Tehtäväpalkissa vilkkuu, HJT-loki tässä

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi joecool2 07.09.2006.

Viestiketjun tila:
Viestiketju on suljettu.
  1. joecool2

    joecool2 Member

    Liittynyt:
    22.08.2006
    Viestejä:
    14
    Kiitokset:
    0
    Pisteet:
    11
    Tehtäväpalkissa vilkkuu tosiaankin tuollainen Critical System Error, jonka sain jonkun codecin mukana, Codecin sain pois, mutta tuo harmi jäi päälle, olisikos apuja kellä, suuret kiitosket etukäteen..

    Logfile of HijackThis v1.99.1
    Scan saved at 1:37:50, on 8.9.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    C:\Program Files\F-Secure\Common\FSAA.EXE
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\Common\FSGK32.EXE
    C:\Program Files\F-Secure\Common\FNRB32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\Program Files\F-Secure\Common\FIH32.EXE
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\WINDOWS\acoustic.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\notepad.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\notepad.exe
    C:\WINDOWS\notepad.exe
    C:\Data\download\virus\HijackThis_v1.99.1.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [TBTray] acoustic.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153260908671
    O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
    O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
    O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
    O20 - Winlogon Notify: Run - C:\WINDOWS\
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
     
  2.  
  3. Marku2

    Marku2 Regular member

    Liittynyt:
    07.12.2005
    Viestejä:
    1,259
    Kiitokset:
    0
    Pisteet:
    46
    Lataa [bold]SmitfraudFix (c) S!Ri [/bold]
    Pura sisältö (kansio nimeltä [bold]SmitfraudFix[/bold]) työpöydällesi:

    Avaa [bold]SmitfraudFix[/bold] kansio ja tupla-klikkaa [bold]smitfraudfix.cmd[/bold]
    Valitse optio #1 - [bold]Search[/bold] kirjoittamalla [bold]1[/bold] ja painamalla "[bold]Enter[/bold]"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
    Postita tämän tekstitiedoston sisältö viestiketjuusi.

    [bold]Huomaa[/bold]: [bold]process.exe[/bold] filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
    http://www.beyondlogic.org/consulting/processutil/processutil.htm
     
  4. joecool2

    joecool2 Member

    Liittynyt:
    22.08.2006
    Viestejä:
    14
    Kiitokset:
    0
    Pisteet:
    11
    No niin, ajoin tuo Smitfraudfixin ja annoin sen myös korjata sillä 2. valinnalla. Lisäksi poistin pari riviä tuolla HJT:lä. Näiden jälkeen Spybot tai Ad-aware eivät löydä uhkia koneelta. [bold]Silti vaan vilkkuu!!![/bold] Tässä nyt smitfarudfixin ja hjt uusimmat logit. Nuo rivit n:eek: 020 "Winlogon" tuossa vähän ihmetyttävät, voisikohan siinä olla tuo vilkkukuvake juuri? Vaikka poistaa HJT:llä ne, niin aina palautuvat bootatessa... Tekisikö XP:n joku automaattinen palautus (tai mikä ihme se nyt onkaan) tätä?

    Logfile of HijackThis v1.99.1
    Scan saved at 1:15:00, on 10.9.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    C:\Program Files\F-Secure\Common\FSAA.EXE
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\Common\FSGK32.EXE
    C:\Program Files\F-Secure\Common\FNRB32.EXE
    C:\Program Files\F-Secure\Common\FIH32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\WINDOWS\acoustic.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Data\download\virus\HijackThis_v1.99.1.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [TBTray] acoustic.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153260908671
    O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
    O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
    O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
    O20 - Winlogon Notify: Run - C:\WINDOWS\
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)

    ******

    SmitFraudFix v2.81

    Scan done at 1:44:54,99, su 10.09.2006
    Run from C:\Data\download\virus\SmitfraudFix
    OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
    Fix ran in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yrj”\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\YRJ~1\Suosikit


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{7fa55359-7223-410f-bc82-efb3e3ded07f}"="died"

    [HKEY_CLASSES_ROOT\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
    @="C:\WINDOWS\system32\gtpbx.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
    @="C:\WINDOWS\system32\gtpbx.dll"


    »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


    »»»»»»»»»»»»»»»»»»»»»»»» End



     
  5. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Smitfraudfix on vanha, uusin versio on 2.84. Poista vanha, lataa uusi Marku2:den linkistä ja lähetä loki uudella versiolla.
     
  6. Marku2

    Marku2 Regular member

    Liittynyt:
    07.12.2005
    Viestejä:
    1,259
    Kiitokset:
    0
    Pisteet:
    46
    [bold]@joecool2[/bold]: Tee tämä ohje...

    Lataa tuosta Look2Me-Destroyer.exe työpöydällesi.

    TÄRKEÄÄ: Ennen fixin jatkamista, sinun täytyy tehdä seuraavat:



    * Tulosta tämä, tai tallenna tekstitiedostona sopivaan sijaintiin.
    * Klikkaa käynnistä -> Suorita ja kirjoita: services.msc
    * Klikkaa OK.
    * Tarkista että tämä palvelu on käynnissä tai sen käynnistymistapa on automaattinen:
    * Toissijainen kirjautuminen
    * Seuraavaksi tietokoneesi on oltava offlinessa, vedä nettipiuha seinästä jos tarpeen.
    * Virustorjuntasi, ja kaikkien muiden turvaohjelmistojen TÄYTYY olla suljettuja.



    Jatka fixiä:


    * Sulje ikkunat jatkaaksesi.
    * Tupla-klikkaa Look2Me-Destroyer.exe filua ajaaksesi sen.
    * Rastita Run this program as a task.
    * Saat viestin joka sanoo "Look2Me-Destroyer will close and re-open in approximately 1 minute". Klikkaa OK
    * Kun se avautuu uudestaan, klikkaa Scan for L2M valintaa, pikakuvakkeesi katoavat; tämä on normaalia.
    * Kun skannaus on valmis, klikkaa Remove L2M.
    * Saat Done Scanning viestin, klikkaa OK.
    * Kun valmis, saat tämän viestin: Done removing infected files! Look2Me-Destroyer will now shutdown your computer, klikkaa OK.
    * Koneesi sammuu.
    * Käynnistä se uudelleen.
    * Postita C:\Look2Me-Destroyer.txt lokin sisältö seuraavaan viestiisi.

    Sulla on vanha smitfraudfix versio, joten tehdään uudelleen.

    Lataa [bold]SmitfraudFix (c) S!Ri [/bold]
    Pura sisältö (kansio nimeltä [bold]SmitfraudFix[/bold]) työpöydällesi:

    Avaa [bold]SmitfraudFix[/bold] kansio ja tupla-klikkaa [bold]smitfraudfix.cmd[/bold]
    Valitse optio #1 - [bold]Search[/bold] kirjoittamalla [bold]1[/bold] ja painamalla "[bold]Enter[/bold]"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa).
    Postita tämän tekstitiedoston sisältö viestiketjuusi.

    [bold]Huomaa[/bold]: process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää.
    http://www.beyondlogic.org/consulting/processutil/processutil.htm

    Siirrä HijackThis.exe omaan kansioon -> [bold]C:\hjt\[/bold]HijackThis.exe

    Fixaa HjT:llä (do a system scan only, merkkaa ja paina fix checked)
    O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
    O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
    O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
    O20 - Winlogon Notify: Run - C:\WINDOWS\


    Hommaa ewido: http://aaxxeell.googlepages.com/ewido4
    Pävitä, Scannaa, [bold]Poista Löydöt[/bold] ja tallenna raportti.

    Nimeä [bold]HijackThis.exe[/bold] uudelleen -> Scanner.exe

    Lähetä uusi HjT-loki, C:\Look2Me-Destroyer.txt, Smitfraud.txt ja ewidon raportti.
     
    Viimeksi muokattu: 10.09.2006
  7. joecool2

    joecool2 Member

    Liittynyt:
    22.08.2006
    Viestejä:
    14
    Kiitokset:
    0
    Pisteet:
    11
    Kiitos, nyt koetin tehdä työtä käskettyä ja silti vaan vilkkuu:( Ja kun boottaa koneen, ne 020-rivit palautuvat, vaikka hjt fixaa ne pois. Mikähän ne oikein palauttaa? Onko tässä XP:ssä joku automaattinen palautus?

    Tässä näitä lokeja. Ajoin tuon ewidon uudestaan ja nyt se poisti vaan uudelleen aktivoituneen look2me:n. Ekalla kerralla se poisti vaikka kuinka paljon tavaraa. Mutta vilkkumine vaan jatkuu, onpa sitkeä mato...:(

    Look2Me-Destroyer V1.0.12

    Scanning for infected files.....
    Scan started at 11.9.2006 0:17:03

    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003902.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003927.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003931.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003953.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003970.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003974.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003981.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003988.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003998.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004047.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004126.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004132.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004140.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004147.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004155.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004170.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004176.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004232.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004295.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004352.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004383.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004384.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004385.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004386.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004387.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004388.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004389.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004390.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004391.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004392.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004393.dll
    Infected! C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004394.dll

    Attempting to delete infected files...

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003902.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003902.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003927.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003927.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003931.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003931.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003953.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003953.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003970.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003970.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003974.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP60\A0003974.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003981.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003981.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003988.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003988.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003998.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0003998.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004047.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004047.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004126.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004126.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004132.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004132.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004140.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004140.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004147.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004147.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004155.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004155.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004170.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004170.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004176.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004176.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004232.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004232.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004295.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004295.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004352.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004352.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004383.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004383.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004384.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004384.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004385.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004385.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004386.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004386.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004387.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004387.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004388.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004388.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004389.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004389.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004390.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004390.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004391.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004391.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004392.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004392.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004393.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004393.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004394.dll
    C:\System Volume Information\_restore{39014729-3205-4404-BB65-7DDC5A1EEF67}\RP61\A0004394.dll Deleted successfully!

    Making registry repairs.

    Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP
    Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reinstall
    Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Run
    Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Group Policy

    Restoring Windows certificates.

    Replaced hosts file with default windows hosts file


    Restoring SeDebugPrivilege for Järjestelmänvalvojat - Succeeded

    ************

    SmitFraudFix v2.86

    Scan done at 0:23:45,17, ma 11.09.2006
    Run from C:\Data\download\virus\SmitfraudFix
    OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
    Fix ran in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\gtpbx.dll FOUND !
    C:\WINDOWS\system32\ismini.exe FOUND !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yrj”\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\YRJ~1\Suosikit


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{7fa55359-7223-410f-bc82-efb3e3ded07f}"="died"

    [HKEY_CLASSES_ROOT\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
    @="C:\WINDOWS\system32\gtpbx.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
    @="C:\WINDOWS\system32\gtpbx.dll"



    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


    »»»»»»»»»»»»»»»»»»»»»»»» End




    ******



    ja tässä viimeisin ewido:

    ewido anti-spyware - Scan Report
    ---------------------------------------------------------

    + Created at: 1:03:31 11.9.2006

    + Scan result:



    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP -> Adware.Look2Me : Cleaned with backup (quarantined).


    ::Report end



    ************



    Tämä boottuksen jälkeen:
    Logfile of HijackThis v1.99.1
    Scan saved at 0:55:21, on 11.9.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\F-Secure\Common\FSAA.EXE
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\Common\FSGK32.EXE
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\WINDOWS\acoustic.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\F-Secure\Common\FNRB32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\Program Files\F-Secure\Common\FIH32.EXE
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\hjt\scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [TBTray] acoustic.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153260908671
    O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
    O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
    O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
    O20 - Winlogon Notify: Run - C:\WINDOWS\
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)

    *********
    Ja tämä jos sen fixin ajaa taas:
    Logfile of HijackThis v1.99.1
    Scan saved at 1:10:38, on 11.9.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\F-Secure\Common\FSAA.EXE
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\Common\FSGK32.EXE
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\WINDOWS\acoustic.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\F-Secure\Common\FNRB32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\Program Files\F-Secure\Common\FIH32.EXE
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\hjt\scanner.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\NOTEPAD.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [TBTray] acoustic.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153260908671
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)






     
  8. Marku2

    Marku2 Regular member

    Liittynyt:
    07.12.2005
    Viestejä:
    1,259
    Kiitokset:
    0
    Pisteet:
    46
    Printtaa ohjeet ulos/Tallenna ne.

    Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi.

    Kun vikasietotilassa, avaa [bold]SmitfraudFix[/bold] kansio ja tupla-klikkaa [bold]smitfraudfix.cmd[/bold]
    Valitse optio #2 - [bold]Clean[/bold] kirjoittamalla [bold]2[/bold] ja painamalla "[bold]Enter[/bold]" poistaaksesi tarttuneet tiedostot.

    Sinulta kysytään: "Registry cleaning - Do you want to clean the registry ?"; vastaa "Yes" kirjoittamalla [bold]Y[/bold] ja paina "Enter" poistaaksesi työpöydän taustakuvan ja puhdistaaksesi tarttuneet rekisteriavaimet.

    Työkalu tarkistaa jos [bold]wininet.dll[/bold] on tarttunut. Sinua saatetaan pyytää korvaamaan tarttunut .dll (jos löytyy); vastaa "Yes" kirjoittamalla [bold]Y[/bold] ja painamalla "Enter".

    Työkalun saattaa tarvita käynnistää kone uudelleen; jos ei tee niin, käynnistä normaaliin Windowsiin.
    Tekstitiedosto ilmestyy, puhdistusprosessin jäljiltä; kopioi & liitä tämän raportin tulokset vastaukseesi.
    Raportti löytyy paikalliselta levyltäsi, useimmiten [bold]C:\rapport.txt.[/bold]

    Varoitus: Ajamalla optio 2:n EI-tarttuneessa tietokoneessa, poistaa sinun työpöytäsi taustakuvan.

    [bold]Javan päivitys:[/bold]

    [*]Klikkaa [bold]Käynnistä[/bold] -> [bold]Ohjauspaneeli[/bold] ja tupla-klikkaa [bold]Lisää tai poista sovellus[/bold] Ohjauspaneelissa.
    [*]Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... )
    Niissä pitäisi olla seuraava kuva vieressä: [​IMG]
    [*]Valitse kaikki entiset Java versiosi ja valitse [bold]Poista.[/bold]
    [*][bold]Asenna uusin Java päivitys seuraavasta linkistä..[/bold]
    [*][bold]Käynnistä kone uudelleen asennuksen jälkeen[/bold]:

    http://java.sun.com/javase/downloads/index.jsp

    [*]Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi).
    [*]Temporary Internet Files -osion alla, klikkaa [bold]Delete Files[/bold] nappia.
    [*]Varmista että kaikki kolme valintaa ovat rastitettuja:

    [bold]Downloaded Applets
    Downloaded Applications
    Other Files[/bold]

    [*]Klikkaa OK "Delete Temporary Internet Files" -ikkunassasi.
    [bold]Huomaa: Tämä poistaa kaikki ladatut sovellukset ja appletit VÄLIMUISTISTA.[/bold]
    [*]Klikkaa OK jättääksesi Java asetusikkunasi.


    Lähetä uusi HjT-loki ja C:\rapport.txt
     
  9. joecool2

    joecool2 Member

    Liittynyt:
    22.08.2006
    Viestejä:
    14
    Kiitokset:
    0
    Pisteet:
    11
    Kiitos Marku2, ehdin vasta huomenna keskiviikkona koneen kimppuun. Raportoin sitten heti, mutta jo tässä vaiheessa siis suuret kiitokset vaivan näöstäsi!
     
  10. Marku2

    Marku2 Regular member

    Liittynyt:
    07.12.2005
    Viestejä:
    1,259
    Kiitokset:
    0
    Pisteet:
    46
    Okei, hyvä että ilmoitit. Että tiedän milloin taas jatketaan. :)
     
  11. joecool2

    joecool2 Member

    Liittynyt:
    22.08.2006
    Viestejä:
    14
    Kiitokset:
    0
    Pisteet:
    11
    No niin, tässä tätä. Nyt taitaa ongelma ilmeisesti olla ratkaistu, sillä enää ei vilku palkissa. Avain taisi olla tuo Smitfraudfixin ajaminen vikasietotilassa... JOtainhan se sanoo poistaneensa. Kyllä nuo rivit n:eek: 020 siellä hjt:ssä edelleen näkyvät, mutta silti ei vilku. Vilkaisehan miltä nämä sinun silmiisi nyt näyttävät, java on päivitetty myöskin.

    Tässä Smitfraudfixinraportti alkuun:

    SmitFraudFix v2.86

    Scan done at 23:04:36,62, ke 13.09.2006
    Run from C:\Data\download\virus\SmitfraudFix
    OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
    Fix ran in safe mode

    »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{7fa55359-7223-410f-bc82-efb3e3ded07f}"="died"

    [HKEY_CLASSES_ROOT\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
    @="C:\WINDOWS\system32\gtpbx.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
    @="C:\WINDOWS\system32\gtpbx.dll"


    »»»»»»»»»»»»»»»»»»»»»»»» Killing process


    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    C:\WINDOWS\system32\gtpbx.dll -> Hoax.Win32.Renos.gen.d
    C:\WINDOWS\system32\gtpbx.dll -> Deleted


    »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


    »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


    »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

    Registry Cleaning done.

    »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» End





    HJT sanoo nyt näin:

    Logfile of HijackThis v1.99.1
    Scan saved at 0:23:33, on 14.9.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\F-Secure\Common\FSAA.EXE
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\Common\FSGK32.EXE
    C:\Program Files\F-Secure\Common\FNRB32.EXE
    C:\Program Files\F-Secure\Common\FIH32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\WINDOWS\acoustic.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\hjt\scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [TBTray] acoustic.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153260908671
    O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} (Java Plug-in 1.4.2_03) -
    O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
    O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
    O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
    O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
    O20 - Winlogon Notify: Run - C:\WINDOWS\
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)

     
  12. Marku2

    Marku2 Regular member

    Liittynyt:
    07.12.2005
    Viestejä:
    1,259
    Kiitokset:
    0
    Pisteet:
    46
    1. Käynnistä Spybot-S&D Edistyneessä tilassa
    2. Jos se ei ole Edistyneessä tilassa, mene Tila-valikkoon ja valitse Edistynyt tila
    3. Klikkaa vasemmalla Työkalut
    4. Klikkaa listassa Pysyvä suojaus
    5. Ota rasti pois kohdasta "Pysyvä TeaTimer" ja paina OK.

    Käynnistä kone vikasietotilaan.

    FIxaa nämä: O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
    O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
    O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
    O20 - Winlogon Notify: Run - C:\WINDOWS\


    Käynnistä kone uudelleen.

    Lähetä uusi HjT-loki. Onko vielä ongelmia?
     
  13. joecool2

    joecool2 Member

    Liittynyt:
    22.08.2006
    Viestejä:
    14
    Kiitokset:
    0
    Pisteet:
    11
    Nyt vaikuttaa hyvälle. Ne 020-rivitkin katosivat. Tosiaankin tuo vikasietotilassa fiksailu tutntuu tehoavan. Onko mitä haittaa, jos tuon Tea Timerin ja sen toisen pysyvän selaimen "vahdin" nappaa päälle?

    Tässä vielä se logi boottauksen jälkeen:

    Logfile of HijackThis v1.99.1
    Scan saved at 0:58:56, on 15.9.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\F-Secure\Common\FSAA.EXE
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\Common\FSGK32.EXE
    C:\Program Files\F-Secure\Common\FNRB32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\Program Files\F-Secure\Common\FIH32.EXE
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\acoustic.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\hjt\scanner.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suomi24.fi/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [TBTray] acoustic.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153260908671
    O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} (Java Plug-in 1.4.2_03) -
    O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)

     
  14. Marku2

    Marku2 Regular member

    Liittynyt:
    07.12.2005
    Viestejä:
    1,259
    Kiitokset:
    0
    Pisteet:
    46
    HjT-loki on puhdas.

    Putsaa järjestelmänpalautus:
    1. Klikkaa oikealla käynnistävalikon My Computer- tai oma tietokone-kuvaketta
    2. Valitse Properties/ominaisuudet
    3. Valitse System Restore/järjestelmän palauttaminen välilehti
    4. Valitse "Turn off System Restore"/poista järjestelmän palauttaminen kaikissa asemissa
    5. Paina Apply/käytä
    6. Paina OK
    7. Käynnistä kone uudelleen
    8. Palauta asetukset takaisin
     
  15. joecool2

    joecool2 Member

    Liittynyt:
    22.08.2006
    Viestejä:
    14
    Kiitokset:
    0
    Pisteet:
    11
    Kiitos Marku2 vaivannäöstäsi! Tämän putsauksen vielä teen ja varon vastedes kaikkia houkuttelevia codec'eja sun muita vastaavia epämääräisyyksiä :)

    Tuo suosittelemasi toimenpide kaiketi hävittää samalla kaikki Windowsin aiemmatkin palautuspisteet, mutta se lienee tarkoituskin?
     
  16. Marku2

    Marku2 Regular member

    Liittynyt:
    07.12.2005
    Viestejä:
    1,259
    Kiitokset:
    0
    Pisteet:
    46
    Juu oli tarkoitus, mutta niitä palautuspisteitä se luo automaattisesti. :)

    Jos sulla ei ole codec pakkia, ja tarvitset niin laita -> FFDSHOW
    FFDSHOW:ssa on video sekä ääni codecit. Eli et tarvitse muuta.
     
    Viimeksi muokattu: 17.09.2006
  17. joecool2

    joecool2 Member

    Liittynyt:
    22.08.2006
    Viestejä:
    14
    Kiitokset:
    0
    Pisteet:
    11
    Jeps, nyt tämä menee jo offtopic, mutta menköön. Käsittääkseni vanhemmassa ffdsowssa ei ollut noita tykötarpeita ja esim. zoomplayerin kanssa piti käyttää vaikkapa windvd:tä videolle ja äänelle. No nyt kun asensin (koneen "räjähdyksen" jälkeen) koko systeemin uusiksi, niin jostain ihmeen syystä en saanut spdif'iin ääntä ulos kun käytin windvd:n ääniasetuksia zp:ssä. Vaihtaessani powerdvd:n äänipuolelle, kaikki toimi. Mutta sitten sekosin näihin, kun powerdvd lakkasi kuukauden jälkeen toimimasta..;-)

    Uusin ffdshow on jo ladattu ja odottaa aikaa ehtiä ottaa se käyttöön ja viritellä sitä. Huomasin kyllä, että zp:n asetuksiin oli ilmestynyt äänipuolelle (muttei videopuolelle???) ffdshow sen uusimman version asennuksen jälkeen ja se oli tarkoituksena kokeillakin heti kun ehtii.

    Sen kummempaa tavoitetta ei siis ole, kuin saada DVD-kuva tykille zp:n ja ffdsown kautta ryyditettynä ja ääni vahvistimelle spdif'n kautta. ilmeisesti windvd-zp-ffwshow on riittävä paketti ja muuta en tarvitse.

    Systeemi toimi hienosti 1,5 vuotta noilla vanhemmilla versioilla, kunnes räjähti:( Nyt minulla on toimiva versio noista vindvd:stä ja zp:stä, vain ääni siis tökki...
     
  18. Marku2

    Marku2 Regular member

    Liittynyt:
    07.12.2005
    Viestejä:
    1,259
    Kiitokset:
    0
    Pisteet:
    46
    En ole hirveästi perehtynyt, noihin ääni juttuihin ;)
    Mutta oletko päivittänyt äänikortin ajurit?
     
  19. joecool2

    joecool2 Member

    Liittynyt:
    22.08.2006
    Viestejä:
    14
    Kiitokset:
    0
    Pisteet:
    11
    Kiitos, ei sinun tarvitse äänispesialisti ollakaan:) Olet ollut paljon suuremmaksi avuksi tuntemalla tätä haittapöpöpuolta! kyllä minä nuo loihdin kuntoon ja onhan näitä foorumeita (täälläkin sivustolla), joissa pähkäillään nimenomaan näitä viihdepuolen asioita:) Kiitos, pannaan tämä ketju nyt jäihin :)

     
Viestiketjun tila:
Viestiketju on suljettu.

Jaa tämä sivu