1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

Vähän apuja HiJackThis-login kanssa.

Viestiketju Windows -ongelmat -osiossa. Ketjun avasi Zerath 03.05.2005.

  1. Zerath

    Zerath Member

    Liittynyt:
    02.05.2005
    Viestejä:
    8
    Kiitokset:
    0
    Pisteet:
    11
    Eli siis, koneella on trojania yms. paskaa ja paljon onkin. Mutta pitäisi päästä eroon. Monella ohjelmalla oon koittanut päästä näistä eroon mutta ei niin ei. HJT on kait ratkaisu, mutta tarvin tosiaan apua. Tässäpä logi:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {25DE4583-4C13-47A2-A6C4-CB8ADEBDA93B} - C:\WINDOWS\System32\blnb.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
    O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
    O9 - Extra button: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
    O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
    O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
    O16 - DPF: {563EC66E-5A1B-51D2-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/pop03.chm::/MegaInstaller.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1098441386310
    O18 - Filter: text/html - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll
    O18 - Filter: text/plain - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
    O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

     
    Zerath, 03.05.2005
    #1
  2.  
  3. Zerath

    Zerath Member

    Liittynyt:
    02.05.2005
    Viestejä:
    8
    Kiitokset:
    0
    Pisteet:
    11
    Oho, ei tullut ihan kokonaan. Tuo alku siis on tässä:

    Logfile of HijackThis v1.99.1
    Scan saved at 15:15:29, on 3.5.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\msole32.exe
    C:\WINDOWS\popuper.exe
    C:\WINDOWS\System32\sstray.exe
    C:\Program Files\ASUS\Probe\AsusProb.exe
    C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\Wtablet\TabUserW.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\intmonp.exe
    C:\WINDOWS\System32\Tablet.exe
    C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Opera76\opera.exe
    C:\Program Files\Winamp\winamp.exe
    C:\hijackthis\HijackThis.exe


    Kiittelen jo heti kättelyssä ;)
     
    Zerath, 03.05.2005
    #2
  4. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    No onhan tuolla örkki poikineen, tiedätkö muuten miksi näin on päässyt käymään?
    Syy on örkinmentäviä reikiä täynnä oleva käyttöjärjestelmä(XP),
    koska siellä ei ole ainuttakaan PÄIVITYSTÄ!!

    Laita piilotiedostot näkyviin
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

    Laita Ad-Awaren Ad-Watch manuaalikäytölle ja anna sille lupa tehdä muutokset puhdistuksen aikana, jos se niitä kyselee.

    Hae RegSeeker rekisterin puhdistus ohjelma(Languages napista saat sen Suomenkieliseksi)
    http://www.hoverdesk.net/freeware.htm

    Hae se.dll fixaustyökalu ja pura se työpöydälle
    http://www.derbilk.de/SpSeHjfix112.zip
    Käynnistä ohjelma, ja kone käynnistyy uudelleen. Mene VIKASIETOTILAAN(painele F8 käynnistyksen aikana)

    Sammuta nuo prosessit tehtävienhallinnasta jos löytyvät(Ctrl+Alt+Delete)
    msole32.exe
    popuper.exe
    intmonp.exe

    Scannaa HjT:llä, laita merkki noiden eteen, sulje muut ikkunat ja klikkaa Fix
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {25DE4583-4C13-47A2-A6C4-CB8ADEBDA93B} - C:\WINDOWS\System32\blnb.dll
    O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file)
    O9 - Extra button: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
    O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
    O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
    O16 - DPF: {563EC66E-5A1B-51D2-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/pop03.chm::/MegaInstaller.exe
    O18 - Filter: text/html - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll
    O18 - Filter: text/plain - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll

    Etsi ja poista nuo
    C:\WINDOWS\System32\===>msole32.exe<===
    C:\WINDOWS\===>popuper.exe<===
    C:\WINDOWS\System32\===>intmonp.exe<===
    C:\WINDOWS\System32\===>blnb.dll<===

    Tyhjennä temp kansiot
    Nuo alemmat kaikissa käyttäjätileissä
    C:\Temp
    C:\Windows\Prefetch
    C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5
    C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp

    Normaali käynnistys, puhdista RegSeekerillä ja jos kaikki toimii kunnolla puhdista järjestelmän palautus.
    http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleansystemrestore.shtml

    Laita uusi loki.

     
    Viimeksi muokattu: 03.05.2005
    Toymaatti, 03.05.2005
    #3
  5. extralow

    extralow Active member

    Liittynyt:
    25.05.2003
    Viestejä:
    1,493
    Kiitokset:
    0
    Pisteet:
    66
    Edit
     
    Viimeksi muokattu: 03.05.2005
    extralow, 03.05.2005
    #4
  6. Zerath

    Zerath Member

    Liittynyt:
    02.05.2005
    Viestejä:
    8
    Kiitokset:
    0
    Pisteet:
    11
    Toistaiseksi hyvältä vaikuttaa. Kiitos. Tältä näyttää logi nyt:


    Logfile of HijackThis v1.99.1
    Scan saved at 20:54:51, on 3.5.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\Tablet.exe
    C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
    C:\WINDOWS\System32\sstray.exe
    C:\Program Files\ASUS\Probe\AsusProb.exe
    C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\WINDOWS\system32\Wtablet\TabUserW.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Opera76\opera.exe
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
    O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1098441386310
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
    O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe



     
    Zerath, 03.05.2005
    #5
  7. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    Zerath, fixaa vielä tuo
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    Huomasin vasta nyt että siellähän on kaksi virustorjuntaa AVG ja BitDefender, sammuta toinen ja varmista että se joka jää myöskin toimii. Palomuuria ei näy, onko rautamuuri?
     
    Toymaatti, 03.05.2005
    #6
  8. extralow

    extralow Active member

    Liittynyt:
    25.05.2003
    Viestejä:
    1,493
    Kiitokset:
    0
    Pisteet:
    66
    Entäs minä?
     
    extralow, 03.05.2005
    #7
  9. Zerath

    Zerath Member

    Liittynyt:
    02.05.2005
    Viestejä:
    8
    Kiitokset:
    0
    Pisteet:
    11
    Poistin. Jos meinaat rautamuurilla ns. ulkoista palomuuria niin kyllä. Tuossa hubissa kuuleman mukaan pitäisi olla. Vai reititinkö tuo on. Mutta voisihan sitä jonkun muurin tähänkin hakea, ihan varmuuden vuoksi.
     
    Zerath, 03.05.2005
    #8
  10. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    extralow, siirrä HjT tuonne C:\HjT\HijackThis.exe

    Mikähän ohjelma tuo on?
    C:\PROGRA~1\Ack58NT

    Hae remv3
    http://forums.skads.org/index.php?act=Attach&type=post&id=114
    Pura se C:lle
    Käynnistä vikasietotilaan, tuplaklikkaa remv3.bat.
    Anna scannata ja käynnistä sitten normaalisti.
    Tällä pitäis päästä eroon tuosta rivistä
    O17 - HKLM\System\CCS\Services\Tcpip\..\{696C5FC4-DDCC-4013-ACBD-1786471654B3}: NameServer = 223.223.223.223

    Aja HjT merkkaa nuo, sulje selain ja muut ikkunat, klikkaa Fix
    O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab

    Ja katso häviskö se 017 rivi, jos se löytyy vielä niin koita lähteekö HjT fixillä.
     
    Toymaatti, 03.05.2005
    #9
  11. extralow

    extralow Active member

    Liittynyt:
    25.05.2003
    Viestejä:
    1,493
    Kiitokset:
    0
    Pisteet:
    66
    Kiitos hommat hoitui. :)

    Se on multimedianäppäimistön ohjelma.
    Kiitos.
     
    extralow, 03.05.2005
    #10

Jaa tämä sivu