|
Apua messenger virukseen!
|
|
|
mimiteh
Newbie
|
29. toukokuuta 2008 @ 15:11 |
Linkki tähän viestiin
|
Tyhmänä menin sitten halpaan pari päivää sitten ja onnistuin saamaan jonkinlaisen messenger-viruksen koneelleni. Ties miten monesti olen saanut noita viestejä missä kehotetaan englanniksi painamaan linkkiä ja muuta, mutta nyt sitten ei yhtään käynyt mielessä että se voisi olla virus. Sain nimittäin pikaviestin hyvältä kaveriltani ja siinä luki jotain tyyliin ?oletko sinä tässä?? ja siinä pari hymiötä perässä ja linkki jossa oli mun meseosoite siinä ja muuta. Ja edes sillon ei sisäiset hälytyskellot alkaneet soida kun linkistä avautui ladattava juttu. Vasta kun paketti rupesi latautumaan tajusin virheeni. Norman-virustorjunta tai Zonealarm-palomuuri eivät mitään varoittaneet. No, sitten nopeasti suljin koneen hädissäni. Paketti kuitenkin kerkesi ilmeisesti latautua koneelleni. Koska käytin meseä sen jälkeen ihan normaalisti niin jonkin ajan päästä se jumitti ja alkoi latelemaan kaikille listassa olleilleni tuota samaa viestiä. Siskollani tuli sama homma. Niinpä sitten lopetettiin tuo mesen käyttö ja poistin koko mesen siitä koneesta. Salasanankin vaihdoin, tuskin mitään hyötyä enää.
Löysin jotain keskusteluja samasta asiasta, mutta en kuitenkaan niistä ota neuvoja koska kyseessä voi olla eri virus. Löysin työpöydältä yhden epäilyttävän tiedoston: image23.JPG.www.msnimages, koko 55,5kt, MS-DOS-sovellus
Sitten C-asemalta löytyi pari epäilyttävää myös: sexy ja sxy, molemmat 55,5kt
En ole vielä niitä kokeillut poistaa, mutta epäilisin ettei pelkkä poistaminen riitä. Eli siis apua kaivattaisiin! Ja vielä jos pystyisitte neuvomaan mahdollisimman tarkasti, kun ite en mikään tietokonenero ole, vaikka atk-ajokortti löytyykin. Koneemme on aika vanha ja aika hidas. Muuten toiminu kaikki ihan normaalisti, paitsi tänään ollu netin kanssa ongelmia. Hirveän kauan lataa eikä suostu kaikkia sivustoja avaamaan. Kun yrittää googlettaa niin lataa ja avautuu jotain hiton pokerisivuja. Koko kone tuntuu olevan ihan sekaisin nyt. Windowsin suosittelemana latasin jo jonkun pcturva-ohjelman joka etti hirveesti kaikkia haitallisia tiedostoja. Oisin ne poistanut, mutta huomasin että joukossa oli jotain turvallisia kuvia ja musiikkitiedostoja ym.
Mutta siis mitä tällaisessa tilanteessa pitäisi tehdä? Mikä ohjelma ois hyvä ohjelma etsimään nuo haittatiedostot ja poistamaan? Ja onko mahdollista että tuo aiheuttaa haittaa muulloinkin koneelle kun vain mesen käytön aikana?
Pahoittelen pitkää viestiä.
|
|
Elivood
Newbie
|
29. toukokuuta 2008 @ 19:09 |
Linkki tähän viestiin
|
|
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 29. toukokuuta 2008 @ 22:14
|
|
mimiteh
Newbie
|
29. toukokuuta 2008 @ 23:02 |
Linkki tähän viestiin
|
|
Niin millä noista ohjeista? Kun tuolla näyttää olevan useampi erilainen ohje.
|
|
GooZe
Junior Member
|
30. toukokuuta 2008 @ 14:55 |
Linkki tähän viestiin
|
tuon turvapc ongelma liittyy mesevirukseen. ÄLÄ käytä tai asenna mitään sieltä!
http://keskustelu.afterdawn.com/thread_view.cfm/3/667951
Käy läpi
tuota viestiketjua ja kokeile muiden antamia neuvoja tarkalleen. Tuo msnfix ei oikein auta tässä ongelmassa. SDfix auttoi monilla, mutta jos ei auta, kokeile näitä neuvoja miten itse pääsin viruksesta eroon:
1) Poista välittömästi tallentamasi tiedosto. Tyhjennä sen jälkeen roskakori.
2) Vaihda sähköpostisi/messengerisi salasana
3) Poista Windows Live Messenger
4) Laita viruksen torjuntaohjelmasi skannaamaan koneesi (full scan). Avast toimi parhaiten.
5) Avaa Windows tehtävien hallinta (prosessit)
---Etsi sieltä Winudspm.exe, ja sen jälkeen paina oikeella hiirennäppäimellä "lopeta prosessi".
---Jätä Windows tehtävienhallinta ikkuna auki (ÄLÄ SULJE!)
6) Paina käynnistä -> Etsi -> Kaikki tiedostot ja kansiot -> kirjoita hakuun "Winudspm". Kun tietokone löysi tiedoston(t) paina winudspm.exe oikeella hiirellä ja "Avaa kansion kanssa". Etsi sieltä winudspm.exe tiedosto ja POISTA SE.
---Tyhjennä roskakori
7) Lataa hiJackThis -ohjelma Täältä: http://www.download.fi/tyopoytaohjelmat/.../hijackthis.cfm
---asennettuasi sen, klikkaa HijackThis-kuvaketta.
---Valitse "Do a system scan only"
---etsi sieltä seuraavat rivit:
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Windows UDP Control
---Laita ruksi niihin ja paina "Fix checked" ja sulje ohjelma
---Käynnistä tietokone uudestaan
8) Paina käynnistä -> Etsi -> Kaikki tiedostot ja kansiot -> kirjoita hakuun "sexy.exe". Kun tietokone löysi tiedoston(t) paina sexy.exe oikeella hiirellä ja "Avaa kansion kanssa". Etsi sieltä sexy.exe ja POISTA SE.
---Tyhjennä roskakori
--- Mene uudestaan -> Etsi -> Kaikki tiedostot ja kansiot ->kirjoita kirjoituskohtaan "sexy.com". ja toista sama toiminta kuin edellisessä ohjeessa
--- Tyhjennä roskakori
9) Lataa koneellesi SDfix -ohjelma osoitteesta: http://downloads.andymanchesta.com/RemovalTools/SDFix.zip
--- Tallenna se työpöydällesi ja pura kansio
--- Etsi puretusta kansiosta "RunThis" kuvake ja paina sitä
--- Sulje kaikki ohjelmat ja ikkunat, seuraa SDfixin ruudussa näkyviä ohjeita tarkasti!!
--- Mene kaikki numerot järjestyksessä aina uudestaan entisen loppuessa
10) Lataa "Malwarebytes' Anti-Malware" ohjelma työpöydällesi täältä: http://www.besttechie.net/tools/mbam-setup.exe
* Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
* Lopuksi varmista, että seuraavat on valittu: Update Malwarebytes' Anti-Malware ja Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Finish.
* Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
* Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
* Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
* Varmista, että kaikki on merkitty ja klikkaa Remove Selected.
Käynnistä tietokoneesi uudestaan
11) Varmista, että tietokoneessasi on muukin palomuuri kuin Windowsin oma.
Tässä esimerkiksi yksi varsin toimiva Sygate-palomuuri, jonka voi ladata täältä:
http://www.download.fi/verkko_ohjelmat/p...al_firewall.cfm
---Yleensä tässä vaiheessa virus yrittää päästä nettiin (http.xn--mg-kka.com) explorer.exe:n kautta. Kannattaa siis blokata
tuo yritys tuolla Sygatella jos näin tapahtuu.
Koneesi on puhdas :
-jos Winudspm -tiedostoja, tai sexy-tiedostoja ei löydy enää tietokoneesta
-jos explorer.exe ei yritä nettiin
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 30. toukokuuta 2008 @ 14:56
|
|
Kesshin
Junior Member
|
30. toukokuuta 2008 @ 15:18 |
Linkki tähän viestiin
|
|
Löysin tuolla searchilla winudspm.exe-(jotainnumeroita).pf:n, pitääkö se poistaa? (poistin aikaisemmin winudspm.exen tehtävien hallinasta samalla kun poistin sen UDP control jutun, eivät ole tulleet sitten enään takaisin).
Viruksen torjuntaohjelmani eivät kyllä löydä mitään viruksia enään, oko koneeni puhdas?
|
|
GooZe
Junior Member
|
30. toukokuuta 2008 @ 15:40 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Kesshin:
Löysin tuolla searchilla winudspm.exe-(jotainnumeroita).pf:n, pitääkö se poistaa? (poistin aikaisemmin winudspm.exen tehtävien hallinasta samalla kun poistin sen UDP control jutun, eivät ole tulleet sitten enään takaisin).
Viruksen torjuntaohjelmani eivät kyllä löydä mitään viruksia enään, oko koneeni puhdas?
Joo poista se. Käynnistä koneesi uudestaan ja tarkista ettei winudspm.exet palaa takaisin, eivätkä myöskään sexy.exet.
Skannaa vielä Malwarebytes' Anti-Malware -ohjelmalla full scan!
ja sen jälkeen uusi HJT-loki tänne, sekä Malwarebytesin loki.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 30. toukokuuta 2008 @ 16:07
|
|
nnkoo
Member
|
30. toukokuuta 2008 @ 16:13 |
Linkki tähän viestiin
|
mulla tulee koko ajan että f secure on löytänyt jonkun vakoiluohjelman mutta ei olmeisesti tee asialle mitään.
viesti on seuraavanlainen:
Vakoiluohjelma havaittu:
Tyyppi: adware
Perhe:
Nimi: AdWare.Win32.Virtumonde
Kohde: C:\WINDOWS\system32\ljJDWNFW.dll
Toiminto: Ei mitään.
Tuolla hijackthis ohjelamallan scannattua luettelossa on jotain
bho (no name) hirveästi numeroita ja lopuksi c:windows/system32/ljJDWNFD.dll
Kannattaisiko siis ruksata ja fixata tuo kyseinen kohta hijackillä. En uskalla itse tehdä sillä mitään
|
|
nnkoo
Member
|
30. toukokuuta 2008 @ 16:18 |
Linkki tähän viestiin
|
ja vielä että riittääkö f secure palomuuriksi ja virusten torjuntaan (2008 oem versio) vai kannattaisko asentaa avast. Entäs onko kauhea ratkaisu jos käyttäisin avastia ja f securea yhtä aikaa väliaikaisetsti. sen aikaa kun saan viruksen pois tai formatoin koneen. Pidän f securesta selkeyden ja suomenkielisyyden takia. Sen hyvyydestä en sitten:D
|
|
GooZe
Junior Member
|
30. toukokuuta 2008 @ 16:27 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti nnkoo:
ja vielä että riittääkö f secure palomuuriksi ja virusten torjuntaan (2008 oem versio) vai kannattaisko asentaa avast. Entäs onko kauhea ratkaisu jos käyttäisin avastia ja f securea yhtä aikaa väliaikaisetsti. sen aikaa kun saan viruksen pois tai formatoin koneen. Pidän f securesta selkeyden ja suomenkielisyyden takia. Sen hyvyydestä en sitten:D
Postita tuore HJT-logisi tänne!
ps. älä käytä kahta viruksentorjunta ohjelmaa samanaikaisesti.
|
|
Kesshin
Junior Member
|
30. toukokuuta 2008 @ 17:16 |
Linkki tähän viestiin
|
Okei eli nyt kun tuossa Malwarella tarkistin, niin siinä samalla AVG virustutka (kun se on aina päällä) löysi winudspm.exen Windows tiedostoistani. Pistin "heal" sille (mutta kai se sitten tulee taas takaisin). Sitä ei muuten näy tuolla tehtävien hallinassa vaikka se siitä valitti. Malware taasen ei löytänyt virheitä:
Malwarebytes' Anti-Malware 1.12
Database version: 797
Scan type: Full Scan (C:\|D:\|E:\|G:\|H:\|)
Objects scanned: 190646
Time elapsed: 1 hour(s), 21 minute(s), 12 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
(No malicious items detected)
Ja tässä tuo HJT-logi:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:09:15, on 30.5.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\WINDOWS\system32\CTHELPER.EXE
G:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
G:\Program Files\Winamp\winampa.exe
G:\WINDOWS\CNYHKey.exe
G:\WINDOWS\StopHid.exe
G:\Program Files\Creative\Desktop Wireless\mouse_2k.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
G:\WINDOWS\system32\atwtusb.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
G:\WINDOWS\system32\ctfmon.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\PSIService.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\TBLMOUSE.EXE
G:\Program Files\Mozilla Firefox\firefox.exe
G:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
G:\Program Files\Trend Micro\HijackThis\HijackThis.exe
G:\WINDOWS\system32\NOTEPAD.EXE
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - G:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - G:\Program Files\BitComet\tools\BitCometBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - G:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - G:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "G:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] G:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] G:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AVG7_CC] G:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] G:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "G:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] G:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [CNYHKey] CNYHKey.exe
O4 - HKLM\..\Run: [StopHid] StopHid.exe
O4 - HKLM\..\Run: [CreativeMouse ] G:\Program Files\Creative\Desktop Wireless\mouse_2k.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "G:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] G:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = G:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download All by FlashGet - G:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download all links using BitComet - res://G:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://G:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://G:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Download using FlashGet - G:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: G:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...nt.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Sol...wn.cab31267.cab
O23 - Service: Adobe LM Service - Adobe Systems - G:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: iPod-palvelu (iPod Service) - Unknown owner - G:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - G:\WINDOWS\system32\PSIService.exe
--
End of file - 7174 bytes
Ja minulla tosiaan G-asemalla on kaikki Windows-jutut (C-asema on seonnut ja tyhjä asema). Ennen tietokoneeni löysi C-asemalta viruksia, mutta nyt tuo winudspm.exe löytyi tosiaan sieltä G-aseman jutuista.
|
|
GooZe
Junior Member
|
30. toukokuuta 2008 @ 17:56 |
Linkki tähän viestiin
|
Poista HJT:llä seuraavat rivit:
Hyvä, ettei Malwarebytesillä löytynyt trojan agenttia. Pelkäsin jo.
Seuraavaksi fiksaa seuraavat rivit HJT:llä:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
---------------
Laita resurssien hallinta päälle ja mene
Käynnistä -> Etsi -> kaikki tiedostot ja kansiot -> kirjoita ylempään kohtaan winudspm.
Kun kone löytää ne, avaa jokainen tiedosto kansion kanssa, ja etsi niistä kansiosta KAIKKI winudspm tiedostot ja poista ne
(HUOM resurssien hallinta edelleen päällä!)
Käynnistä tietokone uudelleen ja toista sama etsintä prosessi. Jos winudpm löytyi taas jostain,
tee seuraava:
Lataa SDfix.zip
1) lataa ja pura paketti kovalevyllesi
2) käynnistä kone vikasietotilassa
3) aja ohjelma
4) ohjelma käynnistää koneen uudelleen normaalisti
5) uudelleenkäynnistyksen jälkeen ohjelma ruksuttaa vielä hetken
Tuon operaation jälkeen postaa uusi HJT-logisi.
|
|
Kesshin
Junior Member
|
30. toukokuuta 2008 @ 18:55 |
Linkki tähän viestiin
|
Fiksasin nuo ja käytin tuota searchia, mutten löytänyt kumpanakaan kertana yhtään winudspm tiedostoa. Tein kumminkin tuon SDfixin.
Tässä uusi HJT-logi:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:51, on 30.5.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\PSIService.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\notepad.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\WINDOWS\system32\CTHELPER.EXE
G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
G:\Program Files\Winamp\winampa.exe
G:\WINDOWS\mHotkey.exe
G:\WINDOWS\CNYHKey.exe
G:\WINDOWS\StopHid.exe
G:\Program Files\Creative\Desktop Wireless\mouse_2k.exe
G:\WINDOWS\system32\atwtusb.exe
G:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
G:\WINDOWS\system32\ctfmon.exe
G:\WINDOWS\system32\TBLMOUSE.EXE
G:\Program Files\Trend Micro\HijackThis\HijackThis.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Program Files\Mozilla Firefox\firefox.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - G:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - G:\Program Files\BitComet\tools\BitCometBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - G:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - G:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "G:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] G:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] G:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AVG7_CC] G:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] G:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "G:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] G:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [CNYHKey] CNYHKey.exe
O4 - HKLM\..\Run: [StopHid] StopHid.exe
O4 - HKLM\..\Run: [CreativeMouse ] G:\Program Files\Creative\Desktop Wireless\mouse_2k.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "G:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] G:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = G:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download All by FlashGet - G:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download all links using BitComet - res://G:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://G:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://G:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Download using FlashGet - G:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: G:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...nt.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Sol...wn.cab31267.cab
O23 - Service: Adobe LM Service - Adobe Systems - G:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: iPod-palvelu (iPod Service) - Unknown owner - G:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - G:\WINDOWS\system32\PSIService.exe
O23 - Service: Messengerin jaettavien kansioiden USN Journal -lokin lukupalvelu (usnjsvc) - Unknown owner - G:\Program Files\Windows Live\Messenger\usnsvc.exe (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - G:\Program Files\Windows Live\installer\WLSetupSvc.exe (file missing)
--
End of file - 7437 bytes
Ja kiitos kovasti avustasi =)!
|
|
laspa
Member
|
30. toukokuuta 2008 @ 19:43 |
Linkki tähän viestiin
|
|
eipä mitään sittenkää..
AXP2600+; 1,5gt ddr-sdram; RAdeon 9600XT; 40+80+120 hdd; DVD-RW; 22" CRT; Win7 Ultimate
FujitsuSiemens Lifebook S7010; Centrino 1,5GHz; 1gt ddr-sdram; 40GB hdd; dvd/cd-rw combo; 14,1" tft; WinXP Pro
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 30. toukokuuta 2008 @ 19:44
|
|
Kesshin
Junior Member
|
30. toukokuuta 2008 @ 19:45 |
Linkki tähän viestiin
|
|
Aa, poistin muuten tuon live mesen vasta tuossa äskettäin, siitä varmaan johtunee nuo (file missing)t.
|
|
nnkoo
Member
|
30. toukokuuta 2008 @ 21:22 |
Linkki tähän viestiin
|
Edit: f secure sai ilmeisesti jotain tehtyä mutta edelleen joku turva pc juttu herjaa eikä automaattiset päivitykset toimi. Kun koitin laittaa suorita->services.msc ja tuolta palveluksista automaattisia päivityksia päälle niin tuli joku virhe 1058 palvelua ei voi käynnistää koska se on poistettu käytöstä tai siihe ei liity käutössä olevia laitteita. Automaattisten päivityksien tiedoston polku on C:\WINDOWS\system32\svchost.exe -k netsvcs.
tässä siis uusin hjt loki
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:07:00, on 30.5.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\FSAUA\program\fsaua.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Internet Security\FSAUA\program\fsus.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\Safari\Safari.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [09541673] rundll32.exe "C:\WINDOWS\system32\abqgnfie.dll",b
O4 - HKLM\..\Run: [BM0a6725ef] Rundll32.exe "C:\WINDOWS\system32\cpbsfaos.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fi-fi\msntb.dll/search.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Avaa uuteen etuvälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/230?bac4afe96f934b35933db97f06032be
O8 - Extra context menu item: Avaa uuteen taustavälilehteen - res://C:\Program Files\Windows Live Toolbar\Components\fi-fi\msntabres.dll.mui/229?bac4afe96f934b35933db97f06032be
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: V&ie Microsoft Exceliin - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Lähetä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Läh&etä OneNoteen - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/2007...ex/qtplugin.cab
O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.3/g_bin/eng/roulette_2_0_0_21.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by115fd.bay115.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/eng/poker_2_0_0_49.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...nt.cab31267.cab
O16 - DPF: {A1FE3DEF-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Pirate) - http://67.15.101.3/g_bin/eng/pirate_2_0_0_27.cab
O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://67.15.101.3/g_bin/eng/slots70_2_0_0_30.cab
O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://67.15.101.3/g_bin/eng/darts_2_0_0_35.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by21fd.bay21.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_28.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://67.15.101.3/g_bin/eng/billardt_2_0_0_28.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_28.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Download Manager -ohjelman säätö) - http://dlm.tools.akamai.com/dlmanager/ve...vex-2.2.1.6.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-palvelu (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 12195 bytes
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 30. toukokuuta 2008 @ 22:08
|
|
Marree
Suspended due to non-functional email address
|
31. toukokuuta 2008 @ 00:19 |
Linkki tähän viestiin
|
|
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Tuota en löytäny HijackThis:sta
Kun taas tämän löysin
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Windows UDP Control
Kaiken muun olen tehnykkin melkee jo, mutta kun avaan koneen tulee se sama juttu niinku monilla...
Sexy-tiedostoja myöskään en löytänyt koneelta...
IIK! Tarviin apua äkkiä.
|
|
GooZe
Junior Member
|
31. toukokuuta 2008 @ 10:55 |
Linkki tähän viestiin
|
|
Kesshin
Mesemato taisi lähteä, kun se ei nää palaa. Hyvä jos sexy.exe/comit ovat poissa. Pahin on jo ohi.
Onko kone toiminut nyt paremmin? Tee vielä perusteellinen virus skannaus viruksentorjunta ohjelmallasi. Jos mitään ei löydy, virus on sinun osaltasi poistettu!
|
|
GooZe
Junior Member
|
31. toukokuuta 2008 @ 11:04 |
Linkki tähän viestiin
|
nnkoo:
Fixaa HJT:llä nämä:
O4 - HKLM\..\Run: [09541673] rundll32.exe "C:\WINDOWS\system32\abqgnfie.dll",b
O4 - HKLM\..\Run: [BM0a6725ef] Rundll32.exe "C:\WINDOWS\system32\cpbsfaos.dll",s
Lataa koneellesi SDfix ohjelma Täältä
--- Tallenna se työpöydällesi ja pura kansio
--- Etsi puretusta kansiosta "RunThis" kuvake ja paina sitä
--- Sulje kaikki ohjelmat ja ikkunat, seuraa SDfixin ruudussa näkyviä ohjeita tarkasti!!
--- Mene kaikki numerot järjestyksessä aina uudestaan entisen loppuessa
Jos ohjelma ei käynnistä konetta uudelleen, käynnistä itse.
Sen jälkeen lataa "Malwarebytes' Anti-Malware" ohjelma Täältä
* Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
* Lopuksi varmista, että seuraavat on valittu: Update Malwarebytes' Anti-Malware ja Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Finish.
* Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
* Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
* Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
* Varmista, että kaikki on merkitty ja klikkaa Remove Selected.
Postita tänne Malwarebytesin logi, sekä HJT:n logi.
|
|
Marree
Suspended due to non-functional email address
|
31. toukokuuta 2008 @ 11:39 |
Linkki tähän viestiin
|
Noista sexy-tiedostoista pikkasen että, en ole löytänyt edes, kun menin ohjeitten mukaan...
Vain tämän löysi Winudspm.exe, mutta en löytänyt sitä prosesseista.
O4 - HKLM\..\Run: [09541673] rundll32.exe "C:\WINDOWS\system32\abqgnfie.dll",b
O4 - HKLM\..\Run: [BM0a6725ef] Rundll32.exe "C:\WINDOWS\system32\cpbsfaos.dll",s
noitakaan en löytänyt....
Kone on mennyt paremmin kyllä, eli pahin ohi, mutta se joka tulee valittaa on kait explorer.exe
Tuota yhtä kohtaa en ole tehnyt....
11) Varmista, että tietokoneessasi on muukin palomuuri kuin Windowsin oma.
Tässä esimerkiksi yksi varsin toimiva Sygate-palomuuri, jonka voi ladata täältä:
http://www.download.fi/verkko_ohjelmat/p...al_firewall.cfm
Pitääkö pistää palomuurini pois päältä siksi aikaa (ZoneAlarm) ja pistää tämä kyseinen Sygate tilalle....
btw. Onko Sygate hyvä palomuuri, että se olisi luotettava/helpokäyttönen, voisin ehkä vaihtaa palomuuria
Itsellä on huono englannin kielitaito, niinpä käytän viirustorjunta ohjelmana avastia.
|
|
Kesshin
Junior Member
|
31. toukokuuta 2008 @ 17:53 |
Linkki tähän viestiin
|
Tein Malwarella tuossa full scan:in (vikasietotilassa) eikä se löytänyt viruksia, AVG tuossa vielä skannaa muttei sekään tunnu löytävän mitään, joten toivon mukaan virus nyt tosiaan on poissa.
Ja itse asiassa tietokoneeni ei ole missään vaiheessa seonnut/hidastellut tai mitään, ihan tavallisesti toiminut. Explorerkaan ei ole yrittänyt yhdistää mihinkään (tai ainakaan en ole huomannut? Ihan tavallisesti toiminut, niin ei kai se mitään ole yrittänyt). Mutta ehkä se johtuu tosiaan siitä että minulla on nuo asemat vähän oudosti...
Mutta kiitoskiitoskiitos vielä tosi paljon avustasi!
|
|
Mainos
|
|
|
|
GooZe
Junior Member
|
31. toukokuuta 2008 @ 17:58 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Marree:
Noista sexy-tiedostoista pikkasen että, en ole löytänyt edes, kun menin ohjeitten mukaan...
Vain tämän löysi Winudspm.exe, mutta en löytänyt sitä prosesseista.
O4 - HKLM\..\Run: [09541673] rundll32.exe "C:\WINDOWS\system32\abqgnfie.dll",b
O4 - HKLM\..\Run: [BM0a6725ef] Rundll32.exe "C:\WINDOWS\system32\cpbsfaos.dll",s
noitakaan en löytänyt....
Kone on mennyt paremmin kyllä, eli pahin ohi, mutta se joka tulee valittaa on kait explorer.exe
Tuota yhtä kohtaa en ole tehnyt....
11) Varmista, että tietokoneessasi on muukin palomuuri kuin Windowsin oma.
Tässä esimerkiksi yksi varsin toimiva Sygate-palomuuri, jonka voi ladata täältä:
http://www.download.fi/verkko_ohjelmat/p...al_firewall.cfm
Pitääkö pistää palomuurini pois päältä siksi aikaa (ZoneAlarm) ja pistää tämä kyseinen Sygate tilalle....
btw. Onko Sygate hyvä palomuuri, että se olisi luotettava/helpokäyttönen, voisin ehkä vaihtaa palomuuria
Itsellä on huono englannin kielitaito, niinpä käytän viirustorjunta ohjelmana avastia.
Älä sekoita kirjoittamiani viestejä keskenään!
Katso jos ZoneAlarm ilmoittaa että explorer.exe yrittää päästä nettiin. jos näin --> estä se.
Joillakin ZoneAlarm lakkasi toimimasta viruksen takia.
Noudatitko ohjeitani?
5) Avaa Windows tehtävien hallinta (prosessit)
---Etsi sieltä Winudspm.exe, ja sen jälkeen paina oikeella hiirennäppäimellä "lopeta prosessi".
---Jätä Windows tehtävienhallinta ikkuna auki (ÄLÄ SULJE!)
6) Paina käynnistä -> Etsi -> Kaikki tiedostot ja kansiot -> kirjoita hakuun "Winudspm". Kun tietokone löysi tiedoston(t) paina winudspm.exe oikeella hiirellä ja "Avaa kansion kanssa". Etsi sieltä winudspm.exe tiedosto ja POISTA SE.
---Tyhjennä roskakori
|
