Kone taitaa olla demonin riivaama

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi miryt79 02.10.2006.

Viestiketjun tila:
Viestiketju on suljettu.
  1. miryt79

    miryt79 Member

    Liittynyt:
    09.09.2006
    Viestejä:
    6
    Kiitokset:
    0
    Pisteet:
    11
    Moikka
    Osaisittekos auttaa,kaverilla alla oleva ongelma. Suosittelin että ajaa hjt:n ja smitfraudin mutta ei ole tuntunut auttavan...

    Kone taitaa olla demonin riivaama... Aina kun yrittää avata jonkun
    virusksentorjunta-, tai kaapauspoistoohjelman niin kone sulkee sen
    automaattisesti, esm hijackthis nettisivu ei avautunut eikä liiemmin
    logitkaan. Joten jouduin ajamaan ne vikasietotilassas.

    Logfile of HijackThis v1.99.1
    Scan saved at 22:28:12, on 1.10.2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\userinit.exe
    C:\WINNT\Explorer.EXE
    C:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\hijack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Sonera Plaza Oy
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.inet.fi:800
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;*.*.fi;*.*.*.fi;localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    R3 - URLSearchHook: (no name) - {5CF377A2-D052-1B86-A240-CF4E5F7D865F} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\Isass.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\exo32.exe
    O4 - HKLM\..\Run: [Windows APCI Verifier] dev.exe
    O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe
    O4 - HKLM\..\RunServices: [Windows APCI Verifier] dev.exe
    O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O4 - Global Startup: Enable Labtec Wireless Desktop.lnk = C:\Program Files\Labtec Wireless Desktop\MagicKey.exe
    O4 - Global Startup: Digital TV Stick.lnk = C:\Program Files\Digital TV\Digital TV Stick\dvbapp.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.soneraplaza.fi
    O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://avustaja.sonera.fi/sdccommon/download/tgctlcm.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5881AC6C-E589-4097-814A-1A7C36340F62}: NameServer = 85.255.116.18,85.255.112.185
    O17 - HKLM\System\CCS\Services\Tcpip\..\{747F7964-E544-4E49-9BB0-F9B54A3A1AF4}: NameServer = 85.255.116.18,85.255.112.185
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B23516B5-BFA0-41C2-B3E2-3B1D34B820A1}: NameServer = 85.255.116.18,85.255.112.185
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: FSMA - Unknown owner - d:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE (file missing)
    O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe (file missing)
    O23 - Service: Microsoft Security Login Service - Unknown owner - C:\WINNT\system32\dllcache\mssecure32.exe
    O23 - Service: Microsoft update Service - Unknown owner - C:\WINNT\system32\dllcache\msiupdate32.exe
     
    miryt79, 02.10.2006
    #1
  2.  
  3. hannu71

    hannu71 Regular member

    Liittynyt:
    09.02.2006
    Viestejä:
    256
    Kiitokset:
    0
    Pisteet:
    26
    hijackthis omaan kansioon C:\HJT\HijackThis.exe

    Teatimer pitää ottaa fixien ajaksi pois päältä
    1. Käynnistä Spybot-S&D Edistyneessä tilassa
    2. Jos se ei ole Edistyneessä tilassa, mene Tila-valikkoon ja valitse Edistynyt tila
    3. Klikkaa vasemmalla Työkalut
    4. Klikkaa listassa Pysyvä suojaus
    5. Ota rasti pois kohdasta "Pysyvä TeaTimer" ja paina OK.
    6. Käynnistä kone uudelleen.

    Lataa Ewido (ohjeet & latausosoite -> http://aaxxeell.googlepages.com/ewido4) asenna ja päivitä ohjeiden mukaan. Älä skannaa vielä!

    Lataa fixwareout.exe täältä > http://downloads.subratam.org/Fixwareout.exe
    tai täältä >
    http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe
    ja tallenna se työpöydälle. Tuplaklikkaa sitä ja seuraa ohjeita. Klikkaa Next, sitten Install ja varmistu, että "Run fixit" on valittu. Sinun pitää käynnistää kone uudelleen, kun niin käsketään.

    Avaa HijackThis, klikkaa do a system scan only, merkkaa nämä rivit. Sitten sulje kaikki muut ikkunat ja paina fix checked.
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R3 - URLSearchHook: (no name) - {5CF377A2-D052-1B86-A240-CF4E5F7D865F} - (no file)
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\Isass.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\exo32.exe
    O4 - HKLM\..\Run: [Windows APCI Verifier] dev.exe
    O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe
    O4 - HKLM\..\RunServices: [Windows APCI Verifier] dev.exe
    O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/ins...staller_gmn.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5881AC6C-E589-4097-814A-1A7C36340F62}: NameServer = 85.255.116.18,85.255.112.185
    O17 - HKLM\System\CCS\Services\Tcpip\..\{747F7964-E544-4E49-9BB0-F9B54A3A1AF4}: NameServer = 85.255.116.18,85.255.112.185
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B23516B5-BFA0-41C2-B3E2-3B1D34B820A1}: NameServer = 85.255.116.18,85.255.112.185
    O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe (file missing)
    O23 - Service: Microsoft Security Login Service - Unknown owner - C:\WINNT\system32\dllcache\mssecure32.exe
    O23 - Service: Microsoft update Service - Unknown owner - C:\WINNT\system32\dllcache\msiupdate32.exe


    Kopioi/liitä seuraava teksti lainausboksista alapuolella tyhjään
    muistiofiluun. Varmista että tiedostotyyppi on "All Files" ja
    tallenna se Poisto.bat. nimisenä työpöydällesi.

    Lainaus
    ------------------
    @echo off
    sc stop lsass
    sc delete lsass
    sc stop "Microsoft Security Login Service"
    sc delete "Microsoft Security Login Service"
    sc stop "Microsoft update Service"
    sc delete "Microsoft update Service"

    ------------------
    Sitten aja työpöydällä oleva Poisto.bat-tiedosto.


    laita tarvittaessa piilotiedostot näkyviin. ohje==> http://keskustelu.afterdawn.com/thread_view.cfm/248944

    mene vikasietotilaan. ohje==>
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406

    poista seuraavat:
    C:\WINNT\system32\==>Isass.exe<== huomaa tuossa on iso I ei pieni l
    C:\==>exo32.exe<==
    C:\WINNT\==>lsass.exe<==
    C:\WINNT\system32\dllcache\==>mssecure32.exe<==
    C:\WINNT\system32\dllcache\==>msiupdate32.exe<==

    käytä etsi toimintoa ja poista jos löytyy
    dev.exe
    rspc.exe

    Aja ewido (vikasietotilassa)

    Käynnistä kone normaali tilaaan ja laita piilotiedostot takaisin piiloon

    Javan päivitys ja välimuistin tyhjennys

    1. Klikkaa Käynnistä > Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa.
    2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
    Niissä pitäisi olla seuraava kuva vieressä:
    3. Valitse kaikki entiset Java versiosi ja valitse Poista.
    4. Asenna uusin Java päivitys seuraavasta linkistä..
    5. Käynnistä kone uudelleen asennuksen jälkeen:

    http://java.sun.com/javase/downloads/index.jsp

    6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).
    7. Temporary Internet Files -osion alla, klikkaa Delete Files nappia.
    8. Varmista että kaikki kolme valintaa ovat rastitettuja:

    Downloaded Applets
    Downloaded Applications
    Other Files

    9. Klikkaa OK "Delete Temporary Internet Files" -ikkunassasi.
    Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.
    10. Klikkaa OK jättääksesi Java asetusikkunasi.


    Lähetä uusi HjT-loki, c:\fixwareout\report.txt sisältö ja ewidon raportti
     
    hannu71, 02.10.2006
    #2
Viestiketjun tila:
Viestiketju on suljettu.

Jaa tämä sivu