Troijalainen edelleen koneessa?
|
|
Sulake
Newbie
|
6. tammikuuta 2006 @ 18:37 |
Linkki tähän viestiin
|
Terve,
olen yrittänyt poistaa koneeltani löytyneitä viruksia/troijalaisia Avastilla sekä Ad-Awarella, mutta poistamisesta ei näytä olevan apua, sillä uusia löytyy jatkuvasti. Ilmeisesti HJT-login korjaaminen saattaisi auttaa, mutta koska itse olen kädetön koneen kanssa, voisiko joku asiantuntija antaa vinkkiä, onko ja mitä korjattavaa:
Logfile of HijackThis v1.99.1
Scan saved at 23:23:24, on 6.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\atlyh.exe
C:\WINDOWS\msaq.exe
C:\Program Files\Imuroidut ohjelmat\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {67878067-8C35-4F5D-4D85-1A13C5E41DE1} - C:\WINDOWS\system32\ipjp32.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Class - {A967AA18-10D5-977A-8493-7B3F21F3DE9E} - C:\WINDOWS\iebw32.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [iptj32.exe] C:\WINDOWS\system32\iptj32.exe
O4 - HKLM\..\Run: [158.tmp] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
O4 - HKLM\..\Run: [158.tmp.exe] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [crba.exe] C:\WINDOWS\crba.exe
O4 - HKLM\..\Run: [winiz.exe] C:\WINDOWS\system32\winiz.exe
O4 - HKLM\..\Run: [msaq.exe] C:\WINDOWS\msaq.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\atlyh.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Program Files\Sygate\SPF\Smc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
|
spertti
Senior Member
|
6. tammikuuta 2006 @ 23:21 |
Linkki tähän viestiin
|
Nyt on kyllä koneessa örkkejä.....
Fixaa nämä HjT:lla ( Do a system scan only ) Sulje selain ennenkuin painat fix checked.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
O2 - BHO: Class - {67878067-8C35-4F5D-4D85-1A13C5E41DE1} - C:\WINDOWS\system32\ipjp32.dll
O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [iptj32.exe] C:\WINDOWS\system32\iptj32.exe
O4 - HKLM\..\Run: [158.tmp] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
O4 - HKLM\..\Run: [158.tmp.exe] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
O4 - HKLM\..\Run: [crba.exe] C:\WINDOWS\crba.exe
O4 - HKLM\..\Run: [winiz.exe] C:\WINDOWS\system32\winiz.exe
O4 - HKLM\..\Run: [msaq.exe] C:\WINDOWS\msaq.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\atlyh.exe
Laita piilotiedostot näkyviin, ohje ->
http://keskustelu.afterdawn.com/thread_view.cfm/248944
Hae Ewido > http://keskustelu.afterdawn.com/thread_view.cfm/269186 asenna ja päivitä, mutta älä aja vielä
Hae eScan > http://koti.mbnet.fi/pattaya1/escanmwav.htm asenna ja päivitä, mutta älä aja sitäkään vielä.
Hae smitrem täältä -> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Tallenna työpöydälle ja tuplaklikkaa sitä, jolloin se luo smitRem-kansion työpöydälle.
Käynnistä vikasietotilaan (paina F8 käynnistyksen yhteydessä, kunnes tulee valikko. Valitse valikosta vikasietotila)
Avaa smitRem-kansio ja tuplaklikkaa RunThis.bat. Seuraa ohjeita. Käynnistä kone uudestaan,
Käynnistä uudelleen vikasietotilaan.
Scannaa Ewidolla ja eScanilla vikasietotilassa
Poista nämä vielä jos löytyy:
C:\WINDOWS\================>dbbtn.dll<==========
C:\WINDOWS\system32\=======>ipjp32.dll<=========
C:\WINDOWS\================>services.exe<=======
C:\WINDOWS\system32\=======>iptj32.exe<=========
C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\<=========Tyhjennä tuo Temp kansio, älä siis poista koko kansiota
C:\WINDOWS\================>crba.exe<===========
C:\WINDOWS\system32\=======>winiz.exe<==========
C:\WINDOWS\================>msaq.exe<===========
C:\========================>winstall.exe<=======
C:\WINDOWS\system32\=======>atlyh.exe<==========
Käynnistä kone uudestaan, lähetä uusi HjT-loki ja c:\smitfiles.txt-tiedoston sisältö sekä Ewidon ja eScanin örkkitulokset.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 7. tammikuuta 2006 @ 00:21
|
AfterDawn Addict
|
7. tammikuuta 2006 @ 07:17 |
Linkki tähän viestiin
|
@spertti: Sori, mutta toi on cws/hs eikä smitfraud :) Mä hoidan tän.
Siellä on kyllä yks smithfraudin filu, mutta se lähtee muutenkin
@Sulake:
Laita piilotiedostot näkyviin -> http://keskustelu.afterdawn.com/thread_view.cfm/248944
Hae CWShredder täältä -> http://www.intermute.com/spysubtract/cwshredder_download.html
Päivitä, mutta älä käytä sitä vielä
Hae aboutbuster -> http://koti.mbnet.fi/pattaya1/aboutbuster.htm , päivitä se, mutta älä käytä sitäkään vielä.
Hae Registrar Lite -> http://www.resplendence.com/reglite/ ja asenna se hakemistoon C:\Program Files\RegLite\ .
Lataa ja asenna Ewido -> http://www.ewido.net/en/download/
Päivitä se, mutta älä käytä vielä.
Käynnistä vikasietotilaan (F8 käynnistyksen yhteydessä)
Sammuta prosessit tiedostojenhallinnasta:
atlyh.exe
msaq.exe
Poista seuraavat tiedostot, jos löytyy:
C:\WINDOWS\dbbtn.dll
C:\WINDOWS\services.exe
C:\WINDOWS\system32\iptj32.exe
C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
C:\WINDOWS\crba.exe
C:\WINDOWS\system32\winiz.exe
C:\WINDOWS\msaq.exe
C:\winstall.exe
C:\WINDOWS\system32\atlyh.exe
Sitten sulje kaikki ohjelmat ja käynnistä hijackthis. Merkkaa nämä ja klikkaa fix checked:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
O2 - BHO: Class - {67878067-8C35-4F5D-4D85-1A13C5E41DE1} - C:\WINDOWS\system32\ipjp32.dll
O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [iptj32.exe] C:\WINDOWS\system32\iptj32.exe
O4 - HKLM\..\Run: [158.tmp] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
O4 - HKLM\..\Run: [158.tmp.exe] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
O4 - HKLM\..\Run: [crba.exe] C:\WINDOWS\crba.exe
O4 - HKLM\..\Run: [winiz.exe] C:\WINDOWS\system32\winiz.exe
O4 - HKLM\..\Run: [msaq.exe] C:\WINDOWS\msaq.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\atlyh.exe
Sitten sammuta tuo cws/hs:n service: Käynnistä -> suorita -> services.msc -> ok. Etsi listalta Remote Procedure Call (RPC) Helper, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi "ei käytössä".
SULJE KAIKKI IKKUNAT paitsi CWShredder
Aja ohjelma painamalla fix ja anna korjata kaikki mitä löytää.
Skannaa aboutbusterilla kaks kertaa ja säästä loki.
Skannaa ewidolla ja anna poistaa, mitä löytyy. Tallenna loki ja postita se tänne.
Käynnistä kone normaalisti
Postita hijackthisin, aboutbusterin ja ewidon lokit.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 7. tammikuuta 2006 @ 09:39
|
Sulake
Newbie
|
9. tammikuuta 2006 @ 17:24 |
Linkki tähän viestiin
|
Kiitokset neuvoista. Fixasin neuvomanne rivit logista ja nyt HJT-logi näyttää tältä:
Logfile of HijackThis v1.99.1
Scan saved at 22:17:59, on 9.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Imuroidut ohjelmat\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Program Files\Sygate\SPF\Smc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Valitettavasti en saanut ewidon logia, koska jostain syystä ajo keskeytyy aina muistia tutkittaessa. Kone on edelleen todella hidas ja ilmeisesti jotakin (muutakin kuin koneen vanhanaikaisuus) on edelleen pielessä.
|
ratnunter
Member
|
10. tammikuuta 2006 @ 04:16 |
Linkki tähän viestiin
|
kerroppa minkä kansion kohdalla ewido kaatuu ?
|
Sulake
Newbie
|
10. tammikuuta 2006 @ 16:38 |
Linkki tähän viestiin
|
ewido pysähtyy aina 18,1% kohdalla, jolloin scannataan muistia. Tiedosto on [524] VM_7FFE0000. Pian pysähtymisen jälkeen prosessorin käyttö on 100% eikä lakkaa ennen koneen sammuttamista. Olisiko vinkkejä?
|
ratnunter
Member
|
10. tammikuuta 2006 @ 17:00 |
Linkki tähän viestiin
|
hmm tapahtuuko toi normaalitilassa?
jos tapahtuu niin buuttaa vikasietoon ja koita uudestaan
avasti skannaa myös muistia, ja kaks skanneria yhtä aikaa voi olla liikaa
toisaalta kyse voi olla örkistäkin, mut koita ensin tota vikasietoa
|
Sulake
Newbie
|
15. tammikuuta 2006 @ 15:35 |
Linkki tähän viestiin
|
Kone on edelleen erittäin hidas, mutta missäköhän on vika?
ewidon skannaus keskeytyy muistia tutkittaessa sekä normaali- että vikasietotilassa. Muut paitsi muistin skannauksen tulos on tässä:
+ Created on: 15:58:14, 15.1.2006
+ Report-Checksum: A8FF02F8
+ Scan result:
HKLM\SOFTWARE\Classes\CLSID\{676575DD-4D46-911D-8037-9B10D6EE8BB5} -> Spyware.CoolWebSearch : Cleaned with backup
HKLM\SOFTWARE\Classes\CLSID\{763FC5CF-92D8-A8BE-597E-1C53C8D18D56} -> Spyware.CoolWebSearch : Cleaned with backup
:mozilla.29:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
:mozilla.32:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
:mozilla.33:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
:mozilla.39:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Adtech : Cleaned with backup
:mozilla.40:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Adtech : Cleaned with backup
:mozilla.51:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Atdmt : Cleaned with backup
C:\Program Files\SpySheriff -> Spyware.SpySheriff : Cleaned with backup
C:\Program Files\SpySheriff\SpySheriff.exe -> Spyware.SpySheriff : Cleaned with backup
C:\Program Files\SpySheriff\Uninstall.exe -> Spyware.SpySheriff : Cleaned with backup
::Report End
Tässä on vielä viimeiset HJT-tiedot. Onkohan siinä jotain ongelmaa:
Logfile of HijackThis v1.99.1
Scan saved at 20:33:00, on 15.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Imuroidut ohjelmat\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Kiitoksia taas neuvoista!
|
AfterDawn Addict
|
15. tammikuuta 2006 @ 15:49 |
Linkki tähän viestiin
|
Fixaa:
R3 - Default URLSearchHook is missing
Hae eScan -> http://koti.mbnet.fi/pattaya1/escanmwav.htm .
Asenna, päivitä, skannaa sivulla olevien ohjeiden mukaan. Lähetä sitten "örkkitulokset" tänne (ohje tuolla sivulla, alin kuva ja sen yläpuolella oleva teksti).
|
Sulake
Newbie
|
15. tammikuuta 2006 @ 18:03 |
Linkki tähän viestiin
|
Fixasin rivin R3 - Default URLSearchHook is missing.
eScan ei löytänyt viruksia.
|
AfterDawn Addict
|
16. tammikuuta 2006 @ 04:06 |
Linkki tähän viestiin
|
Nuo voit vielä fixata, jos haluat:
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
|
Sulake
Newbie
|
16. tammikuuta 2006 @ 18:10 |
Linkki tähän viestiin
|
Kone toimii nyt normaalisti. Suuret kiitokset kaikille avustanne!
|
spertti
Senior Member
|
16. tammikuuta 2006 @ 19:04 |
Linkki tähän viestiin
|
Poista tuo kansio vielä
Saattaa vaatia poiston vikasietotilassa, jos ei muuten lähde.
C:\Program Files\=======>SpySheriff<==========
|
oksidi
Account closed as per user's own request
|
16. helmikuuta 2006 @ 16:26 |
Linkki tähän viestiin
|
on siinä kyllä ilmeesesti tyypillä ollu mönkiäistä no hyvä kun sai hommat reilaan
oksidi
|
Mainos
|
|
|
mawdrgn
Member
|
16. helmikuuta 2006 @ 19:11 |
Linkki tähän viestiin
|
Tuon eWidon kanssa sen verran, että minulla se kerran kesti kuusi tuntia(!) skannata. Se roikkui jossain 2.0 % kohdalla todella pitkään, ja eteni harppauksittain. Taisi jäädä 32% todella pitkäksi aikaa =)
Mutta kyllä se skannin loppuun asti veti, kun antoi rouskuttaa.
|