1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

HJT logini, viittiskö joku kattoo.

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi Valittaja 29.01.2006.

  1. Valittaja

    Valittaja Guest

    Eli toinen koneeni on aika pahasti saastunut. Joten tässä olisi HJT logi:

    Logfile of HijackThis v1.99.1
    Scan saved at 11:56:47, on 29.1.2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Network Monitor\netmon.exe
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
    C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
    C:\Program Files\Corel\WordPerfect Office 2000\programs\alarm.exe
    C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
    H:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fin.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.4:3128
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O1 - Hosts: localhost 127.0.0.1
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
    O4 - HKLM\..\Run: [Microsoft Windows Update] scvvhost.exe
    O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
    O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\private.exe internat.dll,LoadMouseCarpetProfile
    O4 - HKLM\..\RunServices: [Microsoft Windows Update] scvvhost.exe
    O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels32.exe
    O4 - HKCU\..\Run: [Microsoft Windows Update] scvvhost.exe
    O4 - Startup: CorelCENTRAL Alarms.LNK = C:\Program Files\Corel\WordPerfect Office 2000\programs\alarm.exe
    O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
    O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fin.htm
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.35mb.com/applet/applet_l.cab
    O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://static.35mb.com/applet/applet_y.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://static.35mb.com/applet/applet_o.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1EA2F2E7-1832-473E-883F-CF0BB279D16E}: NameServer = 85.255.114.52,85.255.112.12
    O17 - HKLM\System\CCS\Services\Tcpip\..\{31F0D419-62B9-479B-B119-09F9A04FDAAC}: NameServer = 85.255.114.52,85.255.112.12
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F39C9027-6DEA-467D-AAEA-967971BB89D5}: NameServer = 85.255.114.52,85.255.112.12
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1EA2F2E7-1832-473E-883F-CF0BB279D16E}: NameServer = 85.255.114.52,85.255.112.12
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
     
    Valittaja, 29.01.2006
    #1
  2.  
  3. Tonski

    Tonski Regular member

    Liittynyt:
    18.11.2005
    Viestejä:
    670
    Kiitokset:
    0
    Pisteet:
    26
    Fixaa nämä:

    O1 - Hosts: localhost 127.0.0.1
    O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
    O4 - HKLM\..\Run: [Microsoft Windows Update] scvvhost.exe
    O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\private.exe internat.dll,LoadMouseCarpetProfile
    O4 - HKLM\..\RunServices: [Microsoft Windows Update] scvvhost.exe
    O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels32.exe
    O4 - HKCU\..\Run: [Microsoft Windows Update] scvvhost.exe
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.35mb.com/applet/applet_l.cab
    O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://static.35mb.com/applet/applet_y.cab
    O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://static.35mb.com/applet/applet_o.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1EA2F2E7-1832-473E-883F-CF0BB279D16E}: NameServer = 85.255.114.52,85.255.112.12
    O17 - HKLM\System\CCS\Services\Tcpip\..\{31F0D419-62B9-479B-B119-09F9A04FDAAC}: NameServer = 85.255.114.52,85.255.112.12
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F39C9027-6DEA-467D-AAEA-967971BB89D5}: NameServer = 85.255.114.52,85.255.112.12
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1EA2F2E7-1832-473E-883F-CF0BB279D16E}: NameServer = 85.255.114.52,85.255.112.12
    O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

    Sen jälkeen mene Käynnistä-valikon Suorita-toimintoon ja kirjoita tekstikenttään [bold]services.msc[/bold] niin uuden ikkunan pitäisi aueta. Etsi siinä ikkunassa olevasta listasta tuo NetWork Monitor ja tuplaklikkaa sitä. Paina sitten sitä alhaalla olevaa nappia missä lukee [bold]Seis[/bold], ja aseta toimintatavaksi [bold]Ei käytössä[/bold].

    Sitten pistä piilotiedostot näkyviin, tässä ohje:

    Windows XP

    * Klikkaa Käynnistä.
    * Avaa Oma Tietokone.
    * Valitse Työkalut ylämenusta ja klikkaa Kansion asetukset.
    * Valitse Näytä välilehti.
    * Piilotiedostot/kansiot kohdalla valitse Näytä piilotetut tiedostot ja kansiot.
    * Poista rasti ruudusta -> Piilota suojatut käyttöjärjestelmätiedostot
    * Klikkaa Kyllä varmistaaksesi muutokset.
    * Klikkaa OK.

    Sitten käynnistä kone vikasietotilaan joka onnistuu näin:

    Paina F8 koneen käynnistyksen yhteydessä niin pitkään kunnes eteesi tulee valikko. Ota sen vaihtoehdoista [bold]Vikasietotila[/bold] ja koneesi käynnistyy vikasietotilaan.

    Tässä toinen keino käynnistää vikasietotilaan

    käynnistä -> suorita -> msconfig -> Boot.ini välilehti ja sieltä /safemode kohdalle ruksi -> ok.

    Käynnistä kone uudelleen ja pitäisi aueta vikasietotila.
    Poistettua kansiot tee sama juttu toisinpäin vain eli ruksi pois

    Sitten vikasietotilassa poista nämä tiedostot:

    C:\WINDOWS\System32\[bold]kernels32.exe[/bold]
    C:\WINDOWS\System32\[bold]private.exe[/bold]
    C:\Program Files\Network Monitor\[bold]netmon.exe[/bold]

    Ja koeta etsiä Etsi-toiminnolla tätä tiedostoa:

    [bold]scvvhost.exe[/bold]

    Sinulla näyttää olevan Ewido. Aja kone sillä tämän kaiken jälkeen ja anna poistaa mitä löytää, sekä tallenna Ewidon raportti. Sitten käynnistä kone uudelleen Normaalitilaan ja lähetä uusi HJT-loki [bold]sekä[/bold] Ewidon raportti.
     
    Tonski, 29.01.2006
    #2
  4. Valittaja

    Valittaja Guest

    Mitä teen kun pitää "fixata" noi?
    Poistanko ne tjsp ?
     
    Valittaja, 29.01.2006
    #3
  5. Tonski

    Tonski Regular member

    Liittynyt:
    18.11.2005
    Viestejä:
    670
    Kiitokset:
    0
    Pisteet:
    26
    Eli noiden rivien kohdalle pistät siinä HijackThis-ohjelmassa rastin sinne vasemmalle, ja kun kaikissa noissa riveissä on rastit niin painat alhaalta nappia jossa lukee [bold]Fix checked[/bold] ja sen jälkeen toimi aiemmin antamieni ohjeiden mukaan.
     
    Tonski, 29.01.2006
    #4
  6. Valittaja

    Valittaja Guest

    Noniin eli tässä HJT logi jälkeenpäin:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:34:49, on 29.1.2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
    C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
    C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
    C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\Common\FNRB32.EXE
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\F-Secure\Common\FIH32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
    C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
    C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\Program Files\Corel\WordPerfect Office 2000\programs\alarm.exe
    C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
    C:\WINDOWS\System32\wuauclt.exe
    H:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fin.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.4:3128
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - Startup: CorelCENTRAL Alarms.LNK = C:\Program Files\Corel\WordPerfect Office 2000\programs\alarm.exe
    O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
    O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fin.htm
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

    Ja tässä Ewidon raportti:

    ---------------------------------------------------------
    ewido anti-malware - Scan report
    ---------------------------------------------------------

    + Created on: 14:27:10, 29.1.2006
    + Report-Checksum: 58849D06

    + Scan result:

    C:\System Volume Information\_restore{9E4574A8-9287-4DF8-9874-671EE0C7ED40}\RP327\A0048068.dll -> Spyware.NetNucleus : Cleaned with backup
    C:\System Volume Information\_restore{9E4574A8-9287-4DF8-9874-671EE0C7ED40}\RP327\A0048069.sys -> Spyware.Hijacker.Generic : Cleaned with backup
    C:\System Volume Information\_restore{9E4574A8-9287-4DF8-9874-671EE0C7ED40}\RP327\A0048070.exe -> Downloader.Small.buy : Cleaned with backup
    C:\System Volume Information\_restore{9E4574A8-9287-4DF8-9874-671EE0C7ED40}\RP327\A0048071.exe -> Adware.Casino : Cleaned with backup
    C:\System Volume Information\_restore{9E4574A8-9287-4DF8-9874-671EE0C7ED40}\RP327\A0048072.exe -> Downloader.Small.agq : Cleaned with backup
    C:\System Volume Information\_restore{9E4574A8-9287-4DF8-9874-671EE0C7ED40}\RP327\A0048073.dll -> Spyware.NetNucleus : Cleaned with backup


    ::Report End

    PS. En löytänyt näitä sieltä jtn en poistanut:
    C:\WINDOWS\System32\kernels32.exe
    C:\WINDOWS\System32\private.exe

    Sitten viel että eikai tullut mtn haittaa kun en scannannut tota ewidoa heti vikasietotilassa vaan menin ekaksi normaalitilaan?

    Edit: Ja tässä viel tämmönen ongelma että mites tuon sitten sais pois?
    Toi on jotenkin taustakuvan päällä.. http://img99.imageshack.us/img99/9473/prntscrnisknkone9ue.jpg
     
    Moderaattorin viimeksi muokkaama: 29.01.2006
    Valittaja, 29.01.2006
    #5
  7. Tonski

    Tonski Regular member

    Liittynyt:
    18.11.2005
    Viestejä:
    670
    Kiitokset:
    0
    Pisteet:
    26
    Asetithan varmasti nuo piilotiedostot näkyviin? Saattaa olla että nuo ei nuo tiedostot löytynyt kun ei ollut piilotiedostot näkyvissä...

    Aja sen niminen ohjelma kuin FixWareout. Lataa se linkistä:

    http://downloads.subratam.org/Fixwareout.exe

    Lähetä sitten uusi loki.
     
    Viimeksi muokattu: 29.01.2006
    Tonski, 29.01.2006
    #6
  8. Valittaja

    Valittaja Guest

    Elikkä ajoin ton Fixwareoutin ja anto tämmösen raportin:

    Check for missing files
    .....
    C:\WINDOWS\system32\AUTOEXEC.NT not there
    C:\WINDOWS\repair\autoexec.nt not there
    C:\WINDOWS\repair\Config.nt not present
    .....
    End check for missing files
    .....
    VXD Check
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers]
    "VDD"=hex(7):00
    .....
    End vxd check
    .....
    please post this at the forum


    Ja tässä sitten HJT logi:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:17:01, on 29.1.2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
    C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
    C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
    C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\Program Files\Corel\WordPerfect Office 2000\programs\alarm.exe
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\Common\FNRB32.EXE
    C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
    C:\Program Files\F-Secure\Common\FIH32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
    C:\WINDOWS\System32\wuauclt.exe
    H:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fin.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.4:3128
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - Startup: CorelCENTRAL Alarms.LNK = C:\Program Files\Corel\WordPerfect Office 2000\programs\alarm.exe
    O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
    O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fin.htm
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

     
    Valittaja, 29.01.2006
    #7
  9. Tonski

    Tonski Regular member

    Liittynyt:
    18.11.2005
    Viestejä:
    670
    Kiitokset:
    0
    Pisteet:
    26
    Ihan puhtaanoloiselta tuntuisi. Vieläkö on ollut ongelmia?
     
    Tonski, 29.01.2006
    #8
  10. Valittaja

    Valittaja Guest

    Nyt kone ei enää ole hidas ja nettiinkin pääsee.
    MUTTA edelleenkin tuo desktop näyttää tältä: http://img99.imageshack.us/img99/9473/prntscrnisknkone9ue.jpg miten tuon saisi pois? Se on jotenkin ihmeellisesti taustakuvan päällä, taustakuvasta ei näy mtn muutakun sillon kun sammuttaa koneen niin oikea taustakuva näkyy hetken siinä.. Myöskään hiiren oikealla kun painaa jostain kohtaa niin ei näy sitä valikkoa eikä voi painaa mitään siittä valikosta.
    Siinä on myös jtn linkkei joita voi painaa mutta en todellakaan paina..
     
    Valittaja, 29.01.2006
    #9
  11. spertti

    spertti Active member

    Liittynyt:
    01.06.2005
    Viestejä:
    1,222
    Kiitokset:
    0
    Pisteet:
    66
    Hae täältä -> http://www.billsway.com/vbspage/ registry search tool ja tee haku "desktop.html":llä. Jos antivirus herjaa, anna ajaa.

    Jos ei löydy, tee haku hakusanalla warnhp.html.

    Lähetä registry searchin tulokset.


    Klikkaa työpöydällä oikealla hiiren nappulalla -> ominaisuudet -> työpöytä -> mukauta työpöytää -> web-välilehti.
    Katso, jos siellä on jotain security-juttua, niin poista se. Jos siellä näkyy jotain muuta outoa, niin kerro myös siitä.

     
    spertti, 30.01.2006
    #10
  12. Valittaja

    Valittaja Guest

    No joo ei tota puhtaaks taida saada enään. Tosi toivotonta vääntöä (2 päivää menny jo ton kanssa). Ajattelen nyt järjestelmän palautusta, mutta ei siitä hirveesti tietoo ole. Joten voisko joku kertoo vähän järjestelmän palautuksesta ja antaa vaikka ohjeet siihen?
     
    Valittaja, 30.01.2006
    #11
  13. spertti

    spertti Active member

    Liittynyt:
    01.06.2005
    Viestejä:
    1,222
    Kiitokset:
    0
    Pisteet:
    66
    Teepä nyt noi, mitä ehdotin niin saadaan se kuva pois. Todennäköisesti noi örkit, mitkä ollaan jo poistettu tulee takaisin jos palautat järjestelmän....
     
    spertti, 30.01.2006
    #12
  14. Valittaja

    Valittaja Guest

    Asia hoidettu. Korjaajalle meni kone ja takaisin tuli.
     
    Valittaja, 01.02.2006
    #13
  15. blade81

    blade81 Active member

    Liittynyt:
    29.07.2003
    Viestejä:
    1,287
    Kiitokset:
    0
    Pisteet:
    66
    EDIT ei mitään
     
    Viimeksi muokattu: 01.02.2006
    blade81, 01.02.2006
    #14

Jaa tämä sivu