|
hjt lokin jos joku vois katella läpi, kitos :)
|
|
|
kiNos
Junior Member
|
6. maaliskuuta 2006 @ 07:07 |
Linkki tähän viestiin
|
Logfile of HijackThis v1.99.1
Scan saved at 12:05:45, on 6.3.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
H:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
H:\Program Files\Washer\washer.exe
H:\PROGRA~1\Webroot\POP-UP~1\PopUpWasher.exe
H:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
H:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
H:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
H:\Program Files\Norton AntiVirus\navapsvc.exe
H:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
H:\Program Files\Mozilla\firefox.exe
C:\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - H:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MessengerPlus3] "H:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Washer] H:\Program Files\Washer\washer.exe /0
O4 - HKCU\..\Run: [PopUpWasher] H:\PROGRA~1\Webroot\POP-UP~1\PopUpWasher.exe
O4 - HKCU\..\RunServicesOnce: [washindex] H:\Program Files\Washer\washidx.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = H:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - H:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - H:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: *.winfixer.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\j86mlij118o.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dcom_14.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - H:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - H:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect -palvelu (navapsvc) - Symantec Corporation - H:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - H:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - H:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - H:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
|
AfterDawn Addict
|
6. maaliskuuta 2006 @ 07:12 |
Linkki tähän viestiin
|
Fixaa nämä (do a system scan only, merkkaa ja paina fix checked):
O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: *.winfixer.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\j86mlij118o.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dcom_14.dll
Poista -> C:\WINDOWS\system32\dcom_14.dll
Lataa Look2Me-Destroyer työpöydällesi -> http://www.atribune.org/ccount/click.php?id=7
[*]Sulje kaikki ikkunat ennen jatkamista.
[*]Tuplaklikkaa Look2Me-Destroyer.exe ajaaksesi ohjelman.
[*]Rastita Run this program as a task.
[*]Saat viestin joka sanoo; "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Klikkaa OK
[*]Kun Look2Me-Destroyer uudelleen avautuu, klikkaa Scan for L2M-valintaa, työpöytäsi pikakuvakkeet katoavat hetkeksi, tämä on normaalia.
[*]Kun skannaus on valmis, klikkaa Remove L2M-valintaa.
[*]Saat Done Scanning viestin, klikkaa OK.
[*]Kun valmis, saat tämän viestin: Done removing infected files! Look2Me-Destroyer will now shutdown your computer, klikkaa OK.
[*]Tietokoneesi sammuttaa itsensä.
[*]Käynnistä koneesi uudelleen.
[*]Postita C:\Look2Me-Destroyer.txt-tiedoston sisältö uuden HijackThis login kera postiisi.
[/list]Jos palomuurisi varoittaa nettiyhteyksistä tähän ohjelmaan - salli ne.
Jos saat runtime error '339', lataa MSWINSCK.OCX seuraavasta linkistä ja sijoita se C:\Windows\System32 kansioosi.
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX
Koeta uudelleen.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 6. maaliskuuta 2006 @ 07:13
|
|
kiNos
Junior Member
|
6. maaliskuuta 2006 @ 09:50 |
Linkki tähän viestiin
|
|
Joo tosiaankin kone ei ton look2me jutun jälkeen käynnistynyt enää windowsiin vaikka kuinka koitin :D. Nakkasin winukka cd:n sisälle ja asensin koko jaskan uudestaan. nyt toimii! \o/ ei hele...
|
AfterDawn Addict
|
6. maaliskuuta 2006 @ 09:55 |
Linkki tähän viestiin
|
|
Juu, niinkin voi käydä. Olis kannattanu ehkä sulkea virustorjunta&palomuuri ja tehdä tuo vikasietotilassa :) Tiedän yhden aiemmankin tapauksen nääs. Laita kuitenkin uusi HjT-loki.
|
|
kiNos
Junior Member
|
6. maaliskuuta 2006 @ 10:12 |
Linkki tähän viestiin
|
|
Logfile of HijackThis v1.99.1
Scan saved at 15:11:40, on 6.3.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winsis32.exe
C:\WINDOWS\System32\winsystems.exe
C:\WINDOWS\System32\sysctl.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\win32ssr.exe
E:\Program Files\Mozilla\firefox.exe
E:\Valve\Steam\Steam.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] winsis32.exe
O4 - HKLM\..\Run: [winsystems25] winsystems.exe
O4 - HKLM\..\Run: [sysctl32] sysctl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] winsis32.exe
O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe
O4 - HKLM\..\RunServices: [sysctl32] sysctl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] winsis32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe
|
AfterDawn Addict
|
6. maaliskuuta 2006 @ 10:15 |
Linkki tähän viestiin
|
|
No nyt siellä ei ole juuri muuta kuin örkkejä :) Et asentanut Nortonia samalla kun winukka meni uusiks?
Eli ensin asennat virustorjunnan/palomuurin ja sitten lähetät uuden lokin, muuten tämä on ihan turhaa touhua, valitettavasti.
|
|
Eikka1973
Newbie
|
6. maaliskuuta 2006 @ 20:24 |
Linkki tähän viestiin
|
Itselleni kävi samoin ja image sitten vaan palautukseen.
Quote:
Lataa Look2Me-Destroyer työpöydällesi ->
Jos palomuurisi varoittaa nettiyhteyksistä tähän ohjelmaan - salli ne.
Juu, niinkin voi käydä. Olis kannattanu ehkä sulkea virustorjunta&palomuuri ja tehdä tuo vikasietotilassa :) Tiedän yhden aiemmankin tapauksen nääs.
Miten poistetaan muuri käytöstä ja silti se voi vaatia pääsyä nettiin?
Kunhan halusin testata mitä kyseinen ohjelma tekee mutta opin että kaikkeen ei voi luottaa tälläkään foorumilla.
Onneksi oli toinen käyttis sentään ehjänä vielä ja sain pari kuvaa kopioitua vielä turvaan joita en ollut varmuuskopioinut.
Oishan ne vielä kameran kortilta löytynyt vaikka tyhjä kortti onkin.
Eikka
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 6. maaliskuuta 2006 @ 20:25
|
|
Mainos
|
|
|
AfterDawn Addict
|
7. maaliskuuta 2006 @ 04:40 |
Linkki tähän viestiin
|
Quote:
Kunhan halusin testata mitä kyseinen ohjelma tekee mutta opin että kaikkeen ei voi luottaa tälläkään foorumilla.
Noissa ohjeissa ei ole tietääkseni vikaa tai jos onkin, niin nuo ohjeet on peräisin tuon fixin tekijältä(Atri atribunesta). Ne on vain käännetty. Eli tahallani en ole antanut vääriä ohjeita :) Olen kyllä näiden tapausten jälkeen lisännyt omiin ohjeisiini ajon vikasietotilassa virustorjunta, palomuuri ja nettipiuha pois päältä. Siis alkuperäisessä ohjeessa ei pyydetä ottamaan virustorjuntaa ja palomuuria pois päältä.
Tässä nuo alkuperäiset ohjeet englanniksi -> http://www.atribune.org/content/view/28/ Ja noita erikoisfixejä ei kannata turhaan kokeilla, jos ei ole infektiota. Niistä voi olla muita seurauksia (usein ei ole) Ja jos epäilee infektiota, niin HjT-loki tänne palstalle ensin eikä mitään "sooloilua".
EDIT: Ilmeisesti tuo on kiinni Nortonista eli Nortonin tapauksessa toi voi sattua.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 7. maaliskuuta 2006 @ 06:36
|
