No vattu, mulla oli just anti´vir guard ja zonealarm päällä, haittaiskohan se? Niin ja siinä oli kohta Fix Check niin painoin sitä, ei ollu pelkkää Fix vaihto ehtoa. Se vaan ilmotti sitte että HiJackThis korjaa ja/tai poistaa valitut tiedostot...Oon nyt tolla toisella koneella siinä vikasietotilassa, alan ettiin nyt noita tiedostoja mitä käskit...
Ei löytyny vikasietotilasta mitään näistä: C:\WINDOWS\==tuo==>jgbkj.dll C:\WINDOWS\system32\==tuo==>atlzs.dll C:\WINDOWS\system32\==tuo==>appzh32.exe C:\WINDOWS\system32\==tuo==>d3uo32.exe Tässä on nyt uusloki: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\antivir\AVGUARD.EXE C:\Program Files\antivir\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\ntjn32.exe C:\Program Files\antivir\AVGNT.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\HiJackThis\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {070A9AF7-732E-A801-646D-0D9F1C0626F9} - C:\WINDOWS\system32\addyi.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fi\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunOnce: [ntjn32.exe] C:\WINDOWS\ntjn32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\antivir\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\antivir\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing) O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing)
Se troijalainen näyttäs nyt olevan ad-awaren mukaan C:\WINDOWS\ntjn32.exe Prosesseissa sitä ei kuitenkaan näy eikä kuulu.
Jaahas, vaihtoi nimeään! Onhan ne piilotiedostot näkyvissä? Sammuta tehtävienhallinnasta(Ctrl+Alt+Delete)tuo prosessi C:\WINDOWS\ntjn32.exe Fixaa HjT:llä nuo. R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {070A9AF7-732E-A801-646D-0D9F1C0626F9} - C:\WINDOWS\system32\addyi.dll O4 - HKLM\..\RunOnce: [ntjn32.exe] C:\WINDOWS\ntjn32.exe O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing) O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing) Sitten poista vikasietotilassa jos löytyy C:\WINDOWS\system32\==tuo==>addyi.dll C:\WINDOWS\==tuo==>ntjn32.exe Käynnistys normaalisti ja uusi loki.
C:\WINDOWS\==tuo==>ntjn32.exe <-- tämän sain poistettua C:\WINDOWS\system32\==tuo==>addyi.dll <-- ei löytynyt Tässä uusi loki: Logfile of HijackThis v1.99.1 Scan saved at 21:28:23, on 27.2.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\antivir\AVGNT.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\antivir\AVGUARD.EXE C:\Program Files\antivir\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\HiJackThis\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fi\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\antivir\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\antivir\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing) O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing) Muuten, viime fixauksen jäljiltä windows on sammunut ja käynnistynyt taas normaalilla nopeudella.
No hemmetti!! Mitäs nyt tehdään, kun se örkki hävis Ollaan voitonpuolella Nuo 2x015 ja 2x023 ei kylläkään suostu lähtemään? Otas vielä eScan, päivitä se ohjeen mukaan ja scannaa, laita kopio siitä alalaatikosta tänne(jos jotain löytyy). http://koti.mbnet.fi/pattaya1/escanmwav.htm Tuossa voi mennä senverran aikaa(tai sitten ei)että palataan huomenna asiaan.
Ok, vilkasen huomenna tuota saittia. Mutta tuhannet kiitokset sulle Toymaatti! Kiitokset myös kaikille vastanneille. Oot sä kyllä hemmetin viisas mies/nainen...Kiitos oikeesti.
Ole Hyvä. Vai viisas heh heh, hullun tuuria kaikki tyyni. Vaikka örkistä päästiinkin niin pari asiaa olis vielä tekemättä. Palataan niihin eScannin jälkeen.
Tässä on eScanin tulokset siitä alemmasta laatikosta: File C:\WINDOWS\apinb32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\appfx32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\appkz.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\atlhc32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\atlit.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\atlxx.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\iexb.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\ipjd32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\javahz.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\ntht32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\ntte32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\n_hgmsdq.log infected by "Trojan-Downloader.Win32.Agent.kd" Virus. Action Taken: File Deleted. File C:\WINDOWS\sdkhw32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\System32\appzh32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\ipyu.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\WINDOWS\System32\mfcaw32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\tmp.exe tagged as not-a-virus:AdWare.ToolBar.Perez.b. No Action Taken. File C:\WINDOWS\System32\winzt.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\Documents and Settings\Matti Holm\Local Settings\Temp\temp.frF0A6 infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: File Renamed. File C:\Program Files\HiJackThis\hijackthis\backups\backup-20050227-202031-282.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\Program Files\HiJackThis\hijackthis\backups\backup-20050227-212029-292.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\Program Files\Mirc\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken. File C:\Program Files\Mirc\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken. File C:\WINDOWS\system32\tmp.exe tagged as not-a-virus:AdWare.ToolBar.Perez.b. No Action Taken. Hmm, mikäli tuosta mitään ymmärrän niin kyllä siellä pöpöjä vielä on. Toymaatti, tulen koneelle taas viimeistään klo 20.00, ku on noita kouluhommia, niin jatketaan sitten jos sinulla sattuu olemaan aikaa. Ois ihan kiva saada nuo pöpöt pois.
Joopa, olihan siellä örkkimörkkejä ihan kivasti ja melkein kaikki joko tuhottu tai uudelleennimetty toimimattomaksi,HYVÄ! Etsi ja poista C:\WINDOWS\System32\==tuo==>tmp.exe Tuota Mirc:ä se pitää riskinä, tee sen kanssa kuten haluat(lähtee Lisää/Poista sovelluksesta) C:\Program Files\Mirc Sitten niiden HjT rivien kimppuun, ensin ne 023. Klikkaa Käynnistä > Suorita > (kirjoita) services.msc > OK Etsi ikkunasta rivi > Remote Procedure Call (RPC) Helper < täsmälleen tällainen!!! Tuplaklikkaa sitä > klikkaa "Seis" > Valitse "Käynnistystapa" alasvetovalikosta "Ei käytössä" Klikkaa OK Toista sama riville > Network Security Service (NSS) Sulje ikkuna. Sitten ne 015 rivit http://www.mvps.org/winhelp2002/DelDomains.inf Klikkaa linkkiä hiiren oikealla, valitse "tallenna kohde levylle..", ja laita se työpöydälle. Sulje selain. Klikkaa hiiren oikealla DelDomains.inf kuvaketta ja valitse ASENNA. Fixaa nyt ne kaksi 015 riviä HijackThis:ä Seuraavaksi voisit tyhjennellä tempit, mene noihin kansioihin ja paina Ctrl+A > Delete > Enter ja vastaa kysymykseen, "Kyllä kaikkiin" Nuo alemmat kaikissa käyttäjätileissä C:\Temp C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5 C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp Ja vielä voisit pyöräyttää jonkun rekisterin putsausohjelman, esim. RegSeeker on hyvä ja osaa Suomeakin. Ja EasyCleanerilla kun poistelet turhat pois niin väittäisinpä että koneesi alkaa olla puhdas http://koti.mbnet.fi/pattaya1/muut_ilmaisohjelmat.htm SpywareBlaster kannattaa asentaa suojaksi noita örkkejä vastaan. http://koti.mbnet.fi/pattaya1/spywareblaster.htm Sitten tee levyneheytys C:lle (onnistuu parhaiten vikasietotilassa) Jos kone vieläkin toimii?? Sulje järjestelmänpalautus ja laita bootin jälkeen takaisin päälle, luo palautuspiste. Vielä kun haet Winupdatesta SP2+muut tärkeät päivitykset niin johan kone kehrää tyytyväisenä. Eipä siinä sen kummempia, pientä ilta-askaretta Jaaniin sen DelDomains.inf kuvakkeen voit poistaa.
Tää linkki ei suostunu toimiin, johtuisko firefoxista? http://www.mvps.org/winhelp2002/DelDomains.inf Ja tuosta service pack2 vielä yks juttu. Asensin sen kerran ja kone meni aivan sekaisin, piti vikasietotilasta mennä järjestelmänpalautukseen... Että sellaista. Sitten vielä tuo että kuinka luodaan noita palautuspisteitä? Ja oon mie tolla easycleanerilla katellu, mutta löytyy jotaki epäilyttäviä tiedostoja joista en ole varma ovatko ns. höpölöpöä vai jotaki tärkeääki... Ne easycleanerilla löytyneet "turhat" tiedostot on kaikki (4kpl) tälläsia C:\Documents and Settings\Matti Holm\Local Settings\Temporary Internet Files\Content.ja jotaki....Uskaltaako poistaa?
Katos uudelleen kuinka neuvon sitä linkkiä käyttämään Palautuspiste luodaan, Käynnistä > Kaikkiohjelmat > Apuohjelmat > Järjestelmätyökalut > järjestelmän palauttaminen. Olisko siinä SP2 sotkenut päivittämätön palomuuri/virustorjuntasi tai SP2 oletuksena päälle menevä palomuuri?? Putsaa vain EasyCleanerilla kaikki pois, onhan siellä se KUMOA nappi josta saa palautettua poistoja jos joku ei toimi ja taitaa osa poistoista mennä roskakoriinkin. Heh, tuo polku muistuttaa erehdyttävästi sitä joka on neuvossani tempin tyhjennykseen C:\Documents and Settings\Matti Holm\Local Settings\Temporary Internet Files\Content.ja jotaki Ei ku pois vaan.
HJt ei löytäny niitä 015 eikä myöskään niitä kahta 023, mutta ne 023:t mä poistin käytöstä kuten neuvoit. Voinko poistaa nyt ton DelDomainsin tosta työpöydältä? Taidankin jatkaa nyt näiden poistosta C:\Temp C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5 C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp Niin ja tuosta RegSeekkeristä vielä, otanko vaan tuon Clean The registry ja klikkaan OK? Vai pitiskö mun tietää vielä jotain siitä ennen tota siivousta...
HjT on OK. Poista vaan kuvake. Vaihda RecSeekerin kieli Suomeen vasemmalla ylhäällä(Languages). Klikkaa "Puhdista rekisteri", odota kunnes on valmis, klikkaa "Valitse kaikki", Klikkaa hiiren oikealla sitä postettavien listaa ja valitse olikohan "Poista" tai jotain??
No nyt poistin sen rekisterin tuolla RegSeekkerillä ja olen asentanut SpyWareBlaster onnistuneesti. Eli enään olisi jäljellä ton C:n eheytys ja palautuspisteen luominen... Tuota sp2 vielä vähä tässä epäröin...:/ Enpä tiedä uskallanko asentaa sitä jos käy kuten edellisellä kerralla. Mutta nyt piipahtaan vikasietotilassa...
Kyllähän siinä voi aikaa vierähtää, riippuu niin monesta, aseman koosta, tiedostojen määrästä/pirstaloituneisuudesta jne.. tunti-2-3. Vielähän sen SP2 tietysti kerkiää myöhemminkin, nyt ois vaan suht puhdas kone sille, ja puhdas palautuspiste jos ei toimisikaan. Joku noista poistetuistakin on voinut aiheuttaa sen SP2 sekoilun.
Hehe, no pistin tuon kovon c:n eheytyksen eilen joskus 22.00, klo on nyt 7.45 aamulla ja se on edennyt 47%... "kuseekohan" tässä nyt joku? Juu voiskai tuota kokeilla sitte tota sp2. Menis nyt vaan tuo eheytys loppuun....
Tais olla toimenpide aiheellinen Minkä kokoinen tuo C: on? Taitaa olla aika iso. Noo.. eiköhän se valmistu vielä tänään.