APUA! startpage.19.j se.dll

Tämä voi olla aika hankala poistettava mutta kokeillaan.
Mites jos se ei lähde HjT:llä fixaamalla niin uskalletaanko poistaa se työkalulla, joka voi sekoittaa koneen, se on harvinaista mutta mahdollista?

Laita piilotiedostot näkyviin
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Poista Lisää/Poista sovelluksesta
MYSEARCH

Käynnistä VIKASIETOTILAAN, aja HjT, laita merkki noiden eteen, sammuta muut ohjelmat ja klikkaa Fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\OHJELMATIEDOSTOT\MYSEARCH\BAR\1.BIN\S4BAR.DLL
O2 - BHO: (no name) - {050AFC07-B3EC-11D9-BF14-000F67DB2ADF} - C:\WINDOWS\SYSTEM\GEPH.DLL
O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\OHJELMATIEDOSTOT\MYSEARCH\BAR\1.BIN\S4BAR.DLL
O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab
O18 - Filter: text/html - {050AFC06-B3EC-11D9-BF14-000F08978F44} - C:\WINDOWS\SYSTEM\GEPH.DLL
O18 - Filter: text/plain - {050AFC06-B3EC-11D9-BF14-000F08978F44} - C:\WINDOWS\SYSTEM\GEPH.DLL

Jos 04 riveiltä löytyy C:\WINDOWS\TEMP\se.dll niin fixaa se myös.

Etsi ja poista nuo
C:\OHJELMATIEDOSTOT\===>MYSEARCH<===
C:\WINDOWS\SYSTEM\===>GEPH.DLL<===

Mene C:\WINDOWS\TEMP\ kansioon ja poista sieltä KAIKKI POIS

Käynnistele normaalisti parikolme kertaa ja laita uusi loki.

 

Nyt näyttäisi tältä... Ei ainakaan virusohjelma valita enää. Olisiko jopa poistunut...

Logfile of HijackThis v1.99.1
Scan saved at 9:29:02, on 26.4.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\COMMON\FSMA32.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\COMMON\FSMB32.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\COMMON\FCH32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\COMMON\FNRB32.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\COMMON\FAMEH32.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\COMMON\FIH32.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\ANTI-VIRUS\FSGK32.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\ANTI-VIRUS\FSSM32.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\ANTI-VIRUS\FSAV32.EXE
C:\MSP6E6L\WSWPD.EXE
C:\MSP6E6L\WSNET.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\OHJELMATIEDOSTOT\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\OHJELMATIEDOSTOT\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\OHJELMATIEDOSTOT\CREATIVE\LAUNCHER\CTLAUNCHER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\OHJELMATIEDOSTOT\D-TOOLS\DAEMON.EXE
C:\OHJELMATIEDOSTOT\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\ICQLITE\ICQLITE.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\COMMON\FSM32.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\OHJELMATIEDOSTOT\F-SECURE\BACKWEB\7681197\PROGRAM\BACKWEB-7681197.EXE
C:\OHJELMATIEDOSTOT\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
C:\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mikseri.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.soneraplaza.fi
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Sonera Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;*.*.fi;*.*.*.fi;;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
F1 - win.ini: run=C:\MSP6E6L\WSWPD.EXE
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\OHJELMATIEDOSTOT\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: ShowDHLToolbar Class - {905BEDEF-14B4-4B49-A97A-875326A61911} - C:\Ohjelmatiedostot\DHL\DHLToolbar\DHL Worldwide Airwaybill Tracking Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\OHJELMATIEDOSTOT\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: DHL Toolbar - {82CC2983-CA87-4D46-B33B-D285BD667A56} - C:\Ohjelmatiedostot\DHL\DHLToolbar\DHL Worldwide Airwaybill Tracking Toolbar.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,UpdateRegSettings
O4 - HKLM\..\Run: [Disc Detector] C:\Ohjelmatiedostot\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Ohjelmatiedostot\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [Creative Launcher] C:\Ohjelmatiedostot\Creative\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Ohjelmatiedostot\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] C:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Ohjelmatiedostot\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [fsaa] C:\Ohjelmatiedostot\F-Secure\Common\fsaa.exe
O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\Ohjelmatiedostot\F-Secure\Common\FSMA32.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Ohjelmatiedostot\InterVideo\Common\bin\WinCinemaMgr.exe
O4 - Global Startup: F-Secure BackWeb.lnk = C:\Ohjelmatiedostot\F-Secure\BackWeb\7681197\6.1.4.55-7681197L\Program\backweb.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra button: Show/Hide DHL Toolbar - {82CC2983-CA87-4D46-B33B-D285BD667A56} - C:\Ohjelmatiedostot\DHL\DHLToolbar\DHL Worldwide Airwaybill Tracking Toolbar.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Ohjelmatiedostot\Java\jre1.5.0_02\bin\npjpi150_02.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.soneraplaza.fi
O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} (Measurement Service Client) - http://ccon.madonion.com/global/msc.cab
O16 - DPF: {B0C77EBC-5250-4913-A245-BFA796A36C72} - http://toolbar.dhl.com/setup_ext_v1.cab

 

Loki näyttää nyt hyvältä Ollaan varovaisen toiveikkaita että se myös pysyy sellaisena Jos ei vielä ole niin hae SpywareBlaster lisäsuojaksi.
http://koti.mbnet.fi/pattaya1/spywareblaster.htm

Niin ja rekisterin siivous olisi myös paikallaan esim. RegSeekerillä.
http://keskustelu.afterdawn.com/thread_view.cfm/162275

 

Sama probleema, eli se.dll kummitteleee, aivan kuin aikaisemmilla, mutta en tiedä mitkä kohdat rekisteristä pitäs poistaa, eli mikähän noista on saastunutta?


Logfile of HijackThis v1.99.1
Scan saved at 16:14:32, on 26.4.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\FI\MSNAPPAU.EXE
C:\OHJELMATIEDOSTOT\GRISOFT\AVG FREE\AVGCC.EXE
C:\OHJELMATIEDOSTOT\GRISOFT\AVG FREE\AVGEMC.EXE
C:\OHJELMATIEDOSTOT\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\REAL\UPDATE_OB\REALSCHED.EXE
C:\OHJELMATIEDOSTOT\SETI@HOME\SETI@HOME.EXE
C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE
D:\OHJELMATIEDOSTOT\UUSSTEAM\STEAM\STEAM.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\OHJELMATIEDOSTOT\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TYöPöYTä\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\OHJELMATIEDOSTOT\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FI\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL
O2 - BHO: (no name) - {E211C421-B659-11D9-85BD-0040544CE458} - C:\WINDOWS\SYSTEM\DOKH.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Ohjelmatiedostot\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FI\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AudioHQ] C:\Ohjelmatiedostot\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmcService] C:\OHJELM~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Ohjelmatiedostot\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\OHJELM~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001\fi\msnappau.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\OHJELM~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\OHJELM~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\OHJELM~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [seticlient] C:\Ohjelmatiedostot\SETI@home\SETI@home.exe -min
O4 - HKLM\..\Run: [StarMap by Tobias Wahl] C:\OHJELMATIEDOSTOT\SETI@HOME\STARMAP.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Ohjelmatiedostot\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "d:\ohjelmatiedostot\uussteam\steam\steam.exe" -silent
O4 - Startup: Digimax Viewer 1.0.lnk = C:\Ohjelmatiedostot\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe
O4 - Startup: Works Kalenterin muistutukset.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Free WebSite Tools.lnk = C:\Ohjelmatiedostot\CoffeeCup Software\CoffeeCup Free DHTML Menu Builder\ThirtyDayTimer.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Filter: text/html - {E211C420-B659-11D9-85BD-00403B0041C3} - C:\WINDOWS\SYSTEM\DOKH.DLL
O18 - Filter: text/plain - {E211C420-B659-11D9-85BD-00403B0041C3} - C:\WINDOWS\SYSTEM\DOKH.DLL

 

Siirrä HjT kansioineen työpöydältä C:n juureen näin C:\HJT\HIJACKTHIS.EXE

Laita piilotiedostot näkyviin

Poista Lisää/Poista sovelluksesta
MyWay
NewDotNet tai New.Net

Käynnistä VIKASIETOTILAAN, aja HjT, merkkaa nuo, sulje muut ohjelmat ja klikkaa Fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\OHJELMATIEDOSTOT\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL
O2 - BHO: (no name) - {E211C421-B659-11D9-85BD-0040544CE458} - C:\WINDOWS\SYSTEM\DOKH.DLL
O3 - Toolbar: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\OHJELM~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O18 - Filter: text/html - {E211C420-B659-11D9-85BD-00403B0041C3} - C:\WINDOWS\SYSTEM\DOKH.DLL
O18 - Filter: text/plain - {E211C420-B659-11D9-85BD-00403B0041C3} - C:\WINDOWS\SYSTEM\DOKH.DLL
Jos 04 riveiltä löytyy C:\WINDOWS\TEMP\se.dll niin merkkaa sekin

Etsi ja poista nuo
C:\OHJELMATIEDOSTOT\===>MYWAY<===kansio
C:\WINDOWS\SYSTEM\===>DOKH.DLL<===
C:\OHJELMATIEDOSTOT\===>NEWDOTNET<===kansio
Tyhjennä tuo temp kansio C:\WINDOWS\TEMP

Käynnistä normaalisti, käyttele, boottaile ja laita uusi loki.
Pidetään peukkuja että se läks

 

Kiitoksia oikein paljon neuvoista Toymaatti. Ilmeisesti tämä nyt on ihan kunnossa...=)

Se blokkasi nettiyhteyden sen jälkeen (joku LSP) kun olin toiminut ohjeittesi mukaan ja boottasin koneen ekaan kertaan. Onneksi koneelta löytyi Spybot S&D, joka korjas tilanteen.

UUSIN LOGI:
Logfile of HijackThis v1.99.1
Scan saved at 19:16:38, on 26.4.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\OHJELMATIEDOSTOT\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\OHJELMATIEDOSTOT\D-TOOLS\DAEMON.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\FI\MSNAPPAU.EXE
C:\OHJELMATIEDOSTOT\GRISOFT\AVG FREE\AVGCC.EXE
C:\OHJELMATIEDOSTOT\GRISOFT\AVG FREE\AVGEMC.EXE
C:\OHJELMATIEDOSTOT\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\REAL\UPDATE_OB\REALSCHED.EXE
C:\OHJELMATIEDOSTOT\SETI@HOME\STARMAP.EXE
C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE
C:\OHJELMATIEDOSTOT\SAMSUNG\DIGIMAX VIEWER 1.0\DIGIMAXVIEWER.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\OHJELMATIEDOSTOT\NETSCAPE\NETSCAPE\NETSCP.EXE
D:\OHJELMATIEDOSTOT\SYGATE\SPF\SMC.EXE
C:\OHJELMATIEDOSTOT\SETI@HOME\SETI@HOME.EXE
C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
C:\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FI\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\OHJELM~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FI\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AudioHQ] C:\Ohjelmatiedostot\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Ohjelmatiedostot\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001\fi\msnappau.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\OHJELM~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\OHJELM~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\OHJELM~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [seticlient] C:\Ohjelmatiedostot\SETI@home\SETI@home.exe -min
O4 - HKLM\..\Run: [StarMap by Tobias Wahl] C:\OHJELMATIEDOSTOT\SETI@HOME\STARMAP.EXE
O4 - HKLM\..\Run: [SmcService] D:\OHJELM~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] D:\OHJELMATIEDOSTOT\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Ohjelmatiedostot\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "d:\ohjelmatiedostot\uussteam\steam\steam.exe" -silent
O4 - Startup: Digimax Viewer 1.0.lnk = C:\Ohjelmatiedostot\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe
O4 - Startup: Works Kalenterin muistutukset.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Ohjelmatiedostot\Yhteiset tiedostot\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Free WebSite Tools.lnk = C:\Ohjelmatiedostot\CoffeeCup Software\CoffeeCup Free DHTML Menu Builder\ThirtyDayTimer.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

 

Kunnossa näyttäisi olevan, toivottavasti pysyykin

Outohomma se netin katkeaminen?? Normaalisti New.Net poistuu ihan nätisti sen omalla poisto-ohjelmalla.

 

Tervehdys. Edellähän on käsitelty jo aikaa kuumaa aihetta ja samanlainen ongelma (se.dll windows/tempissä) näyttää nyt itsellänikin olevan. Tosin olen todella käsi näiden kanssa.

HJT ohjelman asensin ja loki on siis seuraava....
Olisiko nyt jotain Masteri Yodaa jeesaamaan minua.

Logfile of HijackThis v1.99.1
Scan saved at 20:18:29, on 13.5.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SA3DSRV.EXE
C:\WINDOWS\CPQDIAG\CPQDFWAG.EXE
C:\OHJELMATIEDOSTOT\AVAST\ASHSERV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\COMPAQ\INTERNET\CISRVR.EXE
C:\CPQS\BWTOOLS\SCCENTER.EXE
C:\WINDOWS\LOADQM.EXE
C:\OHJELMATIEDOSTOT\AVAST\ASHWEBSV.EXE
C:\OHJELMATIEDOSTOT\AVAST\ASHMAISV.EXE
C:\OHJELMATIEDOSTOT\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\ON-SCREEN DISPLAY\OSD.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\OHJELMATIEDOSTOT\EFFICIENT NETWORKS\ENTERNET 300\APP\ENTERNET.EXE
C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE
C:\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja SurfNet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = wwwproxy.surfnet.fi:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {A4A35C41-C0C5-11D9-BBB9-000887BB84AC} - C:\WINDOWS\SYSTEM\ALFM.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [CPQEASYACC] C:\Ohjelmatiedostot\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Ohjelmatiedostot\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe
O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN
O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE
O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\OHJELM~1\AVAST\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\OHJELM~1\AVAST\ashmaisv.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Ohjelmatiedostot\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Security iGuard] C:\OHJELMATIEDOSTOT\SECURITY IGUARD\SECURITY IGUARD.EXE
O4 - HKLM\..\Run: [TrojanScanner] C:\Ohjelmatiedostot\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\cpqdiag\CpqDfwAg.exe
O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES
O4 - HKLM\..\RunServices: [HC Reminder] hc.exe
O4 - HKLM\..\RunServices: [avast!] C:\Ohjelmatiedostot\Avast\ashServ.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/2/en/SysWebTelecomInt.cab
O18 - Filter: text/html - {03DD09E0-C2BF-11D9-BBB9-0008E9F47484} - C:\WINDOWS\SYSTEM\ALFM.DLL
O18 - Filter: text/plain - {03DD09E0-C2BF-11D9-BBB9-0008E9F47484} - C:\WINDOWS\SYSTEM\ALFM.DLL

 

Aattelin pumpata tätä,jos vaikka nyt joku osaisi neuvoa.

 

[bold] Masteri Yodaa [/bold] ei ole tänään tainnu näkyä, että oisko sillä tullu joku virus ja kone räjähtäny :/

No ei vaiteskaan ei se nyt niin halpaan mene. On varmaan huomenna taas paikalla, mutta ehkä sua joku muu jeesaa täällä tänään

Ei nyt viitsis tässä kovin neuvomaan kun ei itsekään tiedä asiosta mitään mutta luulisinpa että nuo R0/1 kohtien kaikki about:blank ja se.dll sisältävät kohdat pitäs fixata ja sitten vielä tuo O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall, mutta eipä sitä kannata tällaisten amatöörien ohjeilla fixailla.
Sitten tuo ALFM.DLL on ihan tuntematon.

Viisainta on varmaan odotella että se Yoda tulis paikalle.

 

*naur* jaa,en mä tiennytkään,että Masteri Yoda nimellä on rekisteröity käyttäjä se oli vain heitto. Kunhan vain tietotaitoinen kaveri löytyy. Toymaatti näyttäisi olevan vastaillut aika moneen. Kyllä mielestäni nuo kaikki mainitsemasi kohdat liittyvät pöpöön.

 

V-kos, noinhan se menee

Kokeillaan ensin ilman poistotyökalua, siinä kun on pikkuriski, vaikka taitaa sekin olla jo korjattu?

Laita piilotiedostot näkyviin
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Käynnistä VIKASIETOTILAAN. Laita merkki noiden eteen HjT:ssä, sulje muut ikkunat ja klikkaa Fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {A4A35C41-C0C5-11D9-BBB9-000887BB84AC} - C:\WINDOWS\SYSTEM\ALFM.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/2/en/SysWebTelecomInt.cab
O18 - Filter: text/html - {03DD09E0-C2BF-11D9-BBB9-0008E9F47484} - C:\WINDOWS\SYSTEM\ALFM.DLL
O18 - Filter: text/plain - {03DD09E0-C2BF-11D9-BBB9-0008E9F47484} - C:\WINDOWS\SYSTEM\ALFM.DLL

Tyhjennä tuo tempkansio
c:\windows\TEMP

Poista tuo
C:\WINDOWS\SYSTEM\===>ALFM.DLL<===

Käynnistä normaalisti, käyttele konetta ja katso pysyykö örkki poissa.

 

Toymaatti = Masteri Yoda

 

Kiitoksia toymaatti näyttäisi olevan poistunut. Laitan kuitenkin uuden lokin kunhan saan nettini toimimaan. En tiedä mikä nyt nettiin tuli.

käynnistin koneeni vikasietotilassa,mutta en tullut ottaneeksi printtiä tai kopioinut antamiasi tarkkoja rivitietoa jouduin siis hakemaan mainitsemasi rivit täältä. Netti ei siinä vikasiedossa tilassa suostunut toimimaan. käynnistin uudelleen normaali tilassa jonka jälkeen netti ei ole löytänyt tähän päivään mennessä löytänyt Soneran palvelinta.

Sain kuitenkin printin otettua toiselta koneelta ja fiksattua rivit. Poisto ja toiminta näyttää onnistuneen siltä osin,mutta mikä tuohon pirun nettii oikein tuli???

Mitään en siis fiksannut arpomalla!

 

No voihan hittolainen, se örkkihän sen on tehnyt. Koita auttaako tuo, jos saat siirrettyä sen vaikka korpulla.

Pura ja aja
http://digital-solutions.co.uk/lavasoft/whndnfix.zip

Sitten on tietysti Winukan korjaava-asennus vaihtoehto.

 

Alan tätä työstämään heti klo 17.00 aikaan

 

Kyllä vika onneksi näytti olevan Soneranpääässä. Onneksi!
Se.dll näyttäisi nyt olevan poissa. Alla vielä uusi loki.
Olisiko näissä vielä jotain fiksattavaa? Kiitokset taas.


Logfile of HijackThis v1.99.1
Scan saved at 17:53:41, on 17.5.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SA3DSRV.EXE
C:\WINDOWS\CPQDIAG\CPQDFWAG.EXE
C:\OHJELMATIEDOSTOT\AVAST\ASHSERV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\COMPAQ\INTERNET\CISRVR.EXE
C:\WINDOWS\LOADQM.EXE
C:\OHJELMATIEDOSTOT\AVAST\ASHWEBSV.EXE
C:\OHJELMATIEDOSTOT\AVAST\ASHMAISV.EXE
C:\OHJELMATIEDOSTOT\ZONEALARM\ZLCLIENT.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\ON-SCREEN DISPLAY\OSD.EXE
C:\OHJELMATIEDOSTOT\EFFICIENT NETWORKS\ENTERNET 300\APP\ENTERNET.EXE
C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE
C:\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=040B&s=search&i=fin
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=040B&s=search&i=fin
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=040B&s=search&i=fin
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja SurfNet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = wwwproxy.surfnet.fi:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Ohjelmatiedostot\SPYBOT\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [CPQEASYACC] C:\Ohjelmatiedostot\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Ohjelmatiedostot\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe
O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN
O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE
O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\OHJELM~1\AVAST\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\OHJELM~1\AVAST\ashmaisv.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Ohjelmatiedostot\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\cpqdiag\CpqDfwAg.exe
O4 - HKLM\..\RunServices: [HC Reminder] hc.exe
O4 - HKLM\..\RunServices: [avast!] C:\Ohjelmatiedostot\Avast\ashServ.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

 

Hyvältä näyttää, toivotaan että pysyykin sellaisena

 

Heip. Vieläkö riittäisi hermoa ja aikaa saman paskiais-örkin tuhoamiseen?

En saa mitenkään kyseistä se.dll-ään pesiytynyttä ruojaa pois.

p.s olen aivan käsi tietokoneiden suhteen.

täs ois loki, hijack mulla on ja adawaresta ei ole mitään hyötyä:

Logfile of HijackThis v1.99.1
Scan saved at 7:09:42 PM, on 5/18/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\COMMON\FSMA32.EXE
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\COMMON\FSMB32.EXE
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\COMMON\FCH32.EXE
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\BACKWEB\4119343\PROGRAM\FSBWSYS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\BACKWEB\4119343\PROGRAM\FSPEX.EXE
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\COMMON\FAMEH32.EXE
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSGK32.EXE
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\FWES\PROGRAM\FSDFWD.EXE
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSSM32.EXE
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSAV32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\TFUNCKEY.EXE
C:\WINDOWS\SYSTEM\TPWRMGR.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\EN-GB\MSNAPPAU.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINAPPS\MSOFFICE97\OFFICE\OSA.EXE
C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\FSGUI\FSGUIEXE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\EN-GB\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL
O2 - BHO: (no name) - {6A538760-C3BB-11D9-AE87-0010F2794BB1} - C:\WINDOWS\SYSTEM\FJAF.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\EN-GB\MSNTB.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TFunckey] TFunckey.Exe
O4 - HKLM\..\Run: [TPwrMgr] TPwrMgr.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001\en-gb\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\PROGRAM FILES\ELISA TIETOTURVAPALVELU\Common\FSMA32.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Office Startup.lnk = C:\winapps\msOffice97\Office\OSA.EXE
O4 - Global Startup: Elisa Tietoturvapalvelu.lnk = C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\Program\fspex.exe
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O18 - Filter: text/html - {F7114340-C3DE-11D9-AE87-0010D3219481} - C:\WINDOWS\SYSTEM\FJAF.DLL
O18 - Filter: text/plain - {F7114340-C3DE-11D9-AE87-0010D3219481} - C:\WINDOWS\SYSTEM\FJAF.DLL

Muutaman päivän jo olen tässä tapellut tämän koneen kanssa ja hermoni ovat aivan riekaleina. Olen aivan valmis lavastamaan kannettavani wc-pöntön ääreen Koraania häpäisemään ja täten julistamaan sille Jihadin.

Mutta kiitos etukäteen, jos vain jollain viisaammalla on aikaa..

 

No koitetaanpas. Laita piilotiedostot näkyviin
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Käynnistä vikasietotilaan(paina Ctrl käynnistyksen aikana)

Laita merkki HjT:ssä noiden eteen, sulje muut ikkunat, klikkaa Fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {6A538760-C3BB-11D9-AE87-0010F2794BB1} - C:\WINDOWS\SYSTEM\FJAF.DLL
O18 - Filter: text/html - {F7114340-C3DE-11D9-AE87-0010D3219481} - C:\WINDOWS\SYSTEM\FJAF.DLL
O18 - Filter: text/plain - {F7114340-C3DE-11D9-AE87-0010D3219481} - C:\WINDOWS\SYSTEM\FJAF.DLL

Poista tuo
C:\WINDOWS\SYSTEM\===>FJAF.DLL<===
Tyhjennä tuo tempkansio
C:\WINDOWS\TEMP

Käynnistä normaalisti...auttoiko?

Löytyykö SYSTRAY.EXE mistään muualta kuin C:\WINDOWS\SYSTEM\ kansiosta?
Käytä ETSI toimintoa