1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

HijackThis logi?

Viestiketju Ajuri- ja softaongelmat -osiossa. Ketjun avasi kuuleppa 09.04.2005.

  1. kuuleppa

    kuuleppa Member

    Liittynyt:
    09.04.2005
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    Osaisiko joku neuvoa mikä on vialla? Olen scannannut adwarella, spybotilla ja cwshedderillä ja nyt hijackthisilla ja anto seuraavanlaisen Login:
    Logfile of HijackThis v1.99.1
    Scan saved at 1:01:23, on 10.4.2005
    Platform: Windows 98 Gold (Win9x 4.10.1998)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\DMI\WIN32\BIN\WIN32SL.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\REAL\UPDATE_OB\REALSCHED.EXE
    C:\WINDOWS\STARTER.EXE
    C:\OHJELMATIEDOSTOT\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
    C:\WINDOWS\SYSTEM\QTTASK.EXE
    C:\OHJELMATIEDOSTOT\AVPERSONAL\AVGCTRL.EXE
    C:\OHJELMATIEDOSTOT\AVPERSONAL\AVSCHED32.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\OHJELMATIEDOSTOT\WINAMP\WINAMPA.EXE
    C:\PROGRAM FILES\JYVIO\PWTM.EXE
    C:\WINDOWS\RUNDLL32.EXE
    C:\OHJELMATIEDOSTOT\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
    C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\OSA.EXE
    C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
    C:\OHJELMATIEDOSTOT\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
    C:\OHJELMATIEDOSTOT\MATROX MGA POWERDESK\MGACTRL.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
    C:\VIRUSTORJUNTA\HIJACKTHIS\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\VIRUST~1\SPYBOT~1\SDHELPER.DLL
    O3 - Toolbar: MSN-työkalurivi - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\FI\MSNTB.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [F-STOPW.EXE] "c:\virustorjunta\fprot\F-STOPW.EXE"
    O4 - HKLM\..\Run: [FRISK FP-Scheduler] c:\virustorjunta\fprot\F-Sched.exe
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Ohjelmatiedostot\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\Run: [AVGCtrl] C:\OHJELMATIEDOSTOT\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [AVSCHED32] C:\OHJELMATIEDOSTOT\AVPERSONAL\AVSCHED32.EXE /min
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [WindUpdates] C:\PROGRAM FILES\WINDUPDATES\WINUPDT.EXE
    O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmatiedostot\Winamp\winampa.exe
    O4 - HKLM\..\Run: [Dbnsk] C:\PROGRAM FILES\JYVIO\PWTM.EXE
    O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
    O4 - HKLM\..\RunServices: [Win32SL] c:\dmi\win32\bin\Win32sl.exe -i -p -r
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Ohjelmatiedostot\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
    O4 - HKCU\..\Run: [MsnMsgr] "c:\Ohjelmatiedostot\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Officen käynnistys.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Office Pikahaku.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Ohjelmatiedostot\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
    O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Ohjelmatiedostot\expektMPP\MPPoker.exe
    O9 - Extra button: Palvelut - {0920ACA0-EED5-11D7-90B4-F3F5CF117023} - http://service.kolumbus.fi/ (file missing) (HKCU)
    O9 - Extra button: Tuki - {0920ACA1-EED5-11D7-90B4-F3F5CF117023} - http://tuki.elisa.net/ (file missing) (HKCU)
    O9 - Extra button: SMS-viesti - {0920ACA2-EED5-11D7-90B4-F3F5CF117023} - http://sms.kolumbus.fi/ (file missing) (HKCU)
    O12 - Plugin for .spop: C:\OHJELM~1\INTERN~1\Plugins\NPDocBox.dll
    O12 - Plugin for .UVR: C:\Ohjelmatiedostot\Internet Explorer\Plugins\NPUPano.dll
    O13 - WWW. Prefix: http://
    O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

    sain paljon ongelmia pois jo viime viikolla(viikon olin välissä pois), mut yks popup ikkuna rupes tulee, ja sit lisäänty vaan ongelmat ja viikossa taas ihan jumissa. nyt taas scannaukset tehty. Oli alun perin semmonen joka muutti alotussivuks about:blank ja luin jostain, et olis vaikea poistaa... mut olisin kiitollinen avusta, kun itse olen kovin tumpelo näiden kanssa.
     
  2.  
  3. jannne

    jannne Regular member

    Liittynyt:
    28.02.2005
    Viestejä:
    650
    Kiitokset:
    0
    Pisteet:
    26
    O4 - HKLM\..\Run: [WindUpdates] C:\PROGRAM FILES\WINDUPDATES\WINUPDT.EXE
    O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Ohjelmatiedostot\expektMPP\MPPoker.exe


    ^Nuo vaikuttaa ainakin ad-warelta.
     
  4. kuuleppa

    kuuleppa Member

    Liittynyt:
    09.04.2005
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    expekt poker on ihan ohjelma jonka hain ja sen jälkeen ei tullu vielä näitä ongelmia. Uskaltaako tän:
    O4 - HKLM\..\Run: [WindUpdates] C:\PROGRAM FILES\WINDUPDATES\WINUPDT.EXE
    sit vaan poistaa?
    ja näyttääkö olevan muuta.?
     
  5. jannne

    jannne Regular member

    Liittynyt:
    28.02.2005
    Viestejä:
    650
    Kiitokset:
    0
    Pisteet:
    26
    Tuo Windupdates on ihan Ad-warea ja sen voi poistaa.
     
  6. kuuleppa

    kuuleppa Member

    Liittynyt:
    09.04.2005
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    oliki käyny moka ja mulla oli adaware 6 enkä ollu hakenut uutta... nyt scannattu myös uudella ja nyt näyttäis logi tältä:

    Logfile of HijackThis v1.99.1
    Scan saved at 12:57:51, on 10.4.2005
    Platform: Windows 98 Gold (Win9x 4.10.1998)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\DMI\WIN32\BIN\WIN32SL.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\REAL\UPDATE_OB\REALSCHED.EXE
    C:\VIRUSTORJUNTA\FPROT\F-STOPW.EXE
    C:\VIRUSTORJUNTA\FPROT\F-SCHED.EXE
    C:\WINDOWS\STARTER.EXE
    C:\OHJELMATIEDOSTOT\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
    C:\WINDOWS\SYSTEM\QTTASK.EXE
    C:\OHJELMATIEDOSTOT\AVPERSONAL\AVGCTRL.EXE
    C:\OHJELMATIEDOSTOT\AVPERSONAL\AVSCHED32.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\OHJELMATIEDOSTOT\WINAMP\WINAMPA.EXE
    C:\PROGRAM FILES\JYVIO\PWTM.EXE
    C:\OHJELMATIEDOSTOT\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
    C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE
    C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\OSA.EXE
    C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
    C:\OHJELMATIEDOSTOT\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
    C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
    C:\OHJELMATIEDOSTOT\MATROX MGA POWERDESK\MGACTRL.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\WINDOWS\WRITE.EXE
    C:\VIRUSTORJUNTA\HIJACKTHIS\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\VIRUST~1\SPYBOT~1\SDHELPER.DLL
    O3 - Toolbar: MSN-työkalurivi - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\FI\MSNTB.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [F-STOPW.EXE] "c:\virustorjunta\fprot\F-STOPW.EXE"
    O4 - HKLM\..\Run: [FRISK FP-Scheduler] c:\virustorjunta\fprot\F-Sched.exe
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Ohjelmatiedostot\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\Run: [AVGCtrl] C:\OHJELMATIEDOSTOT\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [AVSCHED32] C:\OHJELMATIEDOSTOT\AVPERSONAL\AVSCHED32.EXE /min
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmatiedostot\Winamp\winampa.exe
    O4 - HKLM\..\Run: [Dbnsk] C:\PROGRAM FILES\JYVIO\PWTM.EXE
    O4 - HKLM\..\RunServices: [Win32SL] c:\dmi\win32\bin\Win32sl.exe -i -p -r
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Ohjelmatiedostot\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
    O4 - HKCU\..\Run: [MsnMsgr] "c:\Ohjelmatiedostot\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Officen käynnistys.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Office Pikahaku.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Ohjelmatiedostot\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
    O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Ohjelmatiedostot\expektMPP\MPPoker.exe
    O9 - Extra button: Palvelut - {0920ACA0-EED5-11D7-90B4-F3F5CF117023} - http://service.kolumbus.fi/ (file missing) (HKCU)
    O9 - Extra button: Tuki - {0920ACA1-EED5-11D7-90B4-F3F5CF117023} - http://tuki.elisa.net/ (file missing) (HKCU)
    O9 - Extra button: SMS-viesti - {0920ACA2-EED5-11D7-90B4-F3F5CF117023} - http://sms.kolumbus.fi/ (file missing) (HKCU)
    O12 - Plugin for .spop: C:\OHJELM~1\INTERN~1\Plugins\NPDocBox.dll
    O12 - Plugin for .UVR: C:\Ohjelmatiedostot\Internet Explorer\Plugins\NPUPano.dll
    O13 - WWW. Prefix: http://
    O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

    eli onko tässä vielä jotain mörökölliä? ;)
     
  7. jannne

    jannne Regular member

    Liittynyt:
    28.02.2005
    Viestejä:
    650
    Kiitokset:
    0
    Pisteet:
    26
    Ei minun silmiin tarttunut mitään hirveetä... Mikä ei tietenkään takoitta etteikö siellä jotain voisi olla ;)
     
  8. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    Kuuleppas kuuleppa :D Katso onko tuo ohjelma sinulle tuttu C:\PROGRAM FILES\JYVIO\PWTM.EXE, jos on outo niin katso löytyykö se Lisää/Poista sovelluksesta ja poista se sieltä.

    Kerro miten kävi niin jatketaan sitten.

    Sitten siellä on FProt ja AVPERSONAL, eli 2 virusohjelmaa, tosin en tiedä onko tuosta FProtista haittaa AV:lle(tai toisinpäin) niinkuin yleensä kahdesta virusohjelmasta on.
     
  9. kuuleppa

    kuuleppa Member

    Liittynyt:
    09.04.2005
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    eipä oo tuttu toi C:\PROGRAM FILES\JYVIO\PWTM.EXE eikä löytynyt lisää/Poista... poistanko tolla hijackthisilla vai mitä? ja nyt tuli taas ne popupit ja toi alotussivu muuttuu about:blank ... mulla ei oikeen kunnon viirusohjelmaa ookkaa, noi on jäänteitä jostain...
     
  10. kuuleppa

    kuuleppa Member

    Liittynyt:
    09.04.2005
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    Niin antaa nyt tämmösen, vaik välillä toi about:blank oli jo poissa???
    Onko jos korjaa tällä HJT.llä, niin se parempi kuin muilla ohjelmilla, tai siis onko korjaus pysyvämpi?

    Logfile of HijackThis v1.99.1
    Scan saved at 10:35:27, on 11.4.2005
    Platform: Windows 98 Gold (Win9x 4.10.1998)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\DMI\WIN32\BIN\WIN32SL.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\REAL\UPDATE_OB\REALSCHED.EXE
    C:\WINDOWS\STARTER.EXE
    C:\OHJELMATIEDOSTOT\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
    C:\WINDOWS\SYSTEM\QTTASK.EXE
    C:\OHJELMATIEDOSTOT\AVPERSONAL\AVGCTRL.EXE
    C:\OHJELMATIEDOSTOT\AVPERSONAL\AVSCHED32.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\OHJELMATIEDOSTOT\WINAMP\WINAMPA.EXE
    C:\PROGRAM FILES\JYVIO\PWTM.EXE
    C:\WINDOWS\RUNDLL32.EXE
    C:\OHJELMATIEDOSTOT\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
    C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE
    C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\OSA.EXE
    C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
    C:\OHJELMATIEDOSTOT\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
    C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
    C:\OHJELMATIEDOSTOT\MATROX MGA POWERDESK\MGACTRL.EXE
    C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
    C:\VIRUSTORJUNTA\HIJACKTHIS\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\VIRUST~1\SPYBOT~1\SDHELPER.DLL
    O2 - BHO: (no name) - {D71E8919-A9CE-11D9-90B4-00061EAFCA81} - C:\WINDOWS\SYSTEM\DLH.DLL
    O3 - Toolbar: MSN-työkalurivi - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\FI\MSNTB.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Ohjelmatiedostot\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\Run: [AVGCtrl] C:\OHJELMATIEDOSTOT\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [AVSCHED32] C:\OHJELMATIEDOSTOT\AVPERSONAL\AVSCHED32.EXE /min
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmatiedostot\Winamp\winampa.exe
    O4 - HKLM\..\Run: [Dbnsk] C:\PROGRAM FILES\JYVIO\PWTM.EXE
    O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
    O4 - HKLM\..\RunServices: [Win32SL] c:\dmi\win32\bin\Win32sl.exe -i -p -r
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Ohjelmatiedostot\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
    O4 - HKCU\..\Run: [MsnMsgr] "c:\Ohjelmatiedostot\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Officen käynnistys.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Office Pikahaku.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Ohjelmatiedostot\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
    O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Ohjelmatiedostot\expektMPP\MPPoker.exe
    O9 - Extra button: Palvelut - {0920ACA0-EED5-11D7-90B4-F3F5CF117023} - http://service.kolumbus.fi/ (file missing) (HKCU)
    O9 - Extra button: Tuki - {0920ACA1-EED5-11D7-90B4-F3F5CF117023} - http://tuki.elisa.net/ (file missing) (HKCU)
    O9 - Extra button: SMS-viesti - {0920ACA2-EED5-11D7-90B4-F3F5CF117023} - http://sms.kolumbus.fi/ (file missing) (HKCU)
    O12 - Plugin for .spop: C:\OHJELM~1\INTERN~1\Plugins\NPDocBox.dll
    O12 - Plugin for .UVR: C:\Ohjelmatiedostot\Internet Explorer\Plugins\NPUPano.dll
    O13 - WWW. Prefix: http://
    O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
    O18 - Filter: text/html - {D71E8918-A9CE-11D9-90B4-000671E36F1A} - C:\WINDOWS\SYSTEM\DLH.DLL
    O18 - Filter: text/plain - {D71E8918-A9CE-11D9-90B4-000671E36F1A} - C:\WINDOWS\SYSTEM\DLH.DLL

     
  11. kuuleppa

    kuuleppa Member

    Liittynyt:
    09.04.2005
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    Vaikka noi
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet

    korjaa HJT:llä, niin ne tulevat samantien takaisin. korjasin myös sen C:\PROGRAM FILES\JYVIO\PWTM.EXE ja se ei tullu takas.
     
  12. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    No sitten ei ole mikään ihme että örkkejä vilisee, ihan ensimmäiseksi homma virusohjelma, nettipiuha irti ja poistelet ne vanhat jäänteet ja asenna uusi. Tuolla on ilmaisversioita
    http://keskustelu.afterdawn.com/thread_view.cfm/162275

    Sitten tuo loki :(
    Sinne kerkis jo paukahtaa sellainen örkki joka osaa olla aikas pirullinen poistettava. Siihen on olemassa poisto-ohjelma mutta se voi myös sekoittaa koneen ja kun W98 ei ole järjestelmänpalautusta niin koitetaan putsata ensin käsipelillä.

    Laita piilotiedostot näkyviin
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

    Hae F-Securen BlackLight Beta ja putsaa sillä
    http://www.f-secure.com/blacklight/

    Käynnistä vikasietotilaan.

    Aja HjT, merkkaa nuo ja klikkaa Fix
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {D71E8919-A9CE-11D9-90B4-00061EAFCA81} - C:\WINDOWS\SYSTEM\DLH.DLL
    O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
    O13 - WWW. Prefix: http://
    O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
    O18 - Filter: text/html - {D71E8918-A9CE-11D9-90B4-000671E36F1A} - C:\WINDOWS\SYSTEM\DLH.DLL
    O18 - Filter: text/plain - {D71E8918-A9CE-11D9-90B4-000671E36F1A} - C:\WINDOWS\SYSTEM\DLH.DLL

    Etsi ja poista tuo
    C:\WINDOWS\SYSTEM\==>DLH.DLL<==
    C:\PROGRAM FILES\==>JYVIO<==jos tuo kansio vielä löytyy

    Mene tuohon temp kansioon, paina Ctrl+A > Delete > Enter, jos tulee kysymys niin vastaa > Kyllä kaikkiin
    C:\WINDOWS\TEMP

    Tyhjennä Roskakori

    Käynnistä normaalisti... auttoiko?
     
  13. kuuleppa

    kuuleppa Member

    Liittynyt:
    09.04.2005
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    miten käynnistetään vikasieto tilassa?
     
  14. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    Painele käynnistyksen aikana, olikohan se 98:ssa Ctrl näppäintä (XP;ssä F8)niin pääset valikkoon josta voit valita vikasietotilan.
     
  15. kuuleppa

    kuuleppa Member

    Liittynyt:
    09.04.2005
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    ei toimi mulla toi F-Securen BlackLight Beta. vaikuttaako onnistumiseen?
     
  16. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    Toivotavasti ei vaikuta. Tee se HjT fixaus.
     
  17. kuuleppa

    kuuleppa Member

    Liittynyt:
    09.04.2005
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    No viimein sain tehtyä kaikki. Nyt ei taas näyttänyt olevan mitään. virusohjelmaksi hain Avastin ja se löys muutaman troijalaisen... nyt logi näyttäis tältä

    Logfile of HijackThis v1.99.1
    Scan saved at 18:36:21, on 11.4.2005
    Platform: Windows 98 Gold (Win9x 4.10.1998)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\DMI\WIN32\BIN\WIN32SL.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    C:\VIRUSTORJUNTA\ASHSERV.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\REAL\UPDATE_OB\REALSCHED.EXE
    C:\WINDOWS\STARTER.EXE
    C:\OHJELMATIEDOSTOT\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
    C:\WINDOWS\SYSTEM\QTTASK.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\VIRUSTORJUNTA\ASHWEBSV.EXE
    C:\VIRUSTORJUNTA\ASHMAISV.EXE
    C:\OHJELMATIEDOSTOT\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
    C:\OHJELMATIEDOSTOT\MSN MESSENGER\MSNMSGR.EXE
    C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\OSA.EXE
    C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
    C:\OHJELMATIEDOSTOT\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
    C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
    C:\OHJELMATIEDOSTOT\MATROX MGA POWERDESK\MGACTRL.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
    C:\VIRUSTORJUNTA\HIJACKTHIS\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\VIRUST~1\SPYBOT~1\SDHELPER.DLL
    O3 - Toolbar: MSN-työkalurivi - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\FI\MSNTB.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [TkBellExe] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Ohjelmatiedostot\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmatiedostot\Winamp\winampa.exe
    O4 - HKLM\..\Run: [avast! Web Scanner] C:\VIRUST~1\ASHWEBSV.EXE
    O4 - HKLM\..\Run: [ashMaiSv] C:\VIRUST~1\ashmaisv.exe
    O4 - HKLM\..\RunServices: [Win32SL] c:\dmi\win32\bin\Win32sl.exe -i -p -r
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    O4 - HKLM\..\RunServices: [avast!] C:\virustorjunta\ashServ.exe
    O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Ohjelmatiedostot\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
    O4 - HKCU\..\Run: [MsnMsgr] "c:\Ohjelmatiedostot\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Officen käynnistys.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Office Pikahaku.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Ohjelmatiedostot\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
    O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Ohjelmatiedostot\expektMPP\MPPoker.exe
    O9 - Extra button: Palvelut - {0920ACA0-EED5-11D7-90B4-F3F5CF117023} - http://service.kolumbus.fi/ (file missing) (HKCU)
    O9 - Extra button: Tuki - {0920ACA1-EED5-11D7-90B4-F3F5CF117023} - http://tuki.elisa.net/ (file missing) (HKCU)
    O9 - Extra button: SMS-viesti - {0920ACA2-EED5-11D7-90B4-F3F5CF117023} - http://sms.kolumbus.fi/ (file missing) (HKCU)
    O12 - Plugin for .spop: C:\OHJELM~1\INTERN~1\Plugins\NPDocBox.dll
    O12 - Plugin for .UVR: C:\Ohjelmatiedostot\Internet Explorer\Plugins\NPUPano.dll

    Mut viimeksi se kans näytti kai ihan ookoolta, mut tuli uudestaan.
    Tätä C:\WINDOWS\SYSTEM\==>DLH.DLL<== en löytänyt. Mulla on palomuurina zonealarmi, mutta en tiedä osaanko oikeen käytää sitä sit loppupeleissä oikein. Mutta kiitos paljon avusta Toymaatti jos tällä nyt pärjättäis vähän aikaa. Mukava että joku viittii käyttää aikaansa toisen auttamiseen, Pointsit siitä.
     
  18. kuuleppa

    kuuleppa Member

    Liittynyt:
    09.04.2005
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    Huomenna inttiin kolmeksi viikoksi, miltäköhän kone näyttää kun tulee takaisin sieltä...;)
     
  19. mika

    mika Moderator Ylläpitäjä

    Liittynyt:
    26.03.2003
    Viestejä:
    5,157
    Kiitokset:
    0
    Pisteet:
    116
    Otsikkoa muokkasin. Jatkakaa :)
     
  20. jokke70

    jokke70 Regular member

    Liittynyt:
    20.01.2005
    Viestejä:
    380
    Kiitokset:
    0
    Pisteet:
    26
    käy tuolla http://www.markusjansson.net/fza.html katsomassa zonen asetuksiin liittyviä neuvoja. Onnex olkoon "tota 3 viikkoa tarkoitan" itte lähen kesäkuussa viikox kertaamaan...
     
    Viimeksi muokattu: 11.04.2005
  21. Toymaatti

    Toymaatti Active member

    Liittynyt:
    04.02.2005
    Viestejä:
    1,038
    Kiitokset:
    0
    Pisteet:
    66
    Hyvältä näyttää nyt ja varmaan vielä kolmenviikonpäästäkin, puhdistus onnistui jotenka LEPO vaan ;)
     

Jaa tämä sivu