Kone taitaa olla demonin riivaama

Yksityisviestit

Luo uusi yksityisviesti

Kaikki uudet viestit

Ilman vastauksia olevat viestiketjut

Hae viestejä

sunnuntai 13.7.2025 / 20:55

Hae keskustelualueilta:

afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat - hijackthis -logit > kone taitaa olla demonin riivaama

Aiheet

Keskustelualueet

Aloita uusi viestiketju

Kone taitaa olla demonin riivaama

Siirry:

Kirjoittaja

Viesti

miryt79

Suspended due to non-functional email address

2. lokakuuta 2006 @ 08:15

Linkki tähän viestiin

Moikka
Osaisittekos auttaa,kaverilla alla oleva ongelma. Suosittelin että ajaa hjt:n ja smitfraudin mutta ei ole tuntunut auttavan...

Kone taitaa olla demonin riivaama... Aina kun yrittää avata jonkun
virusksentorjunta-, tai kaapauspoistoohjelman niin kone sulkee sen
automaattisesti, esm HijackThis nettisivu ei avautunut eikä liiemmin
logitkaan. Joten jouduin ajamaan ne vikasietotilassas.

Logfile of HijackThis v1.99.1
Scan saved at 22:28:12, on 1.10.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Sonera Plaza Oy
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.inet.fi:800
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;*.*.fi;*.*.*.fi;localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: (no name) - {5CF377A2-D052-1B86-A240-CF4E5F7D865F} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\Isass.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\exo32.exe
O4 - HKLM\..\Run: [Windows APCI Verifier] dev.exe
O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe
O4 - HKLM\..\RunServices: [Windows APCI Verifier] dev.exe
O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZIP Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Enable Labtec Wireless Desktop.lnk = C:\Program Files\Labtec Wireless Desktop\MagicKey.exe
O4 - Global Startup: Digital TV Stick.lnk = C:\Program Files\Digital TV\Digital TV Stick\dvbapp.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.soneraplaza.fi
O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://avustaja.sonera.fi/sdccommon/download/tgctlcm.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...nt.cab31267.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/ins...staller_gmn.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...nt.cab31267.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Sol...wn.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5881AC6C-E589-4097-814A-1A7C36340F62}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{747F7964-E544-4E49-9BB0-F9B54A3A1AF4}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{B23516B5-BFA0-41C2-B3E2-3B1D34B820A1}: NameServer = 85.255.116.18,85.255.112.185
O23 - Service: Avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: Avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FSMA - Unknown owner - d:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE (file missing)
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe (file missing)
O23 - Service: Microsoft Security Login Service - Unknown owner - C:\WINNT\system32\dllcache\mssecure32.exe
O23 - Service: Microsoft update Service - Unknown owner - C:\WINNT\system32\dllcache\msiupdate32.exe

[ + lainaa]

hannu71

Member

2. lokakuuta 2006 @ 12:27

Linkki tähän viestiin

HijackThis omaan kansioon C:\HJT\HijackThis.exe

Teatimer pitää ottaa fixien ajaksi pois päältä
1. Käynnistä Spybot-S&D Edistyneessä tilassa
2. Jos se ei ole Edistyneessä tilassa, mene Tila-valikkoon ja valitse Edistynyt tila
3. Klikkaa vasemmalla Työkalut
4. Klikkaa listassa Pysyvä suojaus
5. Ota rasti pois kohdasta "Pysyvä TeaTimer" ja paina OK.
6. Käynnistä kone uudelleen.

Lataa Ewido (ohjeet & latausosoite -> http://aaxxeell.googlepages.com/ewido4) asenna ja päivitä ohjeiden mukaan. Älä skannaa vielä!

Lataa fixwareout.exe täältä > http://downloads.subratam.org/Fixwareout.exe
tai täältä >
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe
ja tallenna se työpöydälle. Tuplaklikkaa sitä ja seuraa ohjeita. Klikkaa Next, sitten Install ja varmistu, että "Run fixit" on valittu. Sinun pitää käynnistää kone uudelleen, kun niin käsketään.

Avaa HijackThis, klikkaa do a system scan only, merkkaa nämä rivit. Sitten sulje kaikki muut ikkunat ja paina fix checked.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {5CF377A2-D052-1B86-A240-CF4E5F7D865F} - (no file)
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\Isass.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\exo32.exe
O4 - HKLM\..\Run: [Windows APCI Verifier] dev.exe
O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe
O4 - HKLM\..\RunServices: [Windows APCI Verifier] dev.exe
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/ins...staller_gmn.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5881AC6C-E589-4097-814A-1A7C36340F62}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{747F7964-E544-4E49-9BB0-F9B54A3A1AF4}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{B23516B5-BFA0-41C2-B3E2-3B1D34B820A1}: NameServer = 85.255.116.18,85.255.112.185
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe (file missing)
O23 - Service: Microsoft Security Login Service - Unknown owner - C:\WINNT\system32\dllcache\mssecure32.exe
O23 - Service: Microsoft update Service - Unknown owner - C:\WINNT\system32\dllcache\msiupdate32.exe

Kopioi/liitä seuraava teksti lainausboksista alapuolella tyhjään
muistiofiluun. Varmista että tiedostotyyppi on "All Files" ja
tallenna se Poisto.bat. nimisenä työpöydällesi.

Lainaus
------------------
@echo off
sc stop lsass
sc delete lsass
sc stop "Microsoft Security Login Service"
sc delete "Microsoft Security Login Service"
sc stop "Microsoft update Service"
sc delete "Microsoft update Service"

------------------
Sitten aja työpöydällä oleva Poisto.bat-tiedosto.

laita tarvittaessa piilotiedostot näkyviin. ohje==> http://keskustelu.afterdawn.com/thread_view.cfm/248944

mene vikasietotilaan. ohje==>
http://service1.symantec.com/SUPPORT/tsg...001052409420406

poista seuraavat:
C:\WINNT\system32\==>Isass.exe<== huomaa tuossa on iso I ei pieni l
C:\==>exo32.exe<==
C:\WINNT\==>lsass.exe<==
C:\WINNT\system32\dllcache\==>mssecure32.exe<==
C:\WINNT\system32\dllcache\==>msiupdate32.exe<==

käytä etsi toimintoa ja poista jos löytyy
dev.exe
rspc.exe

Aja ewido (vikasietotilassa)

Käynnistä kone normaali tilaaan ja laita piilotiedostot takaisin piiloon

Javan päivitys ja välimuistin tyhjennys

1. Klikkaa Käynnistä > Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.
2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
Niissä pitäisi olla seuraava kuva vieressä:
3. Valitse kaikki entiset Java versiosi ja valitse Poista.
4. Asenna uusin Java päivitys seuraavasta linkistä..
5. Käynnistä kone uudelleen asennuksen jälkeen:

http://java.sun.com/javase/downloads/index.jsp

6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).
7. Temporary Internet Files -osion alla, klikkaa Delete Files nappia.
8. Varmista että kaikki kolme valintaa ovat rastitettuja:

Downloaded Applets
Downloaded Applications
Other Files

9. Klikkaa OK "Delete Temporary Internet Files" -ikkunassasi.
Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.
10. Klikkaa OK jättääksesi Java asetusikkunasi.

Lähetä uusi HjT-loki, c:\fixwareout\report.txt sisältö ja ewidon raportti

[ + lainaa]

Viestiketju on suljettu. Uusien viestien lähettäminen ei ole mahdollista.

Aloita uusi viestiketju

afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat - hijackthis -logit > kone taitaa olla demonin riivaama


		Käyttäjä	Salasana

		Puuttuuko tunnus? Liity jäseneksi nyt!. Salasana hukassa? Klikkaa tästä.