Google-Cash mainosikkuna ahdistelua

Kun kone on ollut toimettomana muutaman tunnin, niin alkaa ilmaantumaan mainosikkunoita, joiden linkissä on jotain "Google-Cash" viittauksia. Olen ajanut Ad-Awaren, SpyBotin ja F-Securen läpi moneen kertaan, myös vikasietotilassa. Silti eivät vaan häivy!

Tässä HjT-logi:

Logfile of HijackThis v1.99.1
Scan saved at 14:18:48, on 9.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WinXPUtit\F-Secure6\Common\FSM32.EXE
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\FSGK32.EXE
C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fssm32.exe
C:\WinXPUtit\F-Secure6\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\WinXPUtit\F-Secure6\Common\FCH32.EXE
c:\winxputit\NetDrive\wdService.exe
C:\WinXPUtit\F-Secure6\Common\FAMEH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsqh.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsrw.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
C:\WinXPUtit\F-Secure6\Common\FIH32.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsav32.exe
C:\WINXPU~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WinXPUtit\F-Secure6\FSGUI\fsguidll.exe
D:\Netti\utorrent.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Netti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\WinXPUtit\F-Secure6\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\WinXPUtit\F-Secure6\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WinXPUtit\quiktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WinXPUtit\jbuilder\jdk1.4\jre\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [a_usdll] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.dll"
O4 - HKLM\..\RunOnce: [b_usexe] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.exe"
O4 - HKLM\..\RunOnce: [c_usdir] cmd /C "rmdir /Q C:\WINDOWS\system32\Macromed\Download"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WinXPUtit\Office2000Pre\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Block this popup - C:\WinXPUtit\F-Secure6\Anti-Spyware\blockpopups.htm
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\WinXPUtit\OpenVPN\bin\openvpnserv.exe
O23 - Service: Local Service (System Local Service) - Unknown owner - C:\WINDOWS\system32\Server.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\winxputit\NetDrive\wdService.exe

Niin ja kuten tuolta logista näkyy, niin joku ihmeen Yahoo!toolbar on ilmestynyt jostain, jota en saa poistettua "lisää/poista sovelluksia" valikosta.

 

Tässä sama vielä uudestaan "C:\HJT\skanneri.exe" -skannattuna :

Logfile of HijackThis v1.99.1
Scan saved at 14:44:42, on 9.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WinXPUtit\F-Secure6\Common\FSM32.EXE
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\FSGK32.EXE
C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fssm32.exe
C:\WinXPUtit\F-Secure6\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\WinXPUtit\F-Secure6\Common\FCH32.EXE
c:\winxputit\NetDrive\wdService.exe
C:\WinXPUtit\F-Secure6\Common\FAMEH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsqh.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsrw.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
C:\WinXPUtit\F-Secure6\Common\FIH32.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsav32.exe
C:\WINXPU~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WinXPUtit\F-Secure6\FSGUI\fsguidll.exe
D:\Netti\utorrent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\HJT\skanneri.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\WinXPUtit\F-Secure6\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\WinXPUtit\F-Secure6\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WinXPUtit\quiktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WinXPUtit\jbuilder\jdk1.4\jre\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [a_usdll] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.dll"
O4 - HKLM\..\RunOnce: [b_usexe] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.exe"
O4 - HKLM\..\RunOnce: [c_usdir] cmd /C "rmdir /Q C:\WINDOWS\system32\Macromed\Download"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WinXPUtit\Office2000Pre\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Block this popup - C:\WinXPUtit\F-Secure6\Anti-Spyware\blockpopups.htm
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\WinXPUtit\OpenVPN\bin\openvpnserv.exe
O23 - Service: Local Service (System Local Service) - Unknown owner - C:\WINDOWS\system32\Server.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\winxputit\NetDrive\wdService.exe

 

Lataa AVG Anti-Spyware 7.5 ja tallenna ohjelma työpöydällesi.

[*]Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa.
[*]Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää.
[*]Käynnistä AVG Anti-Spyware.
[*]Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta.
[*]Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa.
[*]Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti.
[*]Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine".
[*]Sitten "Reports" valikon alta:
[*]Laita täppi kohtaan "Automatically generate report after every scan"
[*]Ota täppi pois kohdasta"Only if threats were found"


Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.

10. Klikkaa OK jättääksesi Java asetusikkunasi.
[*]Sitten klikkaa "Shield" kuvaketta ikkunan ylälaidassa
[*]"Resident shield is", muuta tila active:sta inactive:ksi
[*]Sulje ohjelma, ÄLÄ skannaa vielä.

****************************************

Avaa HijackThis merkkaa ja fixaa (fix checked) nää rivit:

O4 - HKLM\..\RunOnce: [a_usdll] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.dll"
O4 - HKLM\..\RunOnce: [b_usexe] cmd /C "del C:\WINDOWS\system32\Macromed\Download\Download.exe"
O4 - HKLM\..\RunOnce: [c_usdir] cmd /C "rmdir /Q C:\WINDOWS\system32\Macromed\Download"

*******************

laita piilotiedostot näkyviin

* Avaa Oma Tietokone.
* Valitse Työkalut ylämenusta ja klikkaa Kansion asetukset.
* Valitse Näytä välilehti.
* Piilotiedostot/kansiot kohdalla valitse Näytä piilotetut tiedostot ja kansiot.
* Poista rasti ruudusta -> Piilota suojatut käyttöjärjestelmätiedostot
* Klikkaa Kyllä varmistaaksesi muutokset.
* Klikkaa OK.

*******************

Käynnistä tietokone vikasietotilaan:
1. Käynnistä tietokone uudelleen.
2. Kun tietokone käynnistyy, paina F8-näppäintä.
3. Näyttöön tulee erilaisia käynnistysvaihtoehtoja.
4. Valitse näppäimistön nuolinäppäinten avulla Vikasietotila.
5. Paina ENTER-näppäintä.

*******************

C:\WINDOWS\system32\Macromed\Download\

Poista tuo kansio

****************

HUOM! Älä käytä muita ohjelmia AVG skannauksen aikana, tämä saattaa häiritä skannausta.
[*]Kun vikasietotilassa, käynnistä AVG Anti-Spyware.
[*]Klikkaa "Scanner" kuvaketta ikkunan ylälaidassa ja valitse "Scan" välilehti. Sitten klikkaa "Complete System Scan".
[*]AVG aloittaa nyt tietokoneen skannaamisen, ole kärsivällinen sillä skannaus vie aikaa.
Kun skannaus on valmis:
TÄRKEÄÄ : Älä klikkaa "Save Scan Report" ennen kuin klikkaat "Apply all Actions"
[*]Varmistu, että Set all elements to: näyttää Quarantine (1), jos ei, klikkaa linkkiä ja valitse Quarantine popup-valikosta.
[*]Sinulta kysytään mitä tehdä jos infektioita löytyi, valitse silloin "Apply all actions"

[*]Sitten klikkaa "Reports" kuvaketta ohjelma yläosasta.
[*]Klikkaa "Save report as" painiketta ikkunan vasemmassa alalaidassa ja tallenna raportti työpöydälle.
[*]Sulje ohjelma, käynnistä kone normaalisti ja lähetä AVG:n raportti viestiketjuusi.

****************

Laita uusi HJT-logi

 

---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------

+ Created at: 19:39:38 9.3.2007

+ Scan result:

C:\Documents and Settings\Nimesi\Cookies\nimesi@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@adbrite[2].txt -> TrackingCookie.Adbrite : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@adrevolver[3].txt -> TrackingCookie.Adrevolver : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@atdmt[1].txt -> TrackingCookie.Atdmt : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@ad1.clickhype[1].txt -> TrackingCookie.Clickhype : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Cleaned.
C:\Documents and Settings\Nimesi\Cookies\nimesi@zedo[1].txt -> TrackingCookie.Zedo : Cleaned.

::Report end

Täytyy myöntää että vähän mokailin, taisi olla "delete" vaihtoehto valittuna eikä "quarantine". Koitin tulostaa tuota kuvaa, mutta surkee tulostimeni ei tulostanu sitä kuin puoleen väliin ja vikasietotilan resoluution takia en edes nähnyt tuota "set all elements to" kohtaa. :/ Mites tästä nyt sitten pitäisi jatkaa?

 

Ihan hyvin teit kaiken, laita vielä uusi HijackThis -logi! Ja kerro mitä
ongelmia vielä on

 

Tein eilen vielä tuon CCleaninkin ja se löysi vähän kaikkea. Surutta vaan poistin kaikki. Illalla ajoin Ad-Awaren ja SpyBotin ja ne löysi taas kaikkee bashaa. SpyBot löysi mm. Error Safe härpäkkeitä. Nyt kun tulin aamulla koneelle, niin mainosikkunat olivat taas tehneet esiin marssin. Jotain edistystä on sentäs tapahtunut kun ne eivät voi enään muuttaa iE:n kotisivua omakseen. Mutta mitenkäs tästä eteenpäin että pääsis noista lopullsiesti eroon? Kysymys: uskaltaako näiden vieraiden läsnäollessa käyttää nettipankkia ja sähköposteja?

Logfile of HijackThis v1.99.1
Scan saved at 13:48:38, on 10.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\FSGK32.EXE
C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WinXPUtit\F-Secure6\Common\FSMB32.EXE
C:\WinXPUtit\F-Secure6\BackWeb\7681197\Program\F-Secure Automatic Update.exe
c:\winxputit\NetDrive\wdService.exe
C:\WinXPUtit\F-Secure6\Common\FCH32.EXE
C:\WinXPUtit\F-Secure6\Common\FAMEH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsqh.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsrw.exe
C:\WINDOWS\system32\devldr32.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsav32.exe
C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WinXPUtit\F-Secure6\Common\FSM32.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WinXPUtit\jbuilder\jdk1.4\jre\bin\jusched.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\WinXPUtit\F-Secure6\Common\FIH32.EXE
C:\WINXPU~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WinXPUtit\F-Secure6\FSGUI\fsguidll.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
D:\Netti\utorrent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\skanneri.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\WinXPUtit\F-Secure6\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\WinXPUtit\F-Secure6\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\WinXPUtit\quiktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WinXPUtit\jbuilder\jdk1.4\jre\bin\jusched.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WinXPUtit\Office2000Pre\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Block this popup - C:\WinXPUtit\F-Secure6\Anti-Spyware\blockpopups.htm
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\WinXPUtit\OpenVPN\bin\openvpnserv.exe
O23 - Service: Local Service (System Local Service) - Unknown owner - C:\WINDOWS\system32\Server.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\winxputit\NetDrive\wdService.exe

 

Älä käytä, puhdistetaan ensin:

***************

lataa ATF Cleaner
http://www.atribune.org/ccount/click.php?id=1

Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman. Main:n alla valitse: Select All
Klikkaa Empty Selected valintaa.
Jos käytät FireFoxia selaimenasi Klikkaa Firefox yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Jos käytät Operaa selaimenasi Klikkaa Opera yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa taas.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Klikkaa Exit päävalikosta sulkeaksesi ohjelman.
Teknistä tukea tulee jos tupla-klikkaat sähköpostiosoitetta joka sijaitsee jokaisen menun alapuolella kyseisessä työkalussa. (Huomatkaa että se tuki on sitten englanniksi)

****************

Lataa SmitfraudFix (by S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.zip työpöydällesi.

Printtaa ohjeet ulos tai tallenna nämä tekstitiedostoon.

Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi.

Vikasietotilaan pääset painamalla F8 käynnistyksen alussa piippauksen kuultuasi.

Kun vikasietotilassa, tuplaklikkaa tiedostoa SmitfraudFix.exe
Valitse optio #2 - Clean kirjoittamalla 2 ja painamalla "Enter" poistaaksesi tarttuneet tiedostot.

Sinulta kysytään: "Registry cleaning - Do you want to clean the registry ?"; vastaa "Yes" kirjoittamalla Y ja paina "Enter" poistaaksesi työpöydän taustakuvan ja puhdistaaksesi tarttuneet rekisteriavaimet.

Työkalu tarkistaa jos wininet.dll on tarttunut. Sinua saatetaan pyytää korvaamaan tarttunut .dll (jos löytyy); vastaa "Yes" kirjoittamalla Y ja painamalla "Enter".

Työkalun saattaa tarvita käynnistää kone uudelleen; jos ei tee niin, käynnistä normaaliin Windowsiin.
Tekstitiedosto ilmestyy, puhdistusprosessin jäljiltä; kopioi & liitä tämän raportin tulokset vastaukseesi.
Raportti löytyy paikalliselta levyltäsi, useimmiten C:\rapport.txt.

**********************

1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia.
3. Kun työkalu on valmis, se tuottaa lokin. (C:\ComboFix.txt) Lähetä tämä loki viesti ketjuusi.
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.

********************

Javan päivitys ja välimuistin tyhjennys


1. Klikkaa Käynnistä > Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.
2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
Niissä pitäisi olla seuraava kuva vieressä:
3. Valitse kaikki entiset Java versiosi ja valitse Poista.
4. Asenna uusin Java päivitys seuraavasta linkistä..
5. Käynnistä kone uudelleen asennuksen jälkeen:

http://java.sun.com/javase/downloads/index.jsp

Rullaa alas kohteeseen Java Runtime Environment (JRE) 6

Paina Download

Ruksaa Accept, ota offline installation, tallenna vaikka työpöydälle ja asenna

6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).
7. General Settings -osion alla, vedä liukusäädintä (Disk Space) pienemmälle, ja klikkaa Delete Files nappia.

(Jotkut javapohjaiset ohjelmat saattavat tarvita enemmän levytilaa.
Jos huomaat säädön pienentämisen jälkeen koneessa hitautta, siirrä liusäädintä isommalle).

8. Varmista että kaikki kaksi valintaa ovat rastitettuja:

Applications and Applets

Trace and Log Files

Ok

9. Klikkaa OK "Temporary Files Settings" -ikkunassasi.
Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.
10. Klikkaa OK jättääksesi Java asetusikkunasi.

****************


Lataa fixwareout.exe täältä > http://downloads.subratam.org/Fixwareout.exe
tai täältä >
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe
ja tallenna se työpöydälle. Tuplaklikkaa sitä ja seuraa ohjeita. Klikkaa Next, sitten Install ja varmistu, että "Run fixit" on valittu. Sinun pitää käynnistää kone uudelleen, kun niin käsketään.


***************

Laita lokit ja uusin HJT-logi

 

Nonnih, nyt on kaikki muut tehty paitsi compofix.exe, koska se ei suostunut toimimaan. Tässä tulee logit:

Logfile of HijackThis v1.99.1
Scan saved at 18:00:35, on 10.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\FSGK32.EXE
C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WinXPUtit\F-Secure6\Common\FSMB32.EXE
C:\WinXPUtit\F-Secure6\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\WinXPUtit\F-Secure6\Common\FCH32.EXE
c:\winxputit\NetDrive\wdService.exe
C:\WinXPUtit\F-Secure6\Common\FAMEH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsqh.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsrw.exe
C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
C:\WinXPUtit\F-Secure6\Common\FIH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WinXPUtit\F-Secure6\Common\FSM32.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINXPU~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\devldr32.exe
C:\WinXPUtit\F-Secure6\FSGUI\fsguidll.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\skanneri.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\WinXPUtit\F-Secure6\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\WinXPUtit\F-Secure6\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\WinXPUtit\quiktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WinXPUtit\Office2000Pre\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Block this popup - C:\WinXPUtit\F-Secure6\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\WinXPUtit\OpenVPN\bin\openvpnserv.exe
O23 - Service: Local Service (System Local Service) - Unknown owner - C:\WINDOWS\system32\Server.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\winxputit\NetDrive\wdService.exe

SmitFraudFix v2.148

Scan done at 14:43:00,19, la 10.03.2007
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End


Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.

Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.jotti.org/

»»»»» Other

»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"POINTER"="point32.exe"
"Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"F-Secure Manager"="\"C:\\WinXPUtit\\F-Secure6\\Common\\FSM32.EXE\" /splash"
"F-Secure TNB"="\"C:\\WinXPUtit\\F-Secure6\\TNB\\TNBUtil.exe\" /CHECKALL /WAITFORSW"
"QuickTime Task"="\"C:\\WinXPUtit\\quiktime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreeRAM XP"="\"C:\\Program Files\\YourWare Solutions\\FreeRAM XP Pro\\FreeRAM XP Pro.exe\" -win"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

 

Onks sitä fixwareoutin raporttia? onko vielä popupeja, muita ongelmia?

 

Tota eiks se fixwareoutin raportti ole tuossa viimeisenä?
Ne popupit on niin pirullisia, että ne ilmestyy vasta kun kone on ollut käyttämättömänä muutaman tunnin. Että vielä ei tiedä onko niistä päästy eroon. Ajanko CCleanerin kumminkin varmuuden vuoksi?

 

Samapa se, tämä kuullostaa kyllä ystävältämme lopilta, niin tehdäänpä sekin . Aja vaan CCleaneria, ei siitä haittaa ole, vika on kyll smitfraudin raportti. Päivitä tuo java se saattaa altistaa noille popupeille ohjeet oli edellisessä viestissä. Tuossa osoitteessa se raportti luuraa c:\fixwareout\report.txt


*******************************

lataa ATF Cleaner
http://www.atribune.org/ccount/click.php?id=1

Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman. Main:n alla valitse: Select All
Klikkaa Empty Selected valintaa.
Jos käytät FireFoxia selaimenasi Klikkaa Firefox yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Jos käytät Operaa selaimenasi Klikkaa Opera yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa taas.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.
Klikkaa Exit päävalikosta sulkeaksesi ohjelman.
Teknistä tukea tulee jos tupla-klikkaat sähköpostiosoitetta joka sijaitsee jokaisen menun alapuolella kyseisessä työkalussa. (Huomatkaa että se tuki on sitten englanniksi)

*************

Lataa NoLop työpöydällesi yhdestä seuraavista linkeistä...
Linkki 1
Linkki 2
Linkki 3

[*]Sulje kaikki ohjelmat, koska tämä vaihe vaatii uudelleenkäynnistyksen
[*]Tuplaklikkaa NoLop.exe ajaaksesi sen
[*]Klikkaa nappulaa "Search and Destroy"
<<Tietokoneesi skannataan saastuneiden tiedostojen osalta>>
[*] Kun skannaus on valmis, sinua pyydetään käynnistämään kone uudestaan, jos infektio löytyy. Klikkaa OK
[*] Klikkaa "REBOOT"-painiketta.
[*] NoLopin pitäisi antaa viesti. Jos ei, tuplaklikkaa ohjelmaa ja se valmistuu. Lähetä C:\NoLop.log-tiedoston sisältö uuden HijackThis-lokin kera.

-- Jos saat seuraavan virheen, "mscomctl.ocx or one of its dependencies are not correctly registered,"
lataa mscomctl.ocx
ja tallenna se system32-hakemistoosi (yleensä c:\Windows\system32). Tämän jälkeen aja ohjelma uudestaan.

 

Ei tainnu löytyä mitään:

NoLop! Log by Skate_Punk_21

Fix running from: C:\Documents and Settings\Nimesi\Työpöytä
[10.3.2007]
[19:05:51]

---Infection Files Found/Removed---
NO INFECTION FILES FOUND - Cleaning Aborted.

---Listing AppData sub directories---

C:\Documents and Settings\All Users\Application Data\Acd Systems
C:\Documents and Settings\All Users\Application Data\Adobe
C:\Documents and Settings\All Users\Application Data\Apple Computer
C:\Documents and Settings\All Users\Application Data\F-secure
C:\Documents and Settings\All Users\Application Data\Kazaa Lite
C:\Documents and Settings\All Users\Application Data\Macromedia
C:\Documents and Settings\All Users\Application Data\Macrovision
C:\Documents and Settings\All Users\Application Data\Microsoft
C:\Documents and Settings\All Users\Application Data\Nview_profiles -- EMPTY Directory
C:\Documents and Settings\All Users\Application Data\Propellerhead Software
C:\Documents and Settings\All Users\Application Data\Quicktime
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
C:\Documents and Settings\Default User\Application Data\Microsoft
C:\Documents and Settings\Järjestelmänvalvoja\Application Data\Lavasoft
C:\Documents and Settings\Järjestelmänvalvoja\Application Data\Microsoft
C:\Documents and Settings\Localservice\Application Data\Macromedia
C:\Documents and Settings\Localservice\Application Data\Microsoft
C:\Documents and Settings\Networkservice\Application Data\Microsoft
C:\Documents and Settings\Nimesi\Application Data\Acd Systems
C:\Documents and Settings\Nimesi\Application Data\Acdintouch -- EMPTY Directory
C:\Documents and Settings\Nimesi\Application Data\Adobe
C:\Documents and Settings\Nimesi\Application Data\Adobeum
C:\Documents and Settings\Nimesi\Application Data\Ahead
C:\Documents and Settings\Nimesi\Application Data\Apple Computer
C:\Documents and Settings\Nimesi\Application Data\Azureus
C:\Documents and Settings\Nimesi\Application Data\F-secure
C:\Documents and Settings\Nimesi\Application Data\Google
C:\Documents and Settings\Nimesi\Application Data\Help -- EMPTY Directory
C:\Documents and Settings\Nimesi\Application Data\Identities
C:\Documents and Settings\Nimesi\Application Data\Jasc Software Inc
C:\Documents and Settings\Nimesi\Application Data\Kazaa Lite
C:\Documents and Settings\Nimesi\Application Data\Lavasoft
C:\Documents and Settings\Nimesi\Application Data\Macromedia
C:\Documents and Settings\Nimesi\Application Data\Microsoft
C:\Documents and Settings\Nimesi\Application Data\Microsoft Web Folders -- EMPTY Directory
C:\Documents and Settings\Nimesi\Application Data\Mozilla
C:\Documents and Settings\Nimesi\Application Data\Propellerhead Software
C:\Documents and Settings\Nimesi\Application Data\Real
C:\Documents and Settings\Nimesi\Application Data\Smartftp
C:\Documents and Settings\Nimesi\Application Data\Sonic Foundry
C:\Documents and Settings\Nimesi\Application Data\Ssh
C:\Documents and Settings\Nimesi\Application Data\Sun
C:\Documents and Settings\Nimesi\Application Data\Talkback
C:\Documents and Settings\Nimesi\Application Data\Utorrent

HjT:

Logfile of HijackThis v1.99.1
Scan saved at 19:21:13, on 10.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\FSGK32.EXE
C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WinXPUtit\F-Secure6\Common\FSMB32.EXE
C:\WinXPUtit\F-Secure6\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\WinXPUtit\F-Secure6\Common\FCH32.EXE
c:\winxputit\NetDrive\wdService.exe
C:\WinXPUtit\F-Secure6\Common\FAMEH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsqh.exe
C:\WinXPUtit\F-Secure6\Anti-Virus\fsrw.exe
C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
C:\WinXPUtit\F-Secure6\Common\FIH32.EXE
C:\WinXPUtit\F-Secure6\Anti-Virus\fsav32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WinXPUtit\F-Secure6\Common\FSM32.EXE
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\WINXPU~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\devldr32.exe
C:\WinXPUtit\F-Secure6\FSGUI\fsguidll.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\skanneri.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\WinXPUtit\JRE\bin\ssv.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\WinXPUtit\F-Secure6\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\WinXPUtit\F-Secure6\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\WinXPUtit\quiktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WinXPUtit\JRE\bin\jusched.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\WinXPUtit\Office2000Pre\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Block this popup - C:\WinXPUtit\F-Secure6\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WinXPUtit\JRE\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WinXPUtit\JRE\bin\ssv.dll
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WinXPUtit\F-Secure6\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\WinXPUtit\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\WINXPU~1\F-SECU~1\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\WinXPUtit\F-Secure6\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\WinXPUtit\F-Secure6\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\WinXPUtit\F-Secure6\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\WinXPUtit\OpenVPN\bin\openvpnserv.exe
O23 - Service: Local Service (System Local Service) - Unknown owner - C:\WINDOWS\system32\Server.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\winxputit\NetDrive\wdService.exe

 

Lokisi on kunnossa, hmm, onko sinulla palomuuria windowsin oman lisäksi?

 

tuo fixsaten
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

 

Ei ole. Olisin laittanut Zone-Alarmin joskus, mutta se ei suostunu asentumaan kun on F-Secure koneella.

 

Siis on tämä nyt perskele. Aamulla kun tulin koneelle, niin tietenkin iE on avannut jonkun mainossivun. Eikö tästä nyt pääse millään eroon?

 

http://personal.inet.fi/atk/ensiapu/

Aja tuon ohjeen mukaan F-securen online-skanneri.

http://www.mozilla.fi/wiki/Firefox

Lataa mozilla firefox

Laita sitten tuo F-Secun raportti tänne, pitäs auttaa!

 

ja jos ei auta niin tuolla päälle
escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.

Laita virus log tänne.

 

"fssm32.exe on havainnut virheen, ja tuote on suljettava."
Tuo tuli F-Securen Clearing vaiheessa.

Nämä tulivat siihen ala-laatikkoon:

File C:\SmitfraudFix\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File D:\Netti\mirc612.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.612. No Action Taken.
File D:\Netti\NETTI2\getright_v4_5a.exe tagged as not-a-virus:AdWare.Win32.Gator.1050. No Action Taken.

Poistin jo noi 2 alinta kun en ees koskaan käytä niitä, mut poistanko myös ton ylimmän?

 

joo poista smitfraudfix kokonaan.
Se vaihtuu yhtä nopeesti kun mulla sukat