AfterDawn.com Mainosta sivuillamme
User Käyttäjä Salasana  
  Puuttuuko tunnus? Liity jäseneksi nyt!.
Salasana hukassa? Klikkaa tästä. 		 
  Etusivu   Uutiset   Oppaat   Ohjelmat   Sanasto   Laitevertailu   Profiilit   Keskustelu  
 Yksityisviestit     Luo uusi yksityisviesti     Kaikki uudet viestit     Ilman vastauksia olevat viestiketjut     Hae viestejä
tiistai 22.7.2025 / 14:14
Hae keskustelualueilta:        In English   Suomeksi   På svenska
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat - hijackthis -logit > google-cash mainosikkuna ahdistelua
Näytä aiheet
 
Keskustelualueet
Keskustelualueet
Google-Cash mainosikkuna ahdistelua
  Siirry:
 
Kirjoittaja Viesti
Sivu:12>
thetape
Newbie
_ 		9. maaliskuuta 2007 @ 09:35 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Kun kone on ollut toimettomana muutaman tunnin, niin alkaa ilmaantumaan mainosikkunoita, joiden linkissä on jotain "Google-Cash" viittauksia. Olen ajanut Ad-Awaren, SpyBotin ja F-Securen läpi moneen kertaan, myös vikasietotilassa. Silti eivät vaan häivy!

Tässä HjT-logi:

Logfile of HijackThis v1.99.1
Scan saved at 14:18:48, on 9.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WinXPUtit\F-Secure6\Common\FSM32.EXE
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\FSGK32.EXE
C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fssm32.exe
C:\WinXPUtit\F-Secure6\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\WinXPUtit\F-Secure6\Common\FCH32.EXE
c:\winxputit\NetDrive\wdService.exe
C:\WinXPUtit\F-Secure6\Common\FAMEH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsqh.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsrw.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
C:\WinXPUtit\F-Secure6\Common\FIH32.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsav32.exe
C:\WINXPU~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WinXPUtit\F-Secure6\FSGUI\fsguidll.exe
D:\Netti\utorrent.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Netti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\WinXPUtit\F-Secure6\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\WinXPUtit\F-Secure6\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WinXPUtit\quiktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WinXPUtit\jbuilder\jdk1.4\jre\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [a_usdll] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.dll"
O4 - HKLM\..\RunOnce: [b_usexe] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.exe"
O4 - HKLM\..\RunOnce: [c_usdir] cmd /C "rmdir /Q C:\WINDOWS\system32\Macromed\Download"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WinXPUtit\Office2000Pre\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Block this popup - C:\WinXPUtit\F-Secure6\Anti-Spyware\blockpopups.htm
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\WinXPUtit\OpenVPN\bin\openvpnserv.exe
O23 - Service: Local Service (System Local Service) - Unknown owner - C:\WINDOWS\system32\Server.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\winxputit\NetDrive\wdService.exe

Niin ja kuten tuolta logista näkyy, niin joku ihmeen Yahoo!toolbar on ilmestynyt jostain, jota en saa poistettua "lisää/poista sovelluksia" valikosta.
[ + lainaa]
thetape
Newbie
_ 		9. maaliskuuta 2007 @ 09:46 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Tässä sama vielä uudestaan "C:\HJT\skanneri.exe" -skannattuna :

Logfile of HijackThis v1.99.1
Scan saved at 14:44:42, on 9.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WinXPUtit\F-Secure6\Common\FSM32.EXE
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\FSGK32.EXE
C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fssm32.exe
C:\WinXPUtit\F-Secure6\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\WinXPUtit\F-Secure6\Common\FCH32.EXE
c:\winxputit\NetDrive\wdService.exe
C:\WinXPUtit\F-Secure6\Common\FAMEH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsqh.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsrw.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
C:\WinXPUtit\F-Secure6\Common\FIH32.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsav32.exe
C:\WINXPU~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WinXPUtit\F-Secure6\FSGUI\fsguidll.exe
D:\Netti\utorrent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\HJT\skanneri.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\WinXPUtit\F-Secure6\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\WinXPUtit\F-Secure6\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WinXPUtit\quiktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WinXPUtit\jbuilder\jdk1.4\jre\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [a_usdll] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.dll"
O4 - HKLM\..\RunOnce: [b_usexe] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.exe"
O4 - HKLM\..\RunOnce: [c_usdir] cmd /C "rmdir /Q C:\WINDOWS\system32\Macromed\Download"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WinXPUtit\Office2000Pre\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Block this popup - C:\WinXPUtit\F-Secure6\Anti-Spyware\blockpopups.htm
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\WinXPUtit\OpenVPN\bin\openvpnserv.exe
O23 - Service: Local Service (System Local Service) - Unknown owner - C:\WINDOWS\system32\Server.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\winxputit\NetDrive\wdService.exe
[ + lainaa]
Auttaja
Suspended permanently
_ 		9. maaliskuuta 2007 @ 10:41 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lataa AVG Anti-Spyware 7.5 ja tallenna ohjelma työpöydällesi.

[*]Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa.
[*]Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää.
[*]Käynnistä AVG Anti-Spyware.
[*]Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta.
[*]Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa.
[*]Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti.
[*]Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine".
[*]Sitten "Reports" valikon alta:
[*]Laita täppi kohtaan "Automatically generate report after every scan"
[*]Ota täppi pois kohdasta"Only if threats were found"


Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.

10. Klikkaa OK jättääksesi Java asetusikkunasi.
[*]Sitten klikkaa "Shield" kuvaketta ikkunan ylälaidassa
[*]"Resident shield is", muuta tila active:sta inactive:ksi
[*]Sulje ohjelma, ÄLÄ skannaa vielä.

****************************************

Avaa HijackThis merkkaa ja fixaa (fix checked) nää rivit:

O4 - HKLM\..\RunOnce: [a_usdll] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.dll"
O4 - HKLM\..\RunOnce: [b_usexe] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.exe"
O4 - HKLM\..\RunOnce: [c_usdir] cmd /C "rmdir /Q C:\WINDOWS\system32\Macromed\Download"

*******************

laita piilotiedostot näkyviin

* Avaa Oma Tietokone.
* Valitse Työkalut ylämenusta ja klikkaa Kansion asetukset.
* Valitse Näytä välilehti.
* Piilotiedostot/kansiot kohdalla valitse Näytä piilotetut tiedostot ja kansiot.
* Poista rasti ruudusta -> Piilota suojatut käyttöjärjestelmätiedostot
* Klikkaa Kyllä varmistaaksesi muutokset.
* Klikkaa OK.

*******************

Käynnistä tietokone vikasietotilaan:
1. Käynnistä tietokone uudelleen.
2. Kun tietokone käynnistyy, paina F8-näppäintä.
3. Näyttöön tulee erilaisia käynnistysvaihtoehtoja.
4. Valitse näppäimistön nuolinäppäinten avulla Vikasietotila.
5. Paina ENTER-näppäintä.

*******************

C:\WINDOWS\system32\Macromed\Download\

Poista tuo kansio

****************

HUOM! Älä käytä muita ohjelmia AVG skannauksen aikana, tämä saattaa häiritä skannausta.
[*]Kun vikasietotilassa, käynnistä AVG Anti-Spyware.
[*]Klikkaa "Scanner" kuvaketta ikkunan ylälaidassa ja valitse "Scan" välilehti. Sitten klikkaa "Complete System Scan".
[*]AVG aloittaa nyt tietokoneen skannaamisen, ole kärsivällinen sillä skannaus vie aikaa.
Kun skannaus on valmis:
TÄRKEÄÄ : Älä klikkaa "Save Scan Report" ennen kuin klikkaat "Apply all Actions"
[*]Varmistu, että Set all elements to: näyttää Quarantine (1), jos ei, klikkaa linkkiä ja valitse Quarantine popup-valikosta.
[*]Sinulta kysytään mitä tehdä jos infektioita löytyi, valitse silloin "Apply all actions"


[*]Sitten klikkaa "Reports" kuvaketta ohjelma yläosasta.
[*]Klikkaa "Save report as" painiketta ikkunan vasemmassa alalaidassa ja tallenna raportti työpöydälle.
[*]Sulje ohjelma, käynnistä kone normaalisti ja lähetä AVG:n raportti viestiketjuusi.

****************

Laita uusi HjT-logi
[ + lainaa]
thetape
Newbie
_ 		9. maaliskuuta 2007 @ 15:37 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------

+ Created at: 19:39:38 9.3.2007

+ Scan result:

C:\Documents and Settings\Nimesi\Cookies\nimesi@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@adbrite[2].txt -> TrackingCookie.Adbrite : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@adrevolver[3].txt -> TrackingCookie.Adrevolver : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@atdmt[1].txt -> TrackingCookie.Atdmt : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@ad1.clickhype[1].txt -> TrackingCookie.Clickhype : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@zedo[1].txt -> TrackingCookie.Zedo : Cleaned.

::Report end

Täytyy myöntää että vähän mokailin, taisi olla "delete" vaihtoehto valittuna eikä "quarantine". Koitin tulostaa tuota kuvaa, mutta surkee tulostimeni ei tulostanu sitä kuin puoleen väliin ja vikasietotilan resoluution takia en edes nähnyt tuota "set all elements to" kohtaa. :/ Mites tästä nyt sitten pitäisi jatkaa?
[ + lainaa]
Auttaja
Suspended permanently
_ 		10. maaliskuuta 2007 @ 05:27 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Ihan hyvin teit kaiken, laita vielä uusi HijackThis -logi! Ja kerro mitä
ongelmia vielä on :)
[ + lainaa]
thetape
Newbie
_ 		10. maaliskuuta 2007 @ 08:55 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Tein eilen vielä tuon CCleaninkin ja se löysi vähän kaikkea. Surutta vaan poistin kaikki. Illalla ajoin Ad-Awaren ja SpyBotin ja ne löysi taas kaikkee bashaa. Spybot löysi mm. Error Safe härpäkkeitä. Nyt kun tulin aamulla koneelle, niin mainosikkunat olivat taas tehneet esiin marssin. Jotain edistystä on sentäs tapahtunut kun ne eivät voi enään muuttaa iE:n kotisivua omakseen. :) Mutta mitenkäs tästä eteenpäin että pääsis noista lopullsiesti eroon? Kysymys: uskaltaako näiden vieraiden läsnäollessa käyttää nettipankkia ja sähköposteja?

Logfile of HijackThis v1.99.1
Scan saved at 13:48:38, on 10.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\FSGK32.EXE
C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WinXPUtit\F-Secure6\Common\FSMB32.EXE
C:\WinXPUtit\F-Secure6\BackWeb\7681197\Program\F-Secure Automatic Update.exe
c:\winxputit\NetDrive\wdService.exe
C:\WinXPUtit\F-Secure6\Common\FCH32.EXE
C:\WinXPUtit\F-Secure6\Common\FAMEH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsqh.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsrw.exe
C:\WINDOWS\system32\devldr32.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsav32.exe
C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WinXPUtit\F-Secure6\Common\FSM32.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WinXPUtit\jbuilder\jdk1.4\jre\bin\jusched.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\WinXPUtit\F-Secure6\Common\FIH32.EXE
C:\WINXPU~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WinXPUtit\F-Secure6\FSGUI\fsguidll.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
D:\Netti\utorrent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\skanneri.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\WinXPUtit\F-Secure6\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\WinXPUtit\F-Secure6\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\WinXPUtit\quiktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WinXPUtit\jbuilder\jdk1.4\jre\bin\jusched.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WinXPUtit\Office2000Pre\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Block this popup - C:\WinXPUtit\F-Secure6\Anti-Spyware\blockpopups.htm
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\WinXPUtit\OpenVPN\bin\openvpnserv.exe
O23 - Service: Local Service (System Local Service) - Unknown owner - C:\WINDOWS\system32\Server.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\winxputit\NetDrive\wdService.exe
[ + lainaa]
Auttaja
Suspended permanently
_ 		10. maaliskuuta 2007 @ 09:10 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Älä käytä, puhdistetaan ensin:

***************

lataa ATF Cleaner
http://www.atribune.org/ccount/click.php?id=1

Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman. Main:n alla valitse: Select All
Klikkaa Empty Selected valintaa.
Jos käytät FireFoxia selaimenasi Klikkaa Firefox yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Jos käytät Operaa selaimenasi Klikkaa Opera yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa taas.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Klikkaa Exit päävalikosta sulkeaksesi ohjelman.
Teknistä tukea tulee jos tupla-klikkaat sähköpostiosoitetta joka sijaitsee jokaisen menun alapuolella kyseisessä työkalussa. (Huomatkaa että se tuki on sitten englanniksi)

****************

Lataa SmitfraudFix (by S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.zip työpöydällesi.

Printtaa ohjeet ulos tai tallenna nämä tekstitiedostoon.

Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi.

Vikasietotilaan pääset painamalla F8 käynnistyksen alussa piippauksen kuultuasi.

Kun vikasietotilassa, tuplaklikkaa tiedostoa SmitfraudFix.exe
Valitse optio #2 - Clean kirjoittamalla 2 ja painamalla "Enter" poistaaksesi tarttuneet tiedostot.

Sinulta kysytään: "Registry cleaning - Do you want to clean the registry ?"; vastaa "Yes" kirjoittamalla Y ja paina "Enter" poistaaksesi työpöydän taustakuvan ja puhdistaaksesi tarttuneet rekisteriavaimet.

Työkalu tarkistaa jos wininet.dll on tarttunut. Sinua saatetaan pyytää korvaamaan tarttunut .dll (jos löytyy); vastaa "Yes" kirjoittamalla Y ja painamalla "Enter".

Työkalun saattaa tarvita käynnistää kone uudelleen; jos ei tee niin, käynnistä normaaliin Windowsiin.
Tekstitiedosto ilmestyy, puhdistusprosessin jäljiltä; kopioi & liitä tämän raportin tulokset vastaukseesi.
Raportti löytyy paikalliselta levyltäsi, useimmiten C:\rapport.txt.

**********************

1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. (C:\ComboFix.txt) Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

********************

Javan päivitys ja välimuistin tyhjennys


1. Klikkaa Käynnistä > Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.
2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
Niissä pitäisi olla seuraava kuva vieressä:
3. Valitse kaikki entiset Java versiosi ja valitse Poista.
4. Asenna uusin Java päivitys seuraavasta linkistä..
5. Käynnistä kone uudelleen asennuksen jälkeen:

http://java.sun.com/javase/downloads/index.jsp

Rullaa alas kohteeseen Java Runtime Environment (JRE) 6

Paina Download

Ruksaa Accept, ota offline installation, tallenna vaikka työpöydälle ja asenna

6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).
7. General Settings -osion alla, vedä liukusäädintä (Disk Space) pienemmälle, ja klikkaa Delete Files nappia.

(Jotkut javapohjaiset ohjelmat saattavat tarvita enemmän levytilaa.
Jos huomaat säädön pienentämisen jälkeen koneessa hitautta, siirrä liusäädintä isommalle).

8. Varmista että kaikki kaksi valintaa ovat rastitettuja:

Applications and Applets

Trace and Log Files

Ok

9. Klikkaa OK "Temporary Files Settings" -ikkunassasi.
Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.
10. Klikkaa OK jättääksesi Java asetusikkunasi.

****************


Lataa fixwareout.exe täältä > http://downloads.subratam.org/Fixwareout.exe
tai täältä >
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe
ja tallenna se työpöydälle. Tuplaklikkaa sitä ja seuraa ohjeita. Klikkaa Next, sitten Install ja varmistu, että "Run fixit" on valittu. Sinun pitää käynnistää kone uudelleen, kun niin käsketään.


***************

Laita lokit ja uusin HjT-logi
[ + lainaa]

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 10. maaliskuuta 2007 @ 09:12
thetape
Newbie
_ 		10. maaliskuuta 2007 @ 13:02 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Nonnih, nyt on kaikki muut tehty paitsi compofix.exe, koska se ei suostunut toimimaan. Tässä tulee logit:

Logfile of HijackThis v1.99.1
Scan saved at 18:00:35, on 10.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\FSGK32.EXE
C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WinXPUtit\F-Secure6\Common\FSMB32.EXE
C:\WinXPUtit\F-Secure6\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\WinXPUtit\F-Secure6\Common\FCH32.EXE
c:\winxputit\NetDrive\wdService.exe
C:\WinXPUtit\F-Secure6\Common\FAMEH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsqh.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsrw.exe
C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
C:\WinXPUtit\F-Secure6\Common\FIH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WinXPUtit\F-Secure6\Common\FSM32.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINXPU~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\devldr32.exe
C:\WinXPUtit\F-Secure6\FSGUI\fsguidll.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\skanneri.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\WinXPUtit\F-Secure6\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\WinXPUtit\F-Secure6\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\WinXPUtit\quiktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WinXPUtit\Office2000Pre\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Block this popup - C:\WinXPUtit\F-Secure6\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\WinXPUtit\OpenVPN\bin\openvpnserv.exe
O23 - Service: Local Service (System Local Service) - Unknown owner - C:\WINDOWS\system32\Server.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\winxputit\NetDrive\wdService.exe

SmitFraudFix v2.148

Scan done at 14:43:00,19, la 10.03.2007
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End


Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.

Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.jotti.org/

»»»»» Other

»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"POINTER"="point32.exe"
"Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"F-Secure Manager"="\"C:\\WinXPUtit\\F-Secure6\\Common\\FSM32.EXE\" /splash"
"F-Secure TNB"="\"C:\\WinXPUtit\\F-Secure6\\TNB\\TNBUtil.exe\" /CHECKALL /WAITFORSW"
"QuickTime Task"="\"C:\\WinXPUtit\\quiktime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreeRAM XP"="\"C:\\Program Files\\YourWare Solutions\\FreeRAM XP Pro\\FreeRAM XP Pro.exe\" -win"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»
[ + lainaa]
Auttaja
Suspended permanently
_ 		10. maaliskuuta 2007 @ 13:06 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Onks sitä fixwareoutin raporttia? onko vielä popupeja, muita ongelmia?
[ + lainaa]
thetape
Newbie
_ 		10. maaliskuuta 2007 @ 13:52 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Tota eiks se fixwareoutin raportti ole tuossa viimeisenä? :)
Ne popupit on niin pirullisia, että ne ilmestyy vasta kun kone on ollut käyttämättömänä muutaman tunnin. Että vielä ei tiedä onko niistä päästy eroon. Ajanko CCleanerin kumminkin varmuuden vuoksi?
[ + lainaa]
Auttaja
Suspended permanently
_ 		10. maaliskuuta 2007 @ 13:57 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Samapa se, tämä kuullostaa kyllä ystävältämme lopilta, niin tehdäänpä sekin :). Aja vaan CCleaneria, ei siitä haittaa ole, vika on kyll smitfraudin raportti. Päivitä tuo java se saattaa altistaa noille popupeille ohjeet oli edellisessä viestissä. Tuossa osoitteessa se raportti luuraa c:\fixwareout\report.txt


*******************************

lataa ATF Cleaner
http://www.atribune.org/ccount/click.php?id=1

Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman. Main:n alla valitse: Select All
Klikkaa Empty Selected valintaa.
Jos käytät FireFoxia selaimenasi Klikkaa Firefox yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Jos käytät Operaa selaimenasi Klikkaa Opera yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa taas.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Klikkaa Exit päävalikosta sulkeaksesi ohjelman.
Teknistä tukea tulee jos tupla-klikkaat sähköpostiosoitetta joka sijaitsee jokaisen menun alapuolella kyseisessä työkalussa. (Huomatkaa että se tuki on sitten englanniksi)

*************

Lataa NoLop työpöydällesi yhdestä seuraavista linkeistä...
Linkki 1
Linkki 2
Linkki 3

[*]Sulje kaikki ohjelmat, koska tämä vaihe vaatii uudelleenkäynnistyksen
[*]Tuplaklikkaa NoLop.exe ajaaksesi sen
[*]Klikkaa nappulaa "Search and Destroy"
<<Tietokoneesi skannataan saastuneiden tiedostojen osalta>>
[*] Kun skannaus on valmis, sinua pyydetään käynnistämään kone uudestaan, jos infektio löytyy. Klikkaa OK
[*] Klikkaa "REBOOT"-painiketta.
[*] NoLopin pitäisi antaa viesti. Jos ei, tuplaklikkaa ohjelmaa ja se valmistuu. Lähetä C:\NoLop.log-tiedoston sisältö uuden HijackThis-lokin kera.

-- Jos saat seuraavan virheen, "mscomctl.ocx or one of its dependencies are not correctly registered,"
lataa mscomctl.ocx
ja tallenna se system32-hakemistoosi (yleensä c:\Windows\system32). Tämän jälkeen aja ohjelma uudestaan.
[ + lainaa]

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 10. maaliskuuta 2007 @ 14:02
thetape
Newbie
_ 		10. maaliskuuta 2007 @ 14:21 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Ei tainnu löytyä mitään:

NoLop! Log by Skate_Punk_21

Fix running from: C:\Documents and Settings\Nimesi\Työpöytä
[10.3.2007]
[19:05:51]

---Infection Files Found/Removed---
NO INFECTION FILES FOUND - Cleaning Aborted.

---Listing AppData sub directories---

C:\Documents and Settings\All Users\Application Data\Acd Systems
C:\Documents and Settings\All Users\Application Data\Adobe
C:\Documents and Settings\All Users\Application Data\Apple Computer
C:\Documents and Settings\All Users\Application Data\F-secure
C:\Documents and Settings\All Users\Application Data\Kazaa Lite
C:\Documents and Settings\All Users\Application Data\Macromedia
C:\Documents and Settings\All Users\Application Data\Macrovision
C:\Documents and Settings\All Users\Application Data\Microsoft
C:\Documents and Settings\All Users\Application Data\Nview_profiles -- EMPTY Directory
C:\Documents and Settings\All Users\Application Data\Propellerhead Software
C:\Documents and Settings\All Users\Application Data\Quicktime
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
C:\Documents and Settings\Default User\Application Data\Microsoft
C:\Documents and Settings\Järjestelmänvalvoja\Application Data\Lavasoft
C:\Documents and Settings\Järjestelmänvalvoja\Application Data\Microsoft
C:\Documents and Settings\Localservice\Application Data\Macromedia
C:\Documents and Settings\Localservice\Application Data\Microsoft
C:\Documents and Settings\Networkservice\Application Data\Microsoft
C:\Documents and Settings\Nimesi\Application Data\Acd Systems
C:\Documents and Settings\Nimesi\Application Data\Acdintouch -- EMPTY Directory
C:\Documents and Settings\Nimesi\Application Data\Adobe
C:\Documents and Settings\Nimesi\Application Data\Adobeum
C:\Documents and Settings\Nimesi\Application Data\Ahead
C:\Documents and Settings\Nimesi\Application Data\Apple Computer
C:\Documents and Settings\Nimesi\Application Data\Azureus
C:\Documents and Settings\Nimesi\Application Data\F-secure
C:\Documents and Settings\Nimesi\Application Data\Google
C:\Documents and Settings\Nimesi\Application Data\Help -- EMPTY Directory
C:\Documents and Settings\Nimesi\Application Data\Identities
C:\Documents and Settings\Nimesi\Application Data\Jasc Software Inc
C:\Documents and Settings\Nimesi\Application Data\Kazaa Lite
C:\Documents and Settings\Nimesi\Application Data\Lavasoft
C:\Documents and Settings\Nimesi\Application Data\Macromedia
C:\Documents and Settings\Nimesi\Application Data\Microsoft
C:\Documents and Settings\Nimesi\Application Data\Microsoft Web Folders -- EMPTY Directory
C:\Documents and Settings\Nimesi\Application Data\Mozilla
C:\Documents and Settings\Nimesi\Application Data\Propellerhead Software
C:\Documents and Settings\Nimesi\Application Data\Real
C:\Documents and Settings\Nimesi\Application Data\Smartftp
C:\Documents and Settings\Nimesi\Application Data\Sonic Foundry
C:\Documents and Settings\Nimesi\Application Data\Ssh
C:\Documents and Settings\Nimesi\Application Data\Sun
C:\Documents and Settings\Nimesi\Application Data\Talkback
C:\Documents and Settings\Nimesi\Application Data\Utorrent

HjT:

Logfile of HijackThis v1.99.1
Scan saved at 19:21:13, on 10.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\FSGK32.EXE
C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WinXPUtit\F-Secure6\Common\FSMB32.EXE
C:\WinXPUtit\F-Secure6\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\WinXPUtit\F-Secure6\Common\FCH32.EXE
c:\winxputit\NetDrive\wdService.exe
C:\WinXPUtit\F-Secure6\Common\FAMEH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsqh.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsrw.exe
C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
C:\WinXPUtit\F-Secure6\Common\FIH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsav32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WinXPUtit\F-Secure6\Common\FSM32.EXE
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\WINXPU~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\devldr32.exe
C:\WinXPUtit\F-Secure6\FSGUI\fsguidll.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\skanneri.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\WinXPUtit\JRE\bin\ssv.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\WinXPUtit\F-Secure6\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\WinXPUtit\F-Secure6\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\WinXPUtit\quiktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WinXPUtit\JRE\bin\jusched.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WinXPUtit\Office2000Pre\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Block this popup - C:\WinXPUtit\F-Secure6\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WinXPUtit\JRE\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WinXPUtit\JRE\bin\ssv.dll
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\WinXPUtit\OpenVPN\bin\openvpnserv.exe
O23 - Service: Local Service (System Local Service) - Unknown owner - C:\WINDOWS\system32\Server.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\winxputit\NetDrive\wdService.exe
[ + lainaa]
Auttaja
Suspended permanently
_ 		10. maaliskuuta 2007 @ 15:40 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lokisi on kunnossa, hmm, onko sinulla palomuuria windowsin oman lisäksi?
[ + lainaa]
Hujo
Suspended permanently
_ 		10. maaliskuuta 2007 @ 16:33 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
tuo fixsaten
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
[ + lainaa]
Voiko tietsikka koskaan toimia?
thetape
Newbie
_ 		10. maaliskuuta 2007 @ 18:00 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti Auttaja:
Lokisi on kunnossa, hmm, onko sinulla palomuuria windowsin oman lisäksi?
Ei ole. Olisin laittanut Zone-Alarmin joskus, mutta se ei suostunu asentumaan kun on F-Secure koneella.
[ + lainaa]
thetape
Newbie
_ 		11. maaliskuuta 2007 @ 09:26 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Siis on tämä nyt perskele. Aamulla kun tulin koneelle, niin tietenkin iE on avannut jonkun mainossivun. Eikö tästä nyt pääse millään eroon? :(
[ + lainaa]
Auttaja
Suspended permanently
_ 		11. maaliskuuta 2007 @ 09:35 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
http://personal.inet.fi/atk/ensiapu/

Aja tuon ohjeen mukaan F-securen online-skanneri.

http://www.mozilla.fi/wiki/Firefox

Lataa mozilla Firefox

Laita sitten tuo F-Secun raportti tänne, pitäs auttaa! :)
[ + lainaa]
Hujo
Suspended permanently
_ 		11. maaliskuuta 2007 @ 09:50 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
ja jos ei auta niin tuolla päälle
escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.

Laita virus log tänne.

[ + lainaa]
Voiko tietsikka koskaan toimia?
thetape
Newbie
_ 		11. maaliskuuta 2007 @ 14:55 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
"fssm32.exe on havainnut virheen, ja tuote on suljettava."
Tuo tuli F-Securen Clearing vaiheessa.

Nämä tulivat siihen ala-laatikkoon:

File C:\SmitfraudFix\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File D:\Netti\mirc612.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.612. No Action Taken.
File D:\Netti\NETTI2\getright_v4_5a.exe tagged as not-a-virus:AdWare.Win32.Gator.1050. No Action Taken.

Poistin jo noi 2 alinta kun en ees koskaan käytä niitä, mut poistanko myös ton ylimmän?
[ + lainaa]
Hujo
Suspended permanently
_ 		11. maaliskuuta 2007 @ 15:00 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
joo poista smitfraudfix kokonaan.
Se vaihtuu yhtä nopeesti kun mulla sukat :D
[ + lainaa]
Voiko tietsikka koskaan toimia?
thetape
Newbie
_ 		11. maaliskuuta 2007 @ 15:32 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Näistä eScan heitti erroria:

Sun Mar 11 16:57:19 2007 => ERROR!!! Invalid Entry POINTER = point32.exe. Removing it.
Sun Mar 11 16:57:35 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\SchedLgU.Txt
Sun Mar 11 16:57:36 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\WindowsUpdate.log
Sun Mar 11 17:03:42 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\ALLUSE~1\APPLIC~1\MICROS~1\Network\DOWNLO~1\qmgr0.dat
Sun Mar 11 17:03:42 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\ALLUSE~1\APPLIC~1\MICROS~1\Network\DOWNLO~1\qmgr1.dat
Sun Mar 11 17:03:55 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\LOCALS~1\Cookies\index.dat
Sun Mar 11 17:03:56 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\LOCALS~1\LOCALS~1\APPLIC~1\MICROS~1\Windows\UsrClass.dat
Sun Mar 11 17:03:56 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\LOCALS~1\LOCALS~1\APPLIC~1\MICROS~1\Windows\USRCLA~1.LOG
Sun Mar 11 17:03:56 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\LOCALS~1\LOCALS~1\SIVUHI~1\History.IE5\index.dat
Sun Mar 11 17:03:56 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\LOCALS~1\LOCALS~1\TEMPOR~1\Content.IE5\index.dat
Sun Mar 11 17:03:57 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\LOCALS~1\NTUSER.DAT
Sun Mar 11 17:03:57 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\LOCALS~1\NTUSER~1.LOG
Sun Mar 11 17:03:57 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\NETWOR~1\LOCALS~1\APPLIC~1\MICROS~1\Windows\UsrClass.dat
Sun Mar 11 17:03:57 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\NETWOR~1\LOCALS~1\APPLIC~1\MICROS~1\Windows\USRCLA~1.LOG
Sun Mar 11 17:03:58 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\NETWOR~1\NTUSER.DAT
Sun Mar 11 17:03:58 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\NETWOR~1\NTUSER~1.LOG
Sun Mar 11 17:04:34 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\Nimesi\Cookies\index.dat
Sun Mar 11 17:05:20 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\Nimesi\LOCALS~1\APPLIC~1\MICROS~1\Windows\UsrClass.dat
Sun Mar 11 17:05:20 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\Nimesi\LOCALS~1\APPLIC~1\MICROS~1\Windows\USRCLA~1.LOG
Sun Mar 11 17:05:22 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\Nimesi\LOCALS~1\SIVUHI~1\History.IE5\index.dat
Sun Mar 11 17:05:23 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\Nimesi\LOCALS~1\SIVUHI~1\History.IE5\MSE703~1\index.dat
Sun Mar 11 17:05:41 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\Nimesi\LOCALS~1\Temp\PERFLI~1.DAT
Sun Mar 11 17:06:27 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\Nimesi\LOCALS~1\TEMPOR~1\Content.IE5\index.dat
Sun Mar 11 17:07:10 2007 => ERROR!!! ScanFile fails for C:\DOCUME~1\Nimesi\NTUSER~1.LOG
Sun Mar 11 17:19:46 2007 => ERROR!!! FindFirstFile For C:\System Volume Information\*.* Failed!!! Reason is Käyttö estetty. (0x5
Sun Mar 11 17:39:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\SchedLgU.Txt
Sun Mar 11 17:45:56 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\SoftwareDistribution\EventCache\{A0C78EE9-C714-4465-BD6A-C5F52CE61981}.bin
Sun Mar 11 17:45:56 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Sun Mar 11 17:46:14 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\CatRoot2\edb.log
Sun Mar 11 17:46:14 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\CatRoot2\tmp.edb
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\AppEvent.Evt
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\DEFAULT.LOG
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SecEvent.Evt
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SOFTWARE.LOG
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SysEvent.Evt
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
Sun Mar 11 17:46:22 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SYSTEM.LOG
Sun Mar 11 17:50:48 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Sun Mar 11 17:50:48 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP
Sun Mar 11 17:50:48 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER
Sun Mar 11 17:50:48 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Sun Mar 11 17:50:48 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Sun Mar 11 17:50:48 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
Sun Mar 11 17:51:13 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\WindowsUpdate.log
Sun Mar 11 17:53:34 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\Anti-Virus\dbupdate.log
Sun Mar 11 17:53:39 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\Anti-Virus\Qrt.log
Sun Mar 11 17:54:10 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\chandir.dat
Sun Mar 11 17:54:10 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\chandir.idx
Sun Mar 11 17:54:10 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\chn.dat
Sun Mar 11 17:54:10 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\chn.idx
Sun Mar 11 17:54:10 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\D0000000.FCS
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\inuse.txt
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\L0000026.FCS
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\main.log
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\prs.dat
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\prs.idx
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\prs_die.dat
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\prs_die.idx
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\prs_dnd.dat
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\prs_dnd.idx
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\prs_ext.dat
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\prs_ext.idx
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\prs_rcv.dat
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\prs_rcv.idx
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\storydb.dat
Sun Mar 11 17:54:11 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\BackWeb\7681197\Users\Default\Data\storydb.idx
Sun Mar 11 17:54:19 2007 => ERROR!!! ScanFile fails for C:\WinXPUtit\F-Secure6\Common\policy.ipf
Sun Mar 11 19:39:35 2007 => ERROR!!! FindFirstFile For D:\System Volume Information\*.* Failed!!! Reason is Käyttö estetty. (0x5)
Sun Mar 11 19:39:42 2007 => ERROR!!! FindFirstFile For E:\System Volume Information\*.* Failed!!! Reason is Käyttö estetty. (0x5)

Onko noilla mitään väliä? Entäs ne "File xxx having Size Restriction" huomautukset?
[ + lainaa]
thetape
Newbie
_ 		12. maaliskuuta 2007 @ 08:15 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Pitäiskö kokeilla jotakin näistä:

http://www.symantec.com/home_homeoffice/...emovaltools.jsp
[ + lainaa]
Auttaja
Suspended permanently
_ 		12. maaliskuuta 2007 @ 08:53 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Nyt on sellanen tilanne, että neuvot alkaa olla vähissä, ajetaan rootkit skanneri

Lataa http://www.f-secure.com/blacklight/try_blacklight.html ja tallenna Blacklight työpöydällesi;

Tupla-klikkaa blbeta.exe, hyväksy sopimus, klikkaa > Scan, sitten > Next

Näet listan kaikesta mitä löytyi. Työpöydällesi myös ilmestyy loki jonka nimi on fsbl.xxxxxxx.log (xxxxxxx;n tilalla on luultavimmin numeroita).

Kopioi ja liitä tämä loki seuraavaan vastaukseesi. Älä valitse "Rename" optiota vielä! Haluamme nähdä login ensin, koska hyviä tiedostoja saattaa olla mukana, kuten "wbemtest.exe".

***********

Vaihda selaimesi mozillaan (Firefox), sinne siirty sinun suosikkisi ym. asennuksen aikana etkä edes huomaa että jotain muuttuisi paitsi tietoturvasi paranee
[ + lainaa]
Auttaja
Suspended permanently
_ 		12. maaliskuuta 2007 @ 08:57 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Poistetaan viel nämäkin:

C:\Documents and Settings\All Users\Application Data\Kazaa Lite
C:\Documents and Settings\All Users\Application Data\Macromedia

*******************

Lataa LSPFix.exe http://www.cexx.org/lspfix.htm sopivaan kansioon. Vaikkapa työpöytä tai Program Files. ÄLÄ aja tätä ohjelmaa vielä; tätä tulee käyttää VAIN jos Kazaan poistamisen jälkeen katoaa nettiyhteys.

Seuraavaksi lataa http://www.spywareinfo.com/~merijn/files/kazaabegone.zip KazaaBegone.zip, ja unzippaa se sopivaan kansioon, esim Program Fileseihin omaan kansioon (esim C:\Program Filea\KazaaBegone)

Nyt käynnistä KazaaBegone;




Tupla-klikkaa KazaaBegone kansiosta johon sen purit.

Valitse Search & destroy all installed components

Klikkaa Go

Sulje KazaaBegone



JOS menetät nettiyhteytesi kun olet Kazaan poistanut, tupla-klikkaa LSPFix.exe jonka latasit aiemmin. Rastita "I know what I'm doing" valinta. Näet kaksi paneelia; Jos on jotain listattu "Remove" paneeliin oikealla puolella, anna sen olla ja klikkaa "Finish>>". Seuraavaksi käynnistä uudelleen ja netin pitäisi toimia hyvin. Jos mitään ei ole listattu "Remove" paneeliin, ÄLÄ tee MITÄÄN - sulje LSPFix. Tule joltain toiselta koneelta hakemaan lisää neuvoa. (Tämä on vain varotoimenpide)

***********

Tämä voi hyvinkin auttaa.
[ + lainaa]
Mainos
_ 		__
 
_
thetape
Newbie
_ 		12. maaliskuuta 2007 @ 09:13 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Tuollainen tuli:

03/12/07 13:59:05 [Info]: BlackLight Engine 1.0.55 initialized
03/12/07 13:59:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/12/07 13:59:06 [Note]: 7019 4
03/12/07 13:59:06 [Note]: 7005 0
03/12/07 13:59:17 [Note]: 7006 0
03/12/07 13:59:18 [Note]: 7011 1216
03/12/07 13:59:18 [Note]: 7026 0
03/12/07 13:59:18 [Note]: 7026 0
03/12/07 13:59:18 [Note]: 7024 3
03/12/07 13:59:18 [Info]: Hidden process: C:\WINDOWS\system32\mstsc.exe
03/12/07 13:59:25 [Note]: FSRAW library version 1.7.1021


On mulla Mozilla, mutta tämä iE on kivempi. :)

Edit: Poistin ne kansiot ja tein tuon KazaaBeGone:n, tosin toi Kazaa oli joku muinaisjäänne kun olin poistanut sen jo aikoja sitten.
[ + lainaa]

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 12. maaliskuuta 2007 @ 09:26
 
Sivu:12>
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > virukset ja haittaohjelmat - hijackthis -logit > google-cash mainosikkuna ahdistelua
 

Apua ongelmiin: AfterDawnin keskustelualueet | AfterDawnin Vastaukset
Uutiset: IT-alan uutiset | Uutisia puhelimista
Musiikkia: MP3Lizard.com
Tuotearviot: Laitevertailu | Vertaa puhelimia | Vertaa kännykkäliittymiä
Pelit: Pelitiedostot, pelidemot ja trailerit
Ohjelmat: download.fi | AfterDawnin ohjelma-alueet
International: AfterDawn in English | Software downloads | Free, legal MP3s | AfterDawn på svenska
RSS -syötteet: AfterDawnin uutiset | Uusimmat ohjelmapäivitykset | Keskustelualueiden viestit
Tietoja: Tietoa AfterDawn Oy:stä | Mainosta sivuillamme | Sivuston käyttöehdot ja tietoja yksityisyydensuojasta
Ota yhteyttä: Lähetä palautetta | Ota yhteyttä mainosmyyntiimme
 
  © 1999-2025 AfterDawn Oy