hjt-logi + windows ongelma

jaris25 · 25.02.2007

Logfile of HijackThis v1.99.1
Scan saved at 20:28:06, on 25.2.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\explorer.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe
D:\Program Files\Winamp\winampa.exe
D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\devldr32.exe
D:\Documents and Settings\omistaja.omistaja-6RT6THP8J7\Työpöytä\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows Explorer] D:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "D:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

tuossa olisi tuo logini,mulla löytyy koneesta sellainen ongelma että palomuurini ilmoittaa ensin windows\system32\svchost.exen tahtovan muodostavan yhteyden johonkin portin 135 kautta. Estäessäni yhteyden ilmestyy uusi ilmoitus jossa lukee että joku etäproseduuri yhteys on katkennut ja on 60sec aikaa ennen windowsin sulkeutumista. olen koittanut puhdistaa konetta eri ohjelmilla mutta tuohon ei tunnu mikään purea. Osaisiko joku auttaa tämän ongelman kanssa et saisin koneeni vielä toimimaan! Kiitos oikein paljon jo etukäteen

AfterDawn

atholn · 25.02.2007

Pistä kone viimeisimpään palautuspisteeseen jolloin kone vielä toimi.

Hujo · 25.02.2007

scannaa hjt:llä merkkaa paina fix checked

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

laita piilotiedostot näkyviin

Poista Vikasiedossa
D:\WINDOWS\web\related.htm

jaris25 · 26.02.2007

Logfile of HijackThis v1.99.1
Scan saved at 14:12:11, on 26.2.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe
D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
D:\Program Files\Alwil Software\Avast4\setup\avast.setup
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\WINDOWS\System32\devldr32.exe
D:\Documents and Settings\omistaja.omistaja-6RT6THP8J7\Työpöytä\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "D:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

toimin ohjeidesi mukaan Hujo ja nyt logi näyttää tältä,poistin myös kyseisen D:\WINDOWS\web\related.htm vikasietotilassa ja lisäksi ajaoin avastilla virustarkistuksen ja muutama virushan sieltä löytyikin. Nyt ei ainakaan tarjonnut heti windowsin käynnistyessä sitä ikkunaa et haluaa muodostaa yhteyden tuolla svchost.exellä eli ilmeisesti ongelma on poistettu?! Kiitos todella paljon neuvoistasi jos ongelmani todella nyt katosi,kiitos todella!!

jaris25 · 26.02.2007

Juhlin liian aikaisin,hyvä että ehdin kirjautua täältä ulos niin johan se sama ongelma taas ilmeni ja kun estin sen yhteyden niin käynnisti taas koneen uudestaa,voiko tuolle tehdä mitään muuta?
Kohta iskee epätoivo tämän kanssa...

Hujo · 26.02.2007

ok
Katotaas tuolla

escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.

Laita virus log tänne.

Sitten vikasiedossa

Ohje AVG Anti-Spyware 7.5:n käyttöön
Huom! Tässä ohjeessa sammutetaan tuo reaaliaikasuojaus (Shield). Näin vältetään tilanteet joissa suojaus estäisi esim HijackThis työkalun toimintaa.

Tallenna nämä ohjeet tekstitiedostoon tai tulosta nämä, muuten et pääse niihin käsiksi vikasietotilasta

Lataa AVG Anti-Spyware 7.5 http://www.ewido.net/en/download/
ja tallenna ohjelma työpöydällesi.
• Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa.
• Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää.
• Käynnistä AVG Anti-Spyware.
• Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta.

o Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa.

• Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti.
• Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine".
• Sitten "Reports" valikon alta:

o Laita täppi kohtaan "Automatically generate report after every scan"
o Ota täppi pois kohdasta"Only if threats were found"

• Sitten klikkaa "Shield" kuvaketta ikkunan ylälaidassa
• "Resident shield is", muuta tila active:sta inactive:ksi
• Sulje ohjelma, ÄLÄ skannaa vielä.
Käynnistä koneesi vikasietotilaan,

sammuta ja käynnistä
käynnistyksen yhteydessä naputtele F8
valitse nuoli näppäimellä vikasietotila
paina enter ja enter

HUOM! Älä käytä muita ohjelmia AVG skannauksen aikana, tämä saattaa häiritä skannausta.
• Kun vikasietotilassa, käynnistä AVG Anti-Spyware.
• Klikkaa "Scanner" kuvaketta ikkunan ylälaidassa ja valitse "Scan" välilehti. Sitten klikkaa "Complete System Scan".
• Ewido aloittaa nyt tietokoneen skannaamisen, ole kärsivällinen sillä skannaus vie aikaa.

Kun skannaus on valmis:
TÄRKEÄÄ : Älä klikkaa "Save Scan Report" ennen kuin klikkaat "Apply all Actions"
• Varmistu, että Set all elements to: näyttää Quarantine (1), jos ei, klikkaa linkkiä ja valitse Quarantine popup-valikosta.
• Sinulta kysytään mitä tehdä jos infektioita löytyi, valitse silloin "Apply all actions"

• Sitten klikkaa "Reports" kuvaketta ohjelma yläosasta.
• Klikkaa "Save report as" painiketta ikkunan vasemmassa alalaidassa ja tallenna raportti työpöydälle.
• Sulje ohjelma, käynnistä kone normaalisti ja lähetä AVG:n raportti viestikejuusi.

Katos tarkemmin sitä mikä se on?
mikä nettiin haluaa päästä siintä lisä tietoja

Hujo · 26.02.2007

Aja sillä Avg Anti-Spywarella vikasiedossa

Koneella ei ole kuin pelkkä XP

Tuosta lataus
Linkki

jaris25 · 26.02.2007

se on tälläinen mistä se ilomoittaa: Generic Host Process for Win32 Services (svchost.exe) joka haluaa luoda sen yhteyden.

Avg raportti näytti tältä

AVG Anti-Spyware - Scan Report
---------------------------------------------------------

+ Created at: 19:04:30 26.2.2007

+ Scan result:

D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7\A0002514.DLL -> Adware.IWon : Cleaned with backup (quarantined).
D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10\A0002433.DLL -> Adware.IWon : Cleaned with backup (quarantined).
D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7\A0002520.DLL -> Adware.Websearch : Cleaned with backup (quarantined).
D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10\A0002439.DLL -> Adware.Websearch : Cleaned with backup (quarantined).
D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7\A0002504.DLL -> Downloader.IstBar : Cleaned with backup (quarantined).
D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10\A0002423.DLL -> Downloader.IstBar : Cleaned with backup (quarantined).
:mozilla.132:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.136:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.29:\Documents and Settings\jari siro.JARISIRO-N28NFO\Application Data\Mozilla\Firefox\Profiles\3b3ufrvq.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.101:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.102:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.103:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.10:\Documents and Settings\jari siro.JARISIRO-N28NFO\Application Data\Mozilla\Firefox\Profiles\3b3ufrvq.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.11:\Documents and Settings\jari siro.JARISIRO-N28NFO\Application Data\Mozilla\Firefox\Profiles\3b3ufrvq.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.12:\Documents and Settings\jari siro.JARISIRO-N28NFO\Application Data\Mozilla\Firefox\Profiles\3b3ufrvq.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.26:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Advertising : Cleaned.
:mozilla.27:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Advertising : Cleaned.
:mozilla.28:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Advertising : Cleaned.
:mozilla.29:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Advertising : Cleaned.
:mozilla.30:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Advertising : Cleaned.
:mozilla.56:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Atdmt : Cleaned.
:mozilla.25:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned.
D:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Cookies\jari siro@fastclick[2].txt -> TrackingCookie.Fastclick : Cleaned.
D:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Cookies\jari siro@media.fastclick[1].txt -> TrackingCookie.Fastclick : Cleaned.
:mozilla.45:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.46:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.47:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.48:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.49:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.112:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Trafic : Cleaned.
D:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Cookies\jari siro@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Cleaned.
:mozilla.54:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Webtrendslive : Cleaned.
:mozilla.109:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.110:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.111:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Application Data\Mozilla\Firefox\Profiles\frckt2zc.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.

::Report end

jaris25 · 26.02.2007

Ja kyllä,tänne on jätetty näköjään windowsNT pohjalle kun löytyy C:ltä.
Mitäs tälläinen tietokoneista tietämätön voi tehdä, epäilemättä vaikuttaa johonkin varmasti tuokin. Sano suoraan vaan jos vaikuttaa mielestäsi siltä että seuraava askel on mennä ottamaan kaveria kurkusta ja työntää koko kone sinne minne aurinko ei paista!

Hujo · 26.02.2007

sitten

lataa tuolta http://www.ccleaner.com/download/builds.aspx
CCleaner v1.34.407 - Basic, joka EI sisällä Yahoo toolbaria !

laita asetukset näin:
Valinnat --> Lisäasetukset --> Ota ruksi pois kohdasta Poista vain yli 48 tuntia vanhat tilapäistiedostot.

aja puhistaja > tutki > putsaa oikea alakulma
aja virheet > etsi rekisteri virheitä > Korjaa rekisteri virheet.

ja vielä

Lataa Atribunen ATF Cleaner

Ohjeet;

Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman.

Main:n alla valitse: Select All
Klikkaa Empty Selected valintaa.

Jos käytät FireFoxia selaimenasi

Klikkaa Firefox yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.

Jos käytät Operaa selaimenasi

Klikkaa Opera yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa taas.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.

Klikkaa Exit päävalikosta sulkeaksesi ohjelman.
Teknistä tukea tulee jos tupla-klikkaat sähköpostiosoitetta joka sijaitsee jokaisen menun alapuolella kyseisessä työkalussa. (Huomatkaa että se tuki on sitten englanniksi)

ja vielä

1. Klikkaa käynnistä > Oma tietokone oikean puoleisella hiiren napilla
2. Valitse ominaisuudet
3. Valitse järjestelmän palauttaminen välilehti
4. Ruksi eteen ¤ poista järjestelmän palauttaminen kaikissa asemissa
5. Paina Käytä
6. Paina ok
7. Sammuta ja käynnistä
8. Ota ruksi pois ¤ poista järjestelmän palauttaminen kaikissa asemissa
9. Käytä ja OK

Niin päästä se nettiin hyväksy että pääseee aina nettiin

Laita Sitten Vielä Uusi Hjt Loki

jaris25 · 26.02.2007

Vieläkin yrittää sitä yhteyttä saada,joutuuko tässä antamaan periksi.
Suoritin noilla laittamillasi ohjelmilla tarkistukset.
nyt tälläinen logi

Logfile of HijackThis v1.99.1
Scan saved at 20:08:21, on 26.2.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe
D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\devldr32.exe
D:\Documents and Settings\jari siro.JARI-6RT6THP8J7\Työpöytä\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "D:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172493533336
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

jaris25 · 26.02.2007

jotain jäi lukematta,laitoin sen nyt niin että pääsee aina nettiin.

Hujo · 26.02.2007

Juu aina nettiin pääsy

Lataa tuolta sp1
Linkki

jaris25 · 26.02.2007

Kiitoksia todella paljon avustasi!!!!!
Kone tuntuu toimivan ihan eritavalla kuin ennen näitä korjauksia mitä neuvoit mun tehdä!
Todellakin kiitos!!

jaris25 · 26.02.2007

kyllä se vieläkin tekee sitä,ei jumalauta!

Hujo · 26.02.2007

Jos se on sama niin palomuurista annat sen aina mennä
kaikki mitä se siinä pyytelee

katos tossa ylhäällä toi sp1 laita se koneelle

ajas tuosta vielä

• Lataa Dr.Web CureIt työpöydälle:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

[*]Tuplaklikkaa drweb-cureit.exe ja anna sen tehdä express scan
[*]Se skannaa käynnissä olevat ohjelmat ja jos jotain löytyy, klikkaa yes kun se kysyy haluatko poistaa sen. Tämä on vain lyhyt scan.
[*]Kun scan on valmis, merkkaa asemat, jotka haluat scannata.
[*]Valitse kaikki asemat. Punainen piste osoittaa, mitkä asemat on valittu.
[*]Klikaa vihreää nuolta oikealla ja scan alkaa.
[*]Klikkaa 'Yes to all', jos kysytään haluatko poistaa/siirtää tiedoston.
[*]Kun scan on valmis, katso voitko klikata next-kuvaketta löytyneiden tiedostojen vieressä:
[*]Jos asia on niin, klikkaa sitä ja sitten klikkaa next-kuvaketta oikealla alhaalla ja valitse Move incurable kuten alla olevalla kuvassa:

Tämä siirtää sen %userprofile%\DoctorWeb\quarantine-hakemistoon.
[*]Tämän jälkeen klikkaa Dr.Web CureIt-valikossa file ja valitse save report list
[*]Tallenna raportti työpöydälle. Raportin nimi on DrWeb.csv
[*]Sulje Dr.Web Cureit.
[*]Käynnistä kone uudelleen !! Tämä siksi, että käytössä olevat tiedostot poistetaan/siirretään käynnistyksen yhteydessä.
[*]Käynnistyksen jälkeen liitä Dr.Web-lokin, jonka tallensit aiemmin, sisältö seuraavaan vastaukseesi.

jaris25 · 26.02.2007

nyt se vain heitää sen ilmoituksen siitä etäproseduurin katkeamisesta,taidan vaivata sua ihan liikaa tällä ongelmallani. lataan tuon dr.webin nyt seuraavaksi

jaris25 · 26.02.2007

Sanooko sulle mitään tälläinen kun löysin jetico palomuurin process attack tablesta tälläiset: attacker starts application with hidden window ja tiedostot: d:\programfiles\ msnmessenger \ msnmsgr.exe
d:\windows\system32\explorer.exe ja d:\programfiles\amil software\avast4\setup\avast01\setup
onko noille syytä tehdä jotain?

Drweb logi :
riched20.dll;D:\Program Files\MSN Messenger;Adware.Msearch;Incurable.Moved.;
A0000177.exe;D:\System Volume Information\_restore{2B214DB9-338F-4787-98E5-8EBD8F31207E}\RP2;Probably BACKDOOR.Trojan;Incurable.Moved.;
A0000165.exe;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP3;Probably BACKDOOR.Trojan;Incurable.Moved.;
A0002500.DLL;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.Funweb;Incurable.Moved.;
A0002502.DLL;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.Msearch;Incurable.Moved.;
A0002506.SCR;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.Msearch;Incurable.Moved.;
A0002507.DLL;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.Funweb;Incurable.Moved.;
A0002508.DLL;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.Msearch;Incurable.Moved.;
A0002509.EXE;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.Msearch;Incurable.Moved.;
A0002510.DLL;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.MWS;Incurable.Moved.;
A0002511.DLL;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.Msearch;Incurable.Moved.;
A0002515.DLL;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.Msearch;Incurable.Moved.;
A0002521.DLL;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.MWS;Incurable.Moved.;
A0002522.DLL;D:\System Volume Information\_restore{407F6799-00F4-4337-B489-0F5FE9069FAC}\RP7;Adware.Msearch;Incurable.Moved.;
A0002413.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.MyWay;Incurable.Moved.;
A0002417.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.MWS;Incurable.Moved.;
A0002419.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.Funweb;Incurable.Moved.;
A0002421.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.Msearch;Incurable.Moved.;
A0002425.SCR;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.Msearch;Incurable.Moved.;
A0002426.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.Funweb;Incurable.Moved.;
A0002427.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.Msearch;Incurable.Moved.;
A0002428.EXE;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.Msearch;Incurable.Moved.;
A0002429.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.MWS;Incurable.Moved.;
A0002430.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.Msearch;Incurable.Moved.;
A0002434.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.Msearch;Incurable.Moved.;
A0002440.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.MWS;Incurable.Moved.;
A0002441.DLL;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Adware.Msearch;Incurable.Moved.;
A0002567.exe;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP10;Probably BACKDOOR.Trojan;Incurable.Moved.;
A0015005.exe;D:\System Volume Information\_restore{A9AA22B2-20DD-4FF3-9542-7CE34E0BAFD0}\RP13;BackDoor.IRC.Sdbot.945;Deleted.;

Kirjaudu tai liity jäseneksi

hjt-logi + windows ongelma

jaris25 Member

atholn Regular member

Hujo Guest

jaris25 Member

jaris25 Member

Hujo Guest

Hujo Guest

jaris25 Member

jaris25 Member

Hujo Guest

jaris25 Member

jaris25 Member

Hujo Guest

jaris25 Member

jaris25 Member

Hujo Guest

jaris25 Member

jaris25 Member

Jaa tämä sivu

Kirjaudu tai liity jäseneksi

hjt-logi + windows ongelma

jaris25 Member

atholn Regular member

Hujo Guest

jaris25 Member

jaris25 Member

Hujo Guest

Hujo Guest

jaris25 Member

jaris25 Member

Hujo Guest

jaris25 Member

jaris25 Member

Hujo Guest

jaris25 Member

jaris25 Member

Hujo Guest

jaris25 Member

jaris25 Member

Jaa tämä sivu

Hyödyllisiä hakuja