AfterDawn.com Mainosta sivuillamme
User Käyttäjä Salasana  
  Puuttuuko tunnus? Liity jäseneksi nyt!.
Salasana hukassa? Klikkaa tästä. 		 
  Etusivu   Uutiset   Oppaat   Ohjelmat   Sanasto   Laitevertailu   Profiilit   Keskustelu  
 Yksityisviestit     Luo uusi yksityisviesti     Kaikki uudet viestit     Ilman vastauksia olevat viestiketjut     Hae viestejä
maanantai 7.7.2025 / 23:17
Hae keskustelualueilta:        In English   Suomeksi   På svenska
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat - hijackthis -logit > tehtäväpalkissa vilkkuu, hjt-loki tässä
Näytä aiheet
 
Keskustelualueet
Keskustelualueet
Tehtäväpalkissa vilkkuu, HJT-loki tässä
  Siirry:
 
Kirjoittaja Viesti
joecool2
Newbie
_ 		7. syyskuuta 2006 @ 21:52 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Tehtäväpalkissa vilkkuu tosiaankin tuollainen Critical System Error, jonka sain jonkun codecin mukana, Codecin sain pois, mutta tuo harmi jäi päälle, olisikos apuja kellä, suuret kiitosket etukäteen..

Logfile of HijackThis v1.99.1
Scan saved at 1:37:50, on 8.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
C:\Program Files\F-Secure\Common\FSAA.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\acoustic.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\notepad.exe
C:\Data\download\virus\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TBTray] acoustic.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1153260908671
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
O20 - Winlogon Notify: Run - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
[ + lainaa]
Marku2
Senior Member
_ 		8. syyskuuta 2006 @ 15:12 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lataa SmitfraudFix (c) S!Ri
Pura sisältö (kansio nimeltä SmitfraudFix) työpöydällesi:

Avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi.

Huomaa: process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
http://www.beyondlogic.org/consulting/processutil/processutil.htm
[ + lainaa]
The rules of the Afterdawn/Afterdawnin säännöt!
Rules: http://forums.afterdawn.com/thread_view.cfm/2487
Säännöt: http://keskustelu.afterdawn.com/thread_view.cfm/2717
joecool2
Newbie
_ 		9. syyskuuta 2006 @ 21:47 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
No niin, ajoin tuo Smitfraudfixin ja annoin sen myös korjata sillä 2. valinnalla. Lisäksi poistin pari riviä tuolla HJT:lä. Näiden jälkeen Spybot tai Ad-Aware eivät löydä uhkia koneelta. Silti vaan vilkkuu!!! Tässä nyt smitfarudfixin ja HjT uusimmat logit. Nuo rivit n:o 020 "Winlogon" tuossa vähän ihmetyttävät, voisikohan siinä olla tuo vilkkukuvake juuri? Vaikka poistaa HJT:llä ne, niin aina palautuvat bootatessa... Tekisikö XP:n joku automaattinen palautus (tai mikä ihme se nyt onkaan) tätä?

Logfile of HijackThis v1.99.1
Scan saved at 1:15:00, on 10.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
C:\Program Files\F-Secure\Common\FSAA.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\acoustic.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Data\download\virus\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TBTray] acoustic.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1153260908671
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
O20 - Winlogon Notify: Run - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)

******

SmitFraudFix v2.81

Scan done at 1:44:54,99, su 10.09.2006
Run from C:\Data\download\virus\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yrj?\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\YRJ~1\Suosikit


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7fa55359-7223-410f-bc82-efb3e3ded07f}"="died"

[HKEY_CLASSES_ROOT\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
@="C:\WINDOWS\system32\gtpbx.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
@="C:\WINDOWS\system32\gtpbx.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
[ + lainaa]
-kemisti-
AfterDawn Addict
_ 		10. syyskuuta 2006 @ 07:45 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Smitfraudfix on vanha, uusin versio on 2.84. Poista vanha, lataa uusi Marku2:den linkistä ja lähetä loki uudella versiolla.
[ + lainaa]
Ei HjT-lokeja tms. yksityisviestillä!
Marku2
Senior Member
_ 		10. syyskuuta 2006 @ 10:59 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
@joecool2: Tee tämä ohje...

Lataa tuosta Look2Me-Destroyer.exe työpöydällesi.

TÄRKEÄÄ: Ennen fixin jatkamista, sinun täytyy tehdä seuraavat:



* Tulosta tämä, tai tallenna tekstitiedostona sopivaan sijaintiin.
* Klikkaa käynnistä -> Suorita ja kirjoita: services.msc
* Klikkaa OK.
* Tarkista että tämä palvelu on käynnissä tai sen käynnistymistapa on automaattinen:
* Toissijainen kirjautuminen
* Seuraavaksi tietokoneesi on oltava offlinessa, vedä nettipiuha seinästä jos tarpeen.
* Virustorjuntasi, ja kaikkien muiden turvaohjelmistojen TÄYTYY olla suljettuja.



Jatka fixiä:


* Sulje ikkunat jatkaaksesi.
* Tupla-klikkaa Look2Me-Destroyer.exe filua ajaaksesi sen.
* Rastita Run this program as a task.
* Saat viestin joka sanoo "Look2Me-Destroyer will close and re-open in approximately 1 minute". Klikkaa OK
* Kun se avautuu uudestaan, klikkaa Scan for L2M valintaa, pikakuvakkeesi katoavat; tämä on normaalia.
* Kun skannaus on valmis, klikkaa Remove L2M.
* Saat Done Scanning viestin, klikkaa OK.
* Kun valmis, saat tämän viestin: Done removing infected files! Look2Me-Destroyer will now shutdown your computer, klikkaa OK.
* Koneesi sammuu.
* Käynnistä se uudelleen.
* Postita C:\Look2Me-Destroyer.txt lokin sisältö seuraavaan viestiisi.

Sulla on vanha smitfraudfix versio, joten tehdään uudelleen.

Lataa SmitfraudFix (c) S!Ri
Pura sisältö (kansio nimeltä SmitfraudFix) työpöydällesi:

Avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
Postita tämän tekstitiedoston sisältö viestiketjuusi.

Huomaa: process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
http://www.beyondlogic.org/consulting/processutil/processutil.htm

Siirrä HijackThis.exe omaan kansioon -> C:\hjt\HijackThis.exe

Fixaa HjT:llä (do a system scan only, merkkaa ja paina fix checked)
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
O20 - Winlogon Notify: Run - C:\WINDOWS\

Hommaa ewido: http://aaxxeell.googlepages.com/ewido4
Pävitä, Scannaa, Poista Löydöt ja tallenna raportti.

Nimeä HijackThis.exe uudelleen -> Scanner.exe

Lähetä uusi HjT-loki, C:\Look2Me-Destroyer.txt, Smitfraud.txt ja ewidon raportti.

[ + lainaa]
The rules of the Afterdawn/Afterdawnin säännöt!
Rules: http://forums.afterdawn.com/thread_view.cfm/2487
Säännöt: http://keskustelu.afterdawn.com/thread_view.cfm/2717

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 10. syyskuuta 2006 @ 10:59
joecool2
Newbie
_ 		10. syyskuuta 2006 @ 21:14 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Kiitos, nyt koetin tehdä työtä käskettyä ja silti vaan vilkkuu:( Ja kun boottaa koneen, ne 020-rivit palautuvat, vaikka HjT fixaa ne pois. Mikähän ne oikein palauttaa? Onko tässä XP:ssä joku automaattinen palautus?

Tässä näitä lokeja. Ajoin tuon ewidon uudestaan ja nyt se poisti vaan uudelleen aktivoituneen look2me:n. Ekalla kerralla se poisti vaikka kuinka paljon tavaraa. Mutta vilkkumine vaan jatkuu, onpa sitkeä mato...:(

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 11.9.2006 0:17:03

Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003902.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003927.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003931.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003953.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003970.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003974.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003981.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003988.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003998.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004047.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004126.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004132.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004140.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004147.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004155.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004170.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004176.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004232.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004295.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004352.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004383.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004384.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004385.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004386.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004387.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004388.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004389.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004390.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004391.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004392.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004393.dll
Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004394.dll

Attempting to delete infected files...

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003902.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003902.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003927.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003927.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003931.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003931.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003953.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003953.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003970.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003970.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003974.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003974.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003981.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003981.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003988.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003988.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003998.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003998.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004047.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004047.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004126.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004126.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004132.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004132.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004140.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004140.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004147.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004147.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004155.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004155.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004170.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004170.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004176.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004176.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004232.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004232.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004295.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004295.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004352.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004352.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004383.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004383.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004384.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004384.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004385.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004385.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004386.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004386.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004387.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004387.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004388.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004388.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004389.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004389.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004390.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004390.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004391.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004391.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004392.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004392.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004393.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004393.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004394.dll
C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004394.dll Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reinstall
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Run
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Group Policy

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Järjestelmänvalvojat - Succeeded

************

SmitFraudFix v2.86

Scan done at 0:23:45,17, ma 11.09.2006
Run from C:\Data\download\virus\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\gtpbx.dll FOUND !
C:\WINDOWS\system32\ismini.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yrj?\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\YRJ~1\Suosikit


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7fa55359-7223-410f-bc82-efb3e3ded07f}"="died"

[HKEY_CLASSES_ROOT\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
@="C:\WINDOWS\system32\gtpbx.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
@="C:\WINDOWS\system32\gtpbx.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End




******



ja tässä viimeisin ewido:

ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 1:03:31 11.9.2006

+ Scan result:



HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP -> Adware.Look2Me : Cleaned with backup (quarantined).


::Report end



************



Tämä boottuksen jälkeen:
Logfile of HijackThis v1.99.1
Scan saved at 0:55:21, on 11.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FSAA.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\acoustic.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\hjt\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TBTray] acoustic.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1153260908671
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
O20 - Winlogon Notify: Run - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)

*********
Ja tämä jos sen fixin ajaa taas:
Logfile of HijackThis v1.99.1
Scan saved at 1:10:38, on 11.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FSAA.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\acoustic.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\hjt\scanner.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TBTray] acoustic.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1153260908671
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
[ + lainaa]
Marku2
Senior Member
_ 		11. syyskuuta 2006 @ 13:51 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Printtaa ohjeet ulos/Tallenna ne.

Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi.

Kun vikasietotilassa, avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd
Valitse optio #2 - Clean kirjoittamalla 2 ja painamalla "Enter" poistaaksesi tarttuneet tiedostot.

Sinulta kysytään: "Registry cleaning - Do you want to clean the registry ?"; vastaa "Yes" kirjoittamalla Y ja paina "Enter" poistaaksesi työpöydän taustakuvan ja puhdistaaksesi tarttuneet rekisteriavaimet.

Työkalu tarkistaa jos wininet.dll on tarttunut. Sinua saatetaan pyytää korvaamaan tarttunut .dll (jos löytyy); vastaa "Yes" kirjoittamalla Y ja painamalla "Enter".

Työkalun saattaa tarvita käynnistää kone uudelleen; jos ei tee niin, käynnistä normaaliin Windowsiin.
Tekstitiedosto ilmestyy, puhdistusprosessin jäljiltä; kopioi & liitä tämän raportin tulokset vastaukseesi.
Raportti löytyy paikalliselta levyltäsi, useimmiten C:\rapport.txt.

Varoitus: Ajamalla optio 2:n EI-tarttuneessa tietokoneessa, poistaa sinun työpöytäsi taustakuvan.

Javan päivitys:

[*]Klikkaa Käynnistä -> Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.
[*]Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
Niissä pitäisi olla seuraava kuva vieressä:

[*]Valitse kaikki entiset Java versiosi ja valitse Poista.
[*]Asenna uusin Java päivitys seuraavasta linkistä..
[*]Käynnistä kone uudelleen asennuksen jälkeen:

http://java.sun.com/javase/downloads/index.jsp

[*]Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).
[*]Temporary Internet Files -osion alla, klikkaa Delete Files nappia.
[*]Varmista että kaikki kolme valintaa ovat rastitettuja:

Downloaded Applets
Downloaded Applications
Other Files

[*]Klikkaa OK "Delete Temporary Internet Files" -ikkunassasi.
Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.
[*]Klikkaa OK jättääksesi Java asetusikkunasi.


Lähetä uusi HjT-loki ja C:\rapport.txt
[ + lainaa]
The rules of the Afterdawn/Afterdawnin säännöt!
Rules: http://forums.afterdawn.com/thread_view.cfm/2487
Säännöt: http://keskustelu.afterdawn.com/thread_view.cfm/2717
joecool2
Newbie
_ 		12. syyskuuta 2006 @ 05:21 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Kiitos Marku2, ehdin vasta huomenna keskiviikkona koneen kimppuun. Raportoin sitten heti, mutta jo tässä vaiheessa siis suuret kiitokset vaivan näöstäsi!
[ + lainaa]
Marku2
Senior Member
_ 		12. syyskuuta 2006 @ 11:41 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Okei, hyvä että ilmoitit. Että tiedän milloin taas jatketaan. :)
[ + lainaa]
The rules of the Afterdawn/Afterdawnin säännöt!
Rules: http://forums.afterdawn.com/thread_view.cfm/2487
Säännöt: http://keskustelu.afterdawn.com/thread_view.cfm/2717
joecool2
Newbie
_ 		13. syyskuuta 2006 @ 20:28 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
No niin, tässä tätä. Nyt taitaa ongelma ilmeisesti olla ratkaistu, sillä enää ei vilku palkissa. Avain taisi olla tuo Smitfraudfixin ajaminen vikasietotilassa... JOtainhan se sanoo poistaneensa. Kyllä nuo rivit n:o 020 siellä hjt:ssä edelleen näkyvät, mutta silti ei vilku. Vilkaisehan miltä nämä sinun silmiisi nyt näyttävät, java on päivitetty myöskin.

Tässä Smitfraudfixinraportti alkuun:

SmitFraudFix v2.86

Scan done at 23:04:36,62, ke 13.09.2006
Run from C:\Data\download\virus\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7fa55359-7223-410f-bc82-efb3e3ded07f}"="died"

[HKEY_CLASSES_ROOT\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
@="C:\WINDOWS\system32\gtpbx.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
@="C:\WINDOWS\system32\gtpbx.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\gtpbx.dll -> Hoax.Win32.Renos.gen.d
C:\WINDOWS\system32\gtpbx.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End





HJT sanoo nyt näin:

Logfile of HijackThis v1.99.1
Scan saved at 0:23:33, on 14.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\F-Secure\Common\FSAA.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\acoustic.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hjt\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TBTray] acoustic.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1153260908671
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} (Java Plug-in 1.4.2_03) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
O20 - Winlogon Notify: Run - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
[ + lainaa]
Marku2
Senior Member
_ 		14. syyskuuta 2006 @ 13:31 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
1. Käynnistä Spybot-S&D Edistyneessä tilassa
2. Jos se ei ole Edistyneessä tilassa, mene Tila-valikkoon ja valitse Edistynyt tila
3. Klikkaa vasemmalla Työkalut
4. Klikkaa listassa Pysyvä suojaus
5. Ota rasti pois kohdasta "Pysyvä TeaTimer" ja paina OK.

Käynnistä kone vikasietotilaan.

FIxaa nämä: O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
O20 - Winlogon Notify: Run - C:\WINDOWS\

Käynnistä kone uudelleen.

Lähetä uusi HjT-loki. Onko vielä ongelmia?
[ + lainaa]
The rules of the Afterdawn/Afterdawnin säännöt!
Rules: http://forums.afterdawn.com/thread_view.cfm/2487
Säännöt: http://keskustelu.afterdawn.com/thread_view.cfm/2717
joecool2
Newbie
_ 		14. syyskuuta 2006 @ 21:02 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Nyt vaikuttaa hyvälle. Ne 020-rivitkin katosivat. Tosiaankin tuo vikasietotilassa fiksailu tutntuu tehoavan. Onko mitä haittaa, jos tuon Tea Timerin ja sen toisen pysyvän selaimen "vahdin" nappaa päälle?

Tässä vielä se logi boottauksen jälkeen:

Logfile of HijackThis v1.99.1
Scan saved at 0:58:56, on 15.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\F-Secure\Common\FSAA.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\acoustic.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\hjt\scanner.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TBTray] acoustic.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1153260908671
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} (Java Plug-in 1.4.2_03) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
[ + lainaa]
Marku2
Senior Member
_ 		16. syyskuuta 2006 @ 17:48 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
HjT-loki on puhdas.

Putsaa järjestelmänpalautus:
1. Klikkaa oikealla käynnistävalikon My Computer- tai oma tietokone-kuvaketta
2. Valitse Properties/ominaisuudet
3. Valitse System Restore/järjestelmän palauttaminen välilehti
4. Valitse "Turn off System Restore"/poista järjestelmän palauttaminen kaikissa asemissa
5. Paina Apply/käytä
6. Paina OK
7. Käynnistä kone uudelleen
8. Palauta asetukset takaisin
[ + lainaa]
The rules of the Afterdawn/Afterdawnin säännöt!
Rules: http://forums.afterdawn.com/thread_view.cfm/2487
Säännöt: http://keskustelu.afterdawn.com/thread_view.cfm/2717
joecool2
Newbie
_ 		16. syyskuuta 2006 @ 20:53 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Kiitos Marku2 vaivannäöstäsi! Tämän putsauksen vielä teen ja varon vastedes kaikkia houkuttelevia codec'eja sun muita vastaavia epämääräisyyksiä :)

Tuo suosittelemasi toimenpide kaiketi hävittää samalla kaikki Windowsin aiemmatkin palautuspisteet, mutta se lienee tarkoituskin?
[ + lainaa]
Marku2
Senior Member
_ 		17. syyskuuta 2006 @ 06:21 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Juu oli tarkoitus, mutta niitä palautuspisteitä se luo automaattisesti. :)

Jos sulla ei ole codec pakkia, ja tarvitset niin laita -> FFDSHOW
FFDSHOW:ssa on video sekä ääni codecit. Eli et tarvitse muuta.
[ + lainaa]
The rules of the Afterdawn/Afterdawnin säännöt!
Rules: http://forums.afterdawn.com/thread_view.cfm/2487
Säännöt: http://keskustelu.afterdawn.com/thread_view.cfm/2717

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. syyskuuta 2006 @ 06:21
joecool2
Newbie
_ 		17. syyskuuta 2006 @ 08:28 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Jeps, nyt tämä menee jo offtopic, mutta menköön. Käsittääkseni vanhemmassa ffdsowssa ei ollut noita tykötarpeita ja esim. zoomplayerin kanssa piti käyttää vaikkapa windvd:tä videolle ja äänelle. No nyt kun asensin (koneen "räjähdyksen" jälkeen) koko systeemin uusiksi, niin jostain ihmeen syystä en saanut spdif'iin ääntä ulos kun käytin windvd:n ääniasetuksia zp:ssä. Vaihtaessani powerdvd:n äänipuolelle, kaikki toimi. Mutta sitten sekosin näihin, kun powerdvd lakkasi kuukauden jälkeen toimimasta..;-)

Uusin ffdshow on jo ladattu ja odottaa aikaa ehtiä ottaa se käyttöön ja viritellä sitä. Huomasin kyllä, että zp:n asetuksiin oli ilmestynyt äänipuolelle (muttei videopuolelle???) ffdshow sen uusimman version asennuksen jälkeen ja se oli tarkoituksena kokeillakin heti kun ehtii.

Sen kummempaa tavoitetta ei siis ole, kuin saada DVD-kuva tykille zp:n ja ffdsown kautta ryyditettynä ja ääni vahvistimelle spdif'n kautta. ilmeisesti windvd-zp-ffwshow on riittävä paketti ja muuta en tarvitse.

Systeemi toimi hienosti 1,5 vuotta noilla vanhemmilla versioilla, kunnes räjähti:( Nyt minulla on toimiva versio noista vindvd:stä ja zp:stä, vain ääni siis tökki...
[ + lainaa]
Marku2
Senior Member
_ 		17. syyskuuta 2006 @ 08:36 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
En ole hirveästi perehtynyt, noihin ääni juttuihin ;)
Mutta oletko päivittänyt äänikortin ajurit?
[ + lainaa]
The rules of the Afterdawn/Afterdawnin säännöt!
Rules: http://forums.afterdawn.com/thread_view.cfm/2487
Säännöt: http://keskustelu.afterdawn.com/thread_view.cfm/2717
Mainos
_ 		__
 
_
joecool2
Newbie
_ 		17. syyskuuta 2006 @ 10:18 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Kiitos, ei sinun tarvitse äänispesialisti ollakaan:) Olet ollut paljon suuremmaksi avuksi tuntemalla tätä haittapöpöpuolta! kyllä minä nuo loihdin kuntoon ja onhan näitä foorumeita (täälläkin sivustolla), joissa pähkäillään nimenomaan näitä viihdepuolen asioita:) Kiitos, pannaan tämä ketju nyt jäihin :)
[ + lainaa]
Viestiketju on suljettu. Uusien viestien lähettäminen ei ole mahdollista.
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat - hijackthis -logit > tehtäväpalkissa vilkkuu, hjt-loki tässä
 

Apua ongelmiin: AfterDawnin keskustelualueet | AfterDawnin Vastaukset
Uutiset: IT-alan uutiset | Uutisia puhelimista
Musiikkia: MP3Lizard.com
Tuotearviot: Laitevertailu | Vertaa puhelimia | Vertaa kännykkäliittymiä
Pelit: Pelitiedostot, pelidemot ja trailerit
Ohjelmat: download.fi | AfterDawnin ohjelma-alueet
International: AfterDawn in English | Software downloads | Free, legal MP3s | AfterDawn på svenska
RSS -syötteet: AfterDawnin uutiset | Uusimmat ohjelmapäivitykset | Keskustelualueiden viestit
Tietoja: Tietoa AfterDawn Oy:stä | Mainosta sivuillamme | Sivuston käyttöehdot ja tietoja yksityisyydensuojasta
Ota yhteyttä: Lähetä palautetta | Ota yhteyttä mainosmyyntiimme
 
  © 1999-2025 AfterDawn Oy