansiot turhilta tiedostoilta?
|
|
mihku
Member
|
25. joulukuuta 2005 @ 16:47 |
Linkki tähän viestiin
|
Eli eScanin löydökset olivat "ok"?
Quote:
eScan ja ewido on todella hyvä yhdistelmä mielestäni ja toiminut monella =) Oletkos muuten pitkään aikaan puhdistanut nuo temp kansiot turhilta tiedostoilta?
No ee-en, kun yritän vasta perehtyä tähän pahuksen tietotekniikkaan noin niin kuin muutenkin kuin vain Wordin käyttöön... eipä ole tullut mieleen että sitäkin pitäisi välillä siivota. =) Nyt on tyhjennetty, mutta kysynpä samalla: Cookies-kansiossa on melkolailla tavaraa, kannattaako ne kuitenkin antaa olla rauhassa? (Ehkä tyhmä kysymys, mutta vetoan että "tittelistä" huolimatta olen täysverinen newbie...) :)
Kiitos Disa- ja aaxxeell avusta!
|
Senior Member
|
25. joulukuuta 2005 @ 17:00 |
Linkki tähän viestiin
|
Kyllä eScanin löydökset ovat ok, ei viiruksia mutta troija joka puhdistettiin.
Helpommalla pääset kun käytät ohjelmia kun poistelet cookiet, tempit sun muut...
tuosta neuvoinkin jo -> http://keskustelu.afterdawn.com/thread_view.cfm/275814
Jos et halua latailla puhdistukseen ohjelmia niin voit toki tehdä käsin =)
|
|
mihku
Member
|
25. joulukuuta 2005 @ 17:07 |
Linkki tähän viestiin
|
|
Asia selvä. Ja mitä sitä käsin poistelemaan jos kerran löytyy hyvä ohjelma siihen hommaan, eikun alan opettelemaan CCleanerin käyttöä. Tack, aaxxeell, kärsivällisyydestä.
|
Senior Member
|
25. joulukuuta 2005 @ 17:42 |
Linkki tähän viestiin
|
|
Jep, Ole hyvä vaan. Jos tulee lisää kysyttävää niin voit aina täällä kysellä.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 25. joulukuuta 2005 @ 17:42
|
|
Edille
Suspended due to non-functional email address
|
8. tammikuuta 2006 @ 11:08 |
Linkki tähän viestiin
|
|
hei onko suomenkielistä rekisterin puhdistus ohjelmaa kun ei oikkeeen oo toi englannin kieli hallussa :(
jos joku tietää niin kertokaa
|
AfterDawn Addict
|
8. tammikuuta 2006 @ 11:10 |
Linkki tähän viestiin
|
|
|
Senior Member
|
8. tammikuuta 2006 @ 11:23 |
Linkki tähän viestiin
|
|
|
|
Edille
Suspended due to non-functional email address
|
8. tammikuuta 2006 @ 11:26 |
Linkki tähän viestiin
|
|
kiitos
mut miten laitan suommen kielelle
|
|
spertti
Senior Member
|
8. tammikuuta 2006 @ 11:28 |
Linkki tähän viestiin
|
|
|
|
Edille
Suspended due to non-functional email address
|
8. tammikuuta 2006 @ 11:37 |
Linkki tähän viestiin
|
|
niin mutta kun kieli on englannilla miten saan sen suomelle
|
|
spertti
Senior Member
|
8. tammikuuta 2006 @ 11:39 |
Linkki tähän viestiin
|
|
RegCleaner: Options > Language > Select language > Finnish.rlg > ok
|
|
Edille
Suspended due to non-functional email address
|
8. tammikuuta 2006 @ 11:48 |
Linkki tähän viestiin
|
|
ok jo löyty
mutta mitä kansioita ovat hkey_classes_root jos joku sattuu tietämään
|
AfterDawn Addict
|
8. tammikuuta 2006 @ 11:50 |
Linkki tähän viestiin
|
|
Ei se ole mikään kansio, se on osa koneen rekisteriä.
|
|
Edille
Suspended due to non-functional email address
|
8. tammikuuta 2006 @ 11:52 |
Linkki tähän viestiin
|
|
okay mutta eikö siellä ole turhia osia
|
Senior Member
|
8. tammikuuta 2006 @ 11:55 |
Linkki tähän viestiin
|
|
Regseeker suomeksi:
Vasemmalla ylhäällä valitse languages ja sieltä Finnish
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 8. tammikuuta 2006 @ 11:56
|
Senior Member
|
8. tammikuuta 2006 @ 12:03 |
Linkki tähän viestiin
|
|
Regseekerillä tehty -> puhdista rekisteri <-löydökset voi kaikki poistaa.
|
|
Mainos
|
|
|
|
Edille
Suspended due to non-functional email address
|
9. tammikuuta 2006 @ 17:17 |
Linkki tähän viestiin
|
|
kiiz
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 9. tammikuuta 2006 @ 17:17
|
