Ongelmani on seuraava:jatkuvasti F-secure joutuu poistamaan Trojan.win32.startpage.uz viruksen(tiedoston nimi on se.dll). Myös Internet explorerissa on aloitussivu about:blank ja se ei enää toimi ollenkaan(käytän firefoxia). Tässä hijackthis loki: Logfile of HijackThis v1.99.1 Scan saved at 16:43:21, on 24.3.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE C:\Program Files\Java\jre1.5.0\bin\jusched.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\program\fsbwsys.exe C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\FSGK32.EXE C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\Program\BackWeb-4119343.exe C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fssm32.exe C:\Program Files\Elisa Tietoturvapalvelu\fswsclds.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMB32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FCH32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FAMEH32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsav32.exe C:\Program Files\Elisa Tietoturvapalvelu\DFW\Program\fsdfwd.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JANIVU~1\LOCALS~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JANIVU~1\LOCALS~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Kolumbus R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;<local>;localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {B77D9FE2-D935-46A0-AD1E-53B1CC926F6E} - C:\WINDOWS\system32\acbodda.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinInit] Win86.exe O4 - HKLM\..\Run: [WinLogin] win32x.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Elisa Tietoturvapalvelu\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Service - {298AC090-E8B1-4D22-9906-EA75512847B6} - http://link.kolumbus.fi/tuki/service/ (file missing) (HKCU) O9 - Extra button: Tuki - {D394C763-8541-4C52-AB43-CFC9C0F46A64} - http://link.kolumbus.fi/tuki/tuki/ (file missing) (HKCU) O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab O18 - Filter: text/html - {3607AB45-11CA-4CB2-A276-802C4869EC8D} - C:\WINDOWS\system32\acbodda.dll O18 - Filter: text/plain - {3607AB45-11CA-4CB2-A276-802C4869EC8D} - C:\WINDOWS\system32\acbodda.dll O23 - Service: Elisa Tietoturvapalvelu (BackWeb Client - 4119343) - Unknown owner - C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Elisa Tietoturvapalvelu\Common\FSAA.EXE (file missing) O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\program\fsbwsys.exe O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\DFW\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\fswsclds.exe Olen poistanut hijackthis, microsoft antispywaren, spysubtrackin ja Ad-awaren avulla se.dll ja about:blank, mutta tulevat heti uudestaan. Mitä voisin tehdä asialle?
Tee fixaus vikasietotilassa. Merkkaa nuo ja klikkaa Fix. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JANIVU~1\LOCALS~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JANIVU~1\LOCALS~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {B77D9FE2-D935-46A0-AD1E-53B1CC926F6E} - C:\WINDOWS\system32\acbodda.dll O4 - HKLM\..\Run: [WinInit] Win86.exe O4 - HKLM\..\Run: [WinLogin] win32x.exe O18 - Filter: text/html - {3607AB45-11CA-4CB2-A276-802C4869EC8D} - C:\WINDOWS\system32\acbodda.dll O18 - Filter: text/plain - {3607AB45-11CA-4CB2-A276-802C4869EC8D} - C:\WINDOWS\system32\acbodda.dll Etsi ja poista tuo C:\WINDOWS\system32\==>acbodda.dll<== Tyhjennä tuo temp kansio C:\DOCUME~1\JANIVU~1\LOCALS~1\Temp Normaali käynnistys, vieläkö temppuilee?
Kiitos todella paljon! Sä oot nero! Ois pitänyt heti kysyä täältä neuvoa. Ainakin se.dll, about:blank ja jatkuva troijalaisen poistaminen on historiaa. Katsoisitko vielä tän lokin. Onko kaikki nyt kunnossa? Logfile of HijackThis v1.99.1 Scan saved at 18:47:31, on 24.3.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\program\fsbwsys.exe C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\FSGK32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fssm32.exe C:\Program Files\Elisa Tietoturvapalvelu\fswsclds.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMB32.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE C:\Program Files\Java\jre1.5.0\bin\jusched.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Elisa Tietoturvapalvelu\Common\FCH32.EXE C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Program Files\Elisa Tietoturvapalvelu\Common\FAMEH32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsav32.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\Program Files\Elisa Tietoturvapalvelu\DFW\Program\fsdfwd.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\Program\BackWeb-4119343.exe C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kolumbus.fi/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Kolumbus R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;<local>;localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Elisa Tietoturvapalvelu\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Service - {298AC090-E8B1-4D22-9906-EA75512847B6} - http://link.kolumbus.fi/tuki/service/ (file missing) (HKCU) O9 - Extra button: Tuki - {D394C763-8541-4C52-AB43-CFC9C0F46A64} - http://link.kolumbus.fi/tuki/tuki/ (file missing) (HKCU) O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab O23 - Service: Elisa Tietoturvapalvelu (BackWeb Client - 4119343) - Unknown owner - C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Elisa Tietoturvapalvelu\Common\FSAA.EXE (file missing) O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\program\fsbwsys.exe O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\DFW\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\fswsclds.exe Uudelleen käynnistämisen jälkeen ainoa ongelma mikä on myös ollut koneessa jo pitkään(joka kerta kun koneen avaa) löytyi vielä niitten sun neuvojen jälkeenkin. Eli spybot löysi taas effectivebandtoolbar nimisen tiedoston. Mitä sille voisi tehdä, että saisi sen hävitettyä lopullisesti?
Hjt loki on nyt kunnossa. Unohtu kertoa aiemmin että piilotiedostot pitää olla näkyvissä että nuo poistot voi tehdä, mutta huomasit sen itsekkin koska fixaus onnistui. Löytyykö koneelta ETSI toiminnolla tuosta effectivebandtoolbar mitään. Seuraavaksi sammuta järjestelmänpalautus, voit laittaa sen takaisin eScanin jälkeen. http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleansystemrestore.shtml Hae eScan, lue ohjeet, päivitä ja scannaa, laita alalaatikon löydöslistan kopio tänne. http://koti.mbnet.fi/pattaya1/escanmwav.htm
Avasin koneen taas uudestaan ja spybot ei löytänyt enää effectivetoolbaria. Ajoin eScan antiviruksen ja se ei löytänyt mitään epäilyttävää. Virus loki(alalaatikko) pysyi tyhjänä. Joten vielä kerran todella suuret kiitokset sulle.
Auta Toymaatti, jällen ongelmia. Joka kerta kun kone on käynnissä F-secure löytää KERRAN seuraavan viruksen: Trojan.Win32.Strapage.vr(C/WINDOWS/SYSTEM32/GJFPAFA.DLL). EScan, Microsoft Antispyware, Ad-Aware ja Spybot eivät löydä mitään. Tässä loki. Onko kaikki ok? Logfile of HijackThis v1.99.1 Scan saved at 17:25:18, on 1.4.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\program\fsbwsys.exe C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\FSGK32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fssm32.exe C:\Program Files\Elisa Tietoturvapalvelu\fswsclds.exe C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMB32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FCH32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FAMEH32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsav32.exe C:\Program Files\Elisa Tietoturvapalvelu\DFW\Program\fsdfwd.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE C:\Program Files\Java\jre1.5.0\bin\jusched.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\Program\BackWeb-4119343.exe C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\Program Files\Microsoft Office\Office10\EXCEL.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Kolumbus R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;;localhost;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Elisa Tietoturvapalvelu\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Service - {298AC090-E8B1-4D22-9906-EA75512847B6} - http://link.kolumbus.fi/tuki/service/ (file missing) (HKCU) O9 - Extra button: Tuki - {D394C763-8541-4C52-AB43-CFC9C0F46A64} - http://link.kolumbus.fi/tuki/tuki/ (file missing) (HKCU) O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab O23 - Service: Elisa Tietoturvapalvelu (BackWeb Client - 4119343) - Unknown owner - C:\PROGRA~1\ELISAT~1\backweb\4119343\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Elisa Tietoturvapalvelu\Common\FSAA.EXE (file missing) O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Elisa Tietoturvapalvelu\backweb\4119343\program\fsbwsys.exe O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\DFW\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\fswsclds.exe
Lokissa ei näy mitään ylimääräistä, eli poista tuo käsin C/WINDOWS/SYSTEM32/==>GJFPAFA.DLL<== Jos ei lähde normaalitilassa niin sitten vikasiedossa. Laita piilotiedostot näkyviin ensin.
Siis F-secure pystyy poistamaan tiedoston aina kun se tulee koneelle, mutta sama tiedosto/troijalainen tulee taas seuraavana päivänä uudestaan, kun kone on auki.
Sit sulla on koneellas todennäkösesti joku troijalaisimuriörminkäinen. Eli se imuroi tota troijalaista.
kokeile vaikka jollai online-scannerilla ettii vielä...http://www.pandasoftware.com/activescan/default.asp?language=1&Country=62&Partner=1&Ref=PR-AS-104 tuossa panda... jos siellä jotai ois.. vaikka htj-loki ei kertonutkaan..
Sori. Siis troijalaisen nimi pysyy samana, mutta tiedoston nimi vaihtuu. Just äsken löytyi seuraava: C:\WINDOWS\SYSTEM32\HGB.DLL. F-secure poisti sen samantien. Panda ei löytänyt mitään sen jälkeen. Mikä on pielessä?
Lataa tuosta DllCompare http://www.downloads.subratam.org/DllCompare.exe Aukaise se ja klikkaa -Run Locate.com- kohtaa Sitten klikkaa -Compare- ja odota että scannaus valmistuu. Sitten klikkaa -Make Log of what was found-. Sitten kopioi alla oleva teksti muistioon(notepadiin) Reg save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" windows1.hiv ren windows1.hiv windows.txt Tallenna se työpöydälle nimellä Appinit.bat Tallennusmuodoksi valitse kaikki tiedostot. Sitten klikkaa sitä Appinit.bat:ia työpöydällä ja ulos tulee windows.txt logi. Laita tänne ne molemmat lokit.
Tässä on tää DllCompare.exe loki: * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM32\mskf.dll Fri 16 Jul 2004 9.22.48 A...R 57 344 56,00 K ________________________________________________ 1 222 items found: 1 222 files, 0 directories. Total of file sizes: 252 546 898 bytes 240,84 M Administrator Account = True --------------------End log--------------------- Toi mskf.dll on tiedosto jota en ikinä pysty "eheyttämään". Klikkasin Appinit.bat, niinkuin käskit ja se aukes, mutta hävis samantien, joten sitä lokia en pysty lähettäämään.
Kokeillaas tähän F-Securen Blaclight betaa http://www.f-secure.com/blacklight/ Kerro löysikö/poistiko mitä
Löysi täsmälleen tän saman: C:\WINDOWS\SYSTEM32\mskf.dll. Mitä teen. Blacklight nimeäisi tiedoston uudelleen, mutta eikö mun kannattaisi poistaa se mielummin manuaalisesti? Poistanko sen itse käsin vikasietotilassa vai mitä?
No eipä sitä tiedostoa tietenkään löytynyt SYSTEM32:sta. Joten nimeän sen vissiin uudestaan Blacklightilla.
Blacklight nimeää uudelleen kyllä tiedoston, mutta uudelleen käynnistämisen jälkeen tiedosto löytyy jälleen Blacklightilla. Mitäs sitten yritetään?
Nyt siellä on jotain muutakin? Hae Startdreck http://www.niksoft.at/_data/startdreck.zip Pura Startdreck OMAAN KANSIOON ja avaa se Paina 'Config' Paina 'Unmark All' Laita merkki noihin ruutuihin Registry = Run Keys System/Drivers = Running processes Paina Ok Paina Save Kansioon ilmestyi Startdreck.log, kopioi sisältö ja laita tänne.