Mikä ottaa yhteyttä koneelta?

Tuossa asennettuani erään nyt jo poistetun ohjelman joka tekee kansiosta HTML-sivun, kun huomasin että ongelmat alkoivat: Firefox meni sekaisin ja muuttui omituisen hitaaksi ja cpu-syöpöksi ja PG2 alkoi blokkaamaan koneeltapäin liikennettä johonkin mainospaikkaan (IP: 194.126.131.100, ADTECH Advertising Service GmbH, adtechiin). Lisäksi on outoa että yhteyttä yritetään ottaa melkein jokaisesta portista, tosin järjestyksessä, ei monesta kerrallaan.

HjT:n pyöräytin, ei mitään outoa siellä, MS Antispywaren myös - ei mitään sielläkään. Parhaillaan skannaan konetta virusten varalta, mutta veikkaan ettei mitään löydy

Osaisiko joku auttaa?

 

En tiedä auttaako, mutta itsellä oli joskus saman tapainen ongelma jonka sain positettua RegSupreme ohjelmalla. Jonkun näköinen rekisterieditori. Eli siis ittellä oli joku ohjelma jonka poistin ja sen jälkeen alkoi ongelmia niin toi ohjelma löysi rekisteristä siihen ohjelmaan kuuluvia juttuja (ei harmaintakaan hajua mitä olivat) mutta ne poistamalla poistuis myös ongelma.

 

Joku örkkihän siellä yrittää kotiinsa soitella mutta miten sen sais kiinni?? eScan? Ja HjT:stä olet varma?

 

No, pistetään nyt kuitenkin tuota logia:

Logfile of HijackThis v1.99.0
Scan saved at 23:14:05, on 12.5.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Stardock\SDMCP.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\Norman\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINDOWS\System32\alg.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Norman\Nvc\BIN\npfmsg2.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Netropa\InetKb\Inetkb.exe
C:\progra~1\valve\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\aNACONDA\aCAUptime\AcaUptime.exe
C:\Documents and Settings\minä\Omat tiedostot\Imutetut\framxpro\FreeRAM XP Pro 1.40.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Samurize\Client.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\BitComet\BitComet.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Documents and Settings\minä\Omat tiedostot\Imutetut\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\progra~1\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AcaUptime] C:\Program Files\aNACONDA\aCAUptime\AcaUptime.exe
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Documents and Settings\minä\Omat tiedostot\Imutetut\framxpro\FreeRAM XP Pro 1.40.exe" -win
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Client Default.lnk = C:\Program Files\Samurize\Client.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Loogisen levyn hallinnan valvontapalvelu - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Tapahtumaloki - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: CD-levyjen kirjoittamisen IMAPI COM -palvelu - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Moi_rsp - Unknown - (no file)
O23 - Service: Netropa NHK Server - Unknown - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Resurssilokit ja -hälytykset - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Tdtcnareena - Unknown - (no file)
O23 - Service: Aseman tilannevedos - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WMI resurssisovitin - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Eikä löytynyt mitään virustarkistuksessakaan.

EDIT: Ongelmat tuliketun kanssa loppuivat kun asensin sen puhtaasti uudelleen.

 

Ei siellä örkkiä näy ei. Tuosta aNACONDASTA meillä taisi olla taannoin juttua että se on OK. Mikähän into Adobella on ollut noita 08 rivejä tehdä?.
Nuo voit fixata, mitä sitten lie olleetkaan?
O23 - Service: Moi_rsp - Unknown - (no file)
O23 - Service: Tdtcnareena - Unknown - (no file)

Sitten tämä
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
Tuo slserv.exe on laillinen ja sen pitäisi olla system32 kansiossa, katso löytyykö.

Vieläkö muuten on ongelmia, vai loppuivatko Foxin uusasennukseen??

 

O23 - Service: Moi_rsp - Unknown - (no file)
O23 - Service: Tdtcnareena - Unknown - (no file)

Nuo on jo fixattu, näkyvät vaan listalla koska konetta ei ole rebootattu vielä. Slserv.exe löytyi system32-kansiosta. Ei ole nyt vähään aikaan tullut logiin noita merkintöjä, mitkä ekassa postauksessa mainitsin. Vähän outoa.

 

Jospa se örkki oli Foxin tempissä

 

Jaahas, muut ongelmat loppuivat mutta Firefox alkoi uudeleen kettuilemaan

Huomasin tuossa että kun koneen käynnistää niin kettu toimii normaalisti mutta kun selaa koneen tiedostoja niin FF:n jumiminen alkaa heti. Tämä menee erittäin oudoksi.

 

Hae Startdreck

http://www.niksoft.at/_data/startdreck.zip

Pura Startdreck OMAAN KANSIOON ja avaa se
Paina 'Config'
Paina 'Unmark All'
Laita merkki noihin ruutuihin
Registry = Run Keys
System/Drivers = Running processes
Paina Ok
Paina Save
Kansioon ilmestyi Startdreck.log, kopioi sisältö ja laita tänne.

 

Tuossapa logia:

StartDreck (build 2.1.7 public stable) - 2005-05-13 @ 16:34:33 (GMT +03:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 2)
Internet Explorer: 6.0.2900.2180
Logged in as minä at JANNE

»Registry
»Run Keys
»Current User
»Run
*MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
*Steam="c:\progra~1\valve\steam\steam.exe" -silent
*ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
*AcaUptime=C:\Program Files\aNACONDA\aCAUptime\AcaUptime.exe
*FreeRAM XP="C:\Documents and Settings\minä\Omat tiedostot\Imutetut\framxpro\FreeRAM XP Pro 1.40.exe" -win
*PeerGuardian=C:\Program Files\PeerGuardian2\pg2.exe
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
*="C:\WINDOWS\System32\Rename.exe"
»Local Machine
»Run
*Wizard=
*ATIPTA=C:\ATI-CPanel\atiptaxx.exe
*SoundMan=SOUNDMAN.EXE
*Microsoft Works Update Detection=C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
*Norman ZANDA=C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
*Logitech Utility=Logi_MwX.Exe
*DAEMON Tools-1033="C:\Program Files\D-Tools\daemon.exe" -lang 1033
*BootSkin Startup Jobs="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
*SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
*gcasServ="C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
*MULTIMEDIA KEYBOARD=C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
*AnyDVD=C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
*CloneCDTray="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+640=\SystemRoot\System32\smss.exe
+680=\??\C:\WINDOWS\system32\csrss.exe
+704=\??\C:\WINDOWS\system32\winlogon.exe
+752=C:\WINDOWS\system32\services.exe
+764=C:\WINDOWS\system32\lsass.exe
+924=C:\WINDOWS\system32\svchost.exe
+996=C:\WINDOWS\system32\svchost.exe
+1024=C:\WINDOWS\System32\svchost.exe
+1136=C:\WINDOWS\System32\svchost.exe
+1292=C:\WINDOWS\system32\spoolsv.exe
+1404=C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
+1468=C:\Norman\bin\ZANDA.EXE
+532=C:\Norman\bin\NJEEVES.EXE
+1192=C:\WINDOWS\System32\alg.exe
+496=C:\Program Files\Common Files\Stardock\SDMCP.exe
+540=C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
+1504=C:\Program Files\Stardock\Object Desktop\RightClick\RightClick.exe
+1988=C:\ATI-CPanel\atiptaxx.exe
+1744=C:\WINDOWS\SOUNDMAN.EXE
+2064=C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
+2076=C:\Norman\bin\ZLH.EXE
+2124=C:\Program Files\D-Tools\daemon.exe
+2232=C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
+2244=C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
+2256=C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
+2292=C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
+2404=C:\Program Files\MSN Messenger\MsnMsgr.Exe
+2452=C:\Program Files\Logitech\MouseWare\system\em_exec.exe
+2464=C:\progra~1\valve\steam\steam.exe
+2520=C:\WINDOWS\system32\ctfmon.exe
+2572=C:\Program Files\aNACONDA\aCAUptime\AcaUptime.exe
+2776=C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
+2792=C:\Program Files\PeerGuardian2\pg2.exe
+2856=C:\Program Files\Netropa\Onscreen Display\OSD.exe
+2920=C:\Program Files\Netropa\InetKb\Inetkb.exe
+3172=C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
+4048=C:\Program Files\Samurize\Client.exe
+4092=C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
+2972=C:\Program Files\BitComet\BitComet.exe
+3312=C:\Program Files\Winamp\winamp.exe
+1764=C:\NORMAN\Nvc\BIN\nvcoas.exe
+3552=C:\Norman\Nvc\BIN\NIP.EXE
+2892=C:\Norman\Nvc\BIN\npfmsg2.exe
+492=C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
+2488=C:\NORMAN\Nvc\BIN\nipsvc.exe
+316=C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
+3116=C:\Norman\Nvc\bin\cclaw.exe
+3388=C:\WINDOWS\explorer.exe
+1336=C:\WINDOWS\system32\taskmgr.exe
+1696=C:\WINDOWS\system32\msiexec.exe
+2460=C:\Program Files\Opera 8 Beta\Opera.exe
+3564=C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
+1656=C:\Documents and Settings\minä\Työpöytä\startdreck217\StartDreck.exe
»Application specific

 

Nyt on vähän kiire, katson myöhemmin paremmin. mutta koitas tätä. Muuta tuon C:\WINDOWS\System32\Rename.exe pääte vaikka securen tapaan .0xe ja kokeile auttaako?

 

Jos haluut itte katella että mitä tuolla koneella pyörii niin hommaa sellanen ohjelma kuin WinTasks... Se näyttää kaikki prosessit mitä sun koneella pyörii ja mitä ne on... On vissiin win xp sulla käyttiksenä? Jos et ole pitkään aikaan sitä asentanu uudestaan ja oot kokeillu paljon erillaisia ohjelmia niin sillon alkaa winukka käymään raskaaks ja sillon kannattaa tehä puhdas asennus...