ShopAtHome

Eli Spybot 1.3 löytää tällaisen ShopAtHome <$WINSOCK> LAYERED_PROVIDER pöpön. Googletin tuosta ja huomasin ettei tuota ole helppo poistaa, tai ainakin moni näin foorumeille kertoo. Kysyisinkin uskaltaako tuolla Spybotilla koittaa tuon poistoa? Joku oli koittanut poistaa tuolla ja joutunut asentamaan tämän jälkeen WinXP:n uudelleen, koska oli jäädyttänyt koko nettiyhteyden. Eli mitenkä teen? Apuvaa!! Mitä pahaa tuo ShotAtHome tekee?

 

No minä ainakin poistaisin sen Lisää/Poista sovelluksesta.

 

Häh, lisää/poista? Kyllä varmaan itsekkin poistaisin jos vaan löytyisi sieltä se? Listalla ei mitään epänormaalia. Millä tuon saisi pois? Tässä ihan parin tunnin sisällä tullu koneelle, mitään en oo asentanu.

 

Itseasiassa on voinut olla koneellasi jo jonkunaikaa, tuli vaan nyt näkyviin.
Sammuta kone ja käynnistä uudelleen ja katso vielä Lisää/Poista sovelluksesta jos ShopAtHome löytyisi. Ellei löydy, hae tuolta netti korjauspalikat varmuudenvuoksi
http://koti.mbnet.fi/pattaya1/adaware.htm#INFO

Kokeile sitten poistaa se Spybotilla tai jollain muulla ohjelmalla.

 

Katsoin Spybotin login ja näytti tällaista ShopAtHome: <$WINSOCK> (Winsock, nothing done). Mitä tuo "nothing done" tarkoittaa? Ei näy vieläkään tuolla lisää/poista sovelluksessa. Luin tuolta sivuilta, että ShopAtHome tulee myös RealOne:n mukana (tarkoitetaanko RealPlayeriä) ja sehän minulla koneella on, eli siitä varmaan tullut. Olen huomannut, että eilisestä lähtien RealOne yrittää ottaa yhteyttä jonnekkin aina välillä.. No selailen tuota sivua ja lataan noita palikoita ja koitan sitten poistaa tuon ShopAtHome:n. Vai lähtisikö tuo pöpö jos poistan RealPlayerin? En tee sillä yhtään mitään..

Edit: koneella onkin RealPlayer10, tuleeko senkin mukana?

Edit2: tuo korjauspalikoiden linkki ei toimi, ovatko nuo alla listatut zip paketit samoja ja pitääkö molemmat ladata vai sisältävätkö samat "palikat"?

Edit3: eipä lähtenyt Realin poistossa.

Edit4: näitä edittejähän riittää Käytän muuten F-Securen Antispy:ta ja siinä Ad-Monitoria. Voisiko olla että Ad-Monitor olisi "blokannu" ton pöpön koska tuon logissa ainakin lukee, että estetty rekisterinmuutos. Olen ihan pihalla, kuten varmaan huomaatte.. http://forums.net-integration.net/index.php?showtopic=8940&st=30 tuolla nimimerkki "Cantoris" puhuu jostain bugista, että löytäisi mukamas ShopAtHome:n koneelta. Mitäs toi meinaa? Ad-aware eikä Antispy löydä mitään ShopAtHome:en viittaavaa.. En haluaisi tehdä vielä mitään, koska en todellakaan ole mikään haka näissä asioissa

 

Nyt ei enää edittejä Löytäisikö HijackThis tuon pöpön jos se koneella on?

 

Voihan se hyvinkin olla Spybotin bugi?

Ad-Monitor ainakin estää kaikki poistot/rek.muutokset, se täytyy laittaa manuaalikäytölle niin se kysyy että sallitaanko joku muutos.

Koitas saatko korjauspalikan tästä
http://digital-solutions.co.uk/lavasoft/whndnfix.zip

Laita vain HjT loki, mutta en tiedä näkyykö se siinä.

 

Pitää ladata HjT. Mietityttää, että miksi Antispy eikä Ad-aware löydä tuota ShopAtHome:a vaikka molempien pitäisi se tunnistaa.. Mutta onko jokin keino varmistaa, että tuo pöpö koneellani on?

 

Logfile of HijackThis v1.99.1
Scan saved at 12:53:39, on 9.4.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\F-Secure Internet Security\backweb\1245240\Program\fspex.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe
C:\Program Files\F-Secure Internet Security\FSPC\fspc.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elisa.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Download &All by FD - file://C:\Program Files\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Program Files\FreshDevices\FreshDownload\fdiectx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Näytä &Web-sivuluettelo... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Keskeytä Web-sivujen suodatus - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Kiellä tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Salli tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093787353453
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CE9181F-7C28-42A0-BAEE-2B34D225044A}: NameServer = 212.146.30.200 62.240.72.11
O23 - Service: F-Secure Internet Security 2005 OEM (BackWeb Plug-in - 1245240) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Miltäpä näyttää?

 

Eipä tuolla ihmeempiä näy olevan, kyllä se on uskottava että Spybot näkee harhoja

 

Olen näköjään onnekkaampi kuin tuo toinen joka Spybotilla ShopAtHomen poisti Pöpö lähti, eikä löytynyt enää koneelta. Netti ym. toimii kuin ennen. Luultavasti tuo F-Securen Antispy blokkas ton ennenkuin se tuli koneelle ja Spybot löysi sen "rippeet". Spybothan tekee backupit normaalisti aina, tämän poiston jälkeen ei backuppeja ollut, joten poistikohan jonkin olemattoman pöpön tai sitten se vain oli se Spybotin bugi. No oli mikä oli nyt se on poissa Kiitos Toymaatti ja Mika! Kysyn vielä oliko HjT:n logissa jotain mitä pitäisi tehdä?

 

Ei siellä ole mitään mikä olisi välttämättä tehtävä, mutta jos haluat siistiä lokia niin nuo voit fixata HjT:llä
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab

Ja LPSFixillä 010 rivin näin
Avaa LSPFix
Laita rasti ruutuun, "I know what I’m doing".
Klikkaa vasemmassaruudussa olevaa winsflt.dll, siirrä se oikealla olevaan ruutuun
nuolinäppäimellä, klikkaa "Remove" ja sulje LSPFix.

http://cexx.org/lspfix.htm

 

Tattis! Yhen jutun oon huomannu nyt: toi tehtäväpalkin passiivisten kuvakkeiden piilotus ei toimi enää. Oon ottanu sen pois päältä ja takaisin vaikka kuinka monta kertaa, mutta eipä pirulainen toimi enää Onko vinkkejä saada toimimaan?

 

Sainkin jo toimimaan. Edes takas rämppäämisen jatkaminen auttoin Kiitos Toymaatille ja mikalle vielä kerran avusta.

 

Jeps, täällä ongelman kanssa on eletty jo usean kuukauden ajan. Kokeilin nyt vielä tuota suoraa poistamista Spybotilla, ja ei tarvinnu edes konetta buutata kun oli jo netti poikki. Tällä kertaa älysin sitten tehdä järjestelmänpalautuksen eiliseen, ja nyt toimii taas. Aloin vaan miettimään, josko tuolla kotishoppailulla ja nettini hidastumisella mahtaisi olla jokin yhteys. Vanha konekkin on jo luovutettu parempaan kotiin, eikä toista modeemiakaan löydy, joten hieman pännii tuo ongelma.

Eli muutaman tunnin netin käytön jälkeen nopeus tippuu 200kbp/s --> 20kbp/s. Vaikuttaa siltä että modeemi menee jotenkin tukkoon. Resetti auttaa, mutta hieman on sekin alkanut tympimään.

Niin, että onko tässä vielä jotain ässiä hihassa, joilla ongelma saataisiin eliminitua? Myös täällä F-Secure palomuurina + virustutkana. Selaimena Firefox.

 

Käytitkö poiston jälkeen netin korjauspalikkaa??
http://koti.mbnet.fi/pattaya1/adaware.htm#INFO

 

Taas tuo ShopAtHome uusiutunut koneelleni. Onko jotain ohjelmaa millä saisi koneen immuuniksi tuolle "kotiostoksille"? Riittääkö jos tekee palautuspisteen ennen SAH poistoa eli jos netti ei enää toimi niin palauttaa koneen? Ärsyttävä ohjelma Voiko jäljittää mistä tullut kun näyttää uusiutuvan kokoajan koneelleni eli varmaan tulee joltain "tutulta" sivulta jossa käyn..

 

Asennan SB:n kunhan jaksan. "Oisko", löytyykö sinulta http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453076082 mainittuja tiedostoja tai .exe:jä koneeltasi ja löytyykö tuo SAHagent tai ShopAtHome lisää/poista sovelluksessa? Olen ymmälläni kun koneestani ei löydy mitään noista tiedostoista mitä "pitäisi" löytyä.. Luin jostain, että kyseessä voisi olla Spybotin bugi, tiedä sitten. Toisaalta ei mikään muu ohjelma SAH löydä.