Mitenkähän saisisn selville, mikä sovellus/prosessi yrittää päästä ulos koneestani. Palomuuriin(ZA) tulee n.12 min välein lähetysyrityksiä, joiden vastaanottajan osoite ei todellakaan ole asiallinen. Virustorjuntana/vahtina Antivir. Olen siivonnut jo konetta seuraavilla: Antivir Ad-Aware Escan CCleaner Joitain troijalaisia on löytynyt ja tuhottu, mutta vielä vaan palomuuri kolisee sisältäpäin. Hijak-lokia: Logfile of HijackThis v1.99.1 Scan saved at 22:13:49, on 26/06/2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\system32\ati2plab.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\Atiptaxx.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\SMC\SMC.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINNT\system32\ctfmon.exe C:\WINNT\system32\ntvdm.exe C:\PROGRA~1\WINPAT~1\WINPAT~1.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Omat Lataukset\HijackThis_v1.99.1.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.ramgo.com/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank F1 - win.ini: run=fntldr.exe F2 - REG:system.ini: UserInit= O2 - BHO: (no name) - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [SMC] C:\SMC\SMC.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\WINPAT~1\winpatrol.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} - O17 - HKLM\System\CCS\Services\Tcpip\..\{A9679533-3D05-4CF4-8439-0D6104A226F4}: NameServer = 193.166.80.16,193.166.234.15 O20 - AppInit_DLLs: c:\winnt\system32\ctlje.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2plab.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe Juhannuksen jälkeisin terveisin
hmm, luulisin että seuraavat voipi fixata: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.ramgo.com/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
Tein ehdotetut muutokset, ei auttanut. Eikä pitänytkään vaikuttaa, koskan käytän selaamiseen Firefoxia 1.5.0.4. Ai niin alusta on W2K Professional (english) varustettuna SP4:llä ja automaattisilla päivityksillä. Kolistelun detaljiksi ZA ilmoittaa NetBIOS session. Lisäehdotuksia? Logfile of HijackThis v1.99.1 Scan saved at 23:18:17, on 26/06/2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\system32\ati2plab.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\Atiptaxx.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\SMC\SMC.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINNT\system32\ctfmon.exe C:\PROGRA~1\WINPAT~1\WINPAT~1.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Omat Lataukset\HijackThis_v1.99.1.exe F1 - win.ini: run=fntldr.exe F2 - REG:system.ini: UserInit= O2 - BHO: (no name) - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [SMC] C:\SMC\SMC.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\WINPAT~1\winpatrol.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} - O17 - HKLM\System\CCS\Services\Tcpip\..\{A9679533-3D05-4CF4-8439-0D6104A226F4}: NameServer = 193.166.80.16,193.166.234.15 O20 - AppInit_DLLs: c:\winnt\system32\ctlje.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2plab.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe
Tuollahan toi mörkö on O20 - AppInit_DLLs: c:\winnt\system32\ctlje.dll Tuo ei kuitenkaan fixaamalla lähde. En nyt muista oliko tuo vundo, vai Look2Me vai joku muu mikä näkyi sattumanvaraisen nimisenä .dll filuna 020 rivillä. Joka tapauksessa älä tee mitään ennenkuin saat ohjeet millä työkalulla tuo örkki poistetaan. Fixaamalla tuo ei nimittäin koneeltasi poistu. Taitaa tuolla olla vielä joku Gatorinkin jämä F1 - win.ini: run=fntldr.exe Katsopa olisiko ohjaupaneelin lisää/poista sovelluksissa Gator nimistä mainosohjelmaa. Jos löytyy, niin poista se. Edit: Lähetä tuo filu C:\WINNT\system32\regsvc.exe http://www.virustotal.com/ sivulle ja laita tulokset seuraavaan viestiisi.
Kiitoksia SPertille neuvoista. Voiko sen "F1 - win.ini: run=fntldr.exe":n hävittää? Vaan Gatoria ei ollut ja eipä mitään tuoltakaan löytynyt: Complete scanning result of "regsvc.exe", received in VirusTotal at 06.27.2006, 00:50:30 (CET). Antivirus Version Update Result AntiVir 6.35.0.16 06.26.2006 no virus found Authentium 4.93.8 06.26.2006 no virus found Avast 4.7.844.0 06.26.2006 no virus found AVG 386 06.26.2006 no virus found BitDefender 7.2 06.27.2006 no virus found CAT-QuickHeal 8.00 06.26.2006 no virus found ClamAV devel-20060426 06.26.2006 no virus found DrWeb 4.33 06.26.2006 no virus found eTrust-InoculateIT 23.72.49 06.25.2006 no virus found eTrust-Vet 12.6.2275 06.26.2006 no virus found Ewido 3.5 06.26.2006 no virus found Fortinet 2.77.0.0 06.27.2006 no virus found F-Prot 3.16f 06.26.2006 no virus found Ikarus 0.2.65.0 06.26.2006 no virus found Kaspersky 4.0.2.24 06.27.2006 no virus found McAfee 4793 06.26.2006 no virus found Microsoft 1.1481 06.25.2006 no virus found NOD32v2 1.1626 06.26.2006 no virus found Norman 5.90.21 06.26.2006 no virus found Panda 9.0.0.4 06.26.2006 no virus found Sophos 4.07.0 06.26.2006 no virus found Symantec 8.0 06.26.2006 no virus found TheHacker 5.9.8.165 06.26.2006 no virus found UNA 1.83 06.23.2006 no virus found VBA32 3.11.0 06.26.2006 no virus found VirusBuster 4.3.7:9 06.25.2006 no virus found Aditional Information File size: 68368 bytes MD5: 250c4ce389783fa2398e3afa4317008c SHA1: 7e55bfcb4daac93380f178d5378e2f9d7f072a0a
Ookke. Vähän arvelinkin, ettei tuosta mörköä löydy, mutta saman niminen troijalainenkin on olemassa, mutta kun en löytänyt polkua missä se yleensä sijaitsee niin käskin tuon tarkistamaan. Tuon F1 - win.ini: run=fntldr.exe voit fixata. Se poistuu tosiaan ihan HjT:llakin. Pahus kun itselläni on kaikki nuo HjT-ohjeet kadonnut kun forkkasin koneen kuukausi takaperin, enkä nyt voi kertoa mikä tuo mörkö 020 rivillä on. Ei se kuitenkaan taida Vundo olla, Fixaa se kuitenkin nyt ensin HjT:lla, ja sen jälkeen kokeillaan poistaa filu KillBoxilla, josko se olisi tuollainen helppo tapaus =) Hae KillBox http://www.bleepingcomputer.com/files/spyware/KillBox.zip Pura,avaa ja täppi kohtaan Delete on Reboot Sitte kopioi rivi tosta alapuolelta c:\winnt\system32\ctlje.dll Sitten KillBoxissa ylhäältä File > Paste from Clipboard Valitse "All Files".Sen jälkeen paina Delete (punainen, jossa on valkonen X) Vastaa myöntävästi kysymyksiin ja jos kone ei itestään käynnisty uudestaan,niin käynnistä se. Lähetä sen jälkeen uus Hijack-logi. Huom. Jos olet bootannut koneen viimeisen lähettämäsi lokin jälkeen tuosta ei ole mitään hyötyä. Tuo paskiainen nimittäin vaihtaa nimeään joka käynnistyksella. Eli jos olet koneen välillä sammuttanut, niin katso uudestaan tuon filun nimim ja muokkaa fixi sen mukaiseksi.
Tehty edelläolevan ohjeen mukaan, alla HJT-loki tempun jälkeen. Outo dll kyllä poistui, mutta palomuuri kolisee edelleen sisältäpäin, n.12min välein yrittää aina samaan osoitteeseen(kiinteä Ip samassa talossa, TOASnet). Ovela veijari tuo troijalainen, missähän se nyt luuraa, itse en keksi. Logfile of HijackThis v1.99.1 Scan saved at 16:13:54, on 27/06/2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\system32\ati2plab.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\Atiptaxx.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\SMC\SMC.exe C:\PROGRA~1\WINPAT~1\winpatrol.exe C:\WINNT\system32\ctfmon.exe C:\Omat Lataukset\HijackThis_v1.99.1.exe F2 - REG:system.ini: UserInit= O2 - BHO: (no name) - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [SMC] C:\SMC\SMC.exe O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\WINPAT~1\winpatrol.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} - O17 - HKLM\System\CCS\Services\Tcpip\..\{A9679533-3D05-4CF4-8439-0D6104A226F4}: NameServer = 193.166.80.16,193.166.234.15 O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2plab.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe
Sori, kun työt estää vähän tätä auttamista =), mutta Ewido on vielä kokeilematta, Eli lataa Ewido, päivitä se, ja anna poistaa kaikki mitä löytyy. Tallenna raportti, ja lähetä se tänne EDIT: Ewidon saat täältä http://www.ewido.net/en/download/ Muista tehdä Full system scan
No vihdoin oli aikaa ladata ja ajaa ewido, seuraavassa tulos. Ei vaikutusta palomuurin rapinaan. --------------------------------------------------------- ewido anti-spyware - Scan Report --------------------------------------------------------- + Created at: 23:47:32 27/06/2006 + Scan result: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Winds_24 -> Adware.CoolWebSearch : Cleaned with backup (quarantined). HKLM\SOFTWARE\Microsoft\Mserv -> Adware.Daemonize : Cleaned with backup (quarantined). C:\WINNT\winsx.dll -> Adware.Puper : Cleaned with backup (quarantined). C:\WINNT\webdlg32.dll -> Adware.SBSoft : Cleaned with backup (quarantined). C:\WINNT\system32\msxmlfilt.dll -> Adware.XmlMimeFilter : Cleaned with backup (quarantined). :mozilla.25:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookies.txt -> TrackingCookie.Statcounter : Cleaned. :mozilla.25:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookiesnew.txt -> TrackingCookie.Statcounter : Cleaned. :mozilla.14:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned. :mozilla.14:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookiesnew.txt -> TrackingCookie.Tradedoubler : Cleaned. :mozilla.15:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned. :mozilla.15:C:\Documents and Settings\Jallu\Application Data\Mozilla\Firefox\Profiles\k6m1uqle.default\cookiesnew.txt -> TrackingCookie.Tradedoubler : Cleaned. ::Report end
Tapoin aikani kuluksi muutamia lisäörkkejä a2:lla ja poistin muutaman tarpeettoman rivin hjt:lla. Sen verran muutosta on tullut, että 12 min intervalli on pidentynyt n 50 minuuttiin. Epäilen kyllä sen johtuvan siitä, että koneeseen on tullut sen verran lisätorjuntaa, että keskusmuisti(192M) alkaa olla täynnä eli swapataan jo. Edelleen kaipaisin softaa,joka kertoisi mikä softa todella yrittää lähettää noita paketteja ulospäin. Tcpview näyttä systeemin touhuavan ihmeteltävän paljon PID 8:lla, mutta tietoni eivät riitä sen asiallisuuden verifiointiin.
