Tietokoneella virus joka ei häviä..(HJT)

Elikkä tälläinen olisi HJT logi. Jos joku haluaisi kertoa että mikä konetta vaivaa. Käyttis on Win7 x32
Symantec Endpoint protection herjaa jsotain viruksesta aina käynnistyksessä. Vaikka pyytää käynnistämään koneen uudestaan että saa poistettua viruksen kokonaan. Aina se silti tulee takaisin.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:05:13, on 24.7.2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\Windows\System32\do_not_delete.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Windows\System32\do_not_delete.exe
C:\Windows\System32\do_not_delete.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\do_not_delete.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe
O4 - HKLM\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe
O4 - HKCU\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Paikallinen palvelu')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Paikallinen palvelu')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Verkkopalvelu')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Verkkopalvelu')
O4 - HKUS\S-1-5-18\..\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix:
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe

--
End of file - 5242 bytes

 

Pyysit kertomaan mikä siellä on !!!

WORM_AUTORUN

Tiedosto DO_NOT_DELETE.EXE ensimmäisen kerran havaittu Jul 23 2009
.

 

No se oikeastaan kyllä oli tiedossa. Mutta että miten sen saa pois sieltä. Se tässä eniten kiinnostaa.

 

Se on juuri löydetty pöpö eikä sille ole
valmiiksi purkitettua poisto-ohjetta.

Tuo 7 ollenee sulla väliaikainen.
(tuhoutuu ensikevääseen mennessä, eikä saa päivitettyä
lopulliseen versioon)
jos sulla pioneeri hekeä piisaa, niin aloitetaan hommiin.

-----------------------------------------------------------------

Ota järjestelmän palautuspiste pois päältä siksi aikaa.
=> “Turn Off System Restore”

----------------------------------------------------------

Katsotaan riittääkö tuon poisto (tuskin)

* Lataa OTM by OldTimer.
* Tallenna se työpöydällesi.
* Tuplaklikkaa OTMoveIt3.exe käynnistääksesi sen.
* Kopioi (CTRL+C) alla olevasta laatikosta kaikki teksti.[/list]

Koodi:

:files
C:\Windows\System32\do_not_delete.exe
:commands 
[emptytemp] 

* Palaa takaisin OtmoveIt3, paina oikeanpuoleista hiiren nappia Paste Instructions for Items to be Move-ikkunassa (Keltaisen palkin alla) ja paina Liitä.
* Paina punaista MoveIt! -nappia.
* Kopioi (CTRL+C) ja liitä (CTRL+V) Results-ikkunaan (Vihreän palkin alla) tullut teksti seuraavaan viestiisi.
* Sulje OTMoveIt3.

Jos jotain tiedostoa/kansiota ei voitu siirtää heti, ohjelma ehdottaa koneen uudelleenkäynnistystä. Vastaa ehdotukseen Yes, jolloin OtMoveIt käynnistää koneesi uudelleen.

-----------------------------------------------------------------------------------

Lataa SystemLook by. jpshortstuff TÄÄLTÄ. ja tallenna se työpöydälle.

Tupla-klikkaa SystemLook.exe ajaaksesi sen.

Kopioi(CTRL+C) alla olevasta laatikosta kaikki teksti, tekstialueeseen.

Koodi:

:regfind
do_not_delete

:filefind 
Backup.exe
Do_not_delete.exe
List.exe
New_Folder.exe
Unknown_artist.exe
Worbook_1.exe

Klikkaa nappulaa Look aloittaaksesi skannauksen.

Kun skannaus on valmis avautuu muistio joka sisältää lokitiedot
Klikkaa lokia hiiren oikealla painikkeella ja valitse "Valitse kaikki"
Kopio ja liitä se seuraavaan viestiisi.
(Loki löytyy myös työpöydältäsi nimellä SystemLook.txt)

-------------------------------------------------------------------------------

Lähetä uusi HJT logi
OTMoveIt logi.
SystemLook.txt
.

 

Joo kyllä sitä pioneeri henkeä löytyy.

Ajelin tuossa noita ohjelmia läpi ja tälläisiä logeja tuli:

OTmoveIt Log:

All processes killed
========== FILES ==========
File/Folder C:\Windows\System32\do_not_delete.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Tero
->Temp folder emptied: 358601969 bytes
->Temporary Internet Files folder emptied: 11845698 bytes
->Java cache emptied: 11916766 bytes
->FireFox cache emptied: 91918630 bytes

%systemdrive% .tmp files removed: 0 bytes
C:\Windows\7104189AC5924A56AC9E7C0CA135DA3C.TMP folder deleted successfully.
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 3755520 bytes
Windows Temp folder emptied: 261632 bytes
RecycleBin emptied: 5754 bytes

Total Files Cleaned = 456,33 mb


OTM by OldTimer - Version 3.0.0.5 log created on 07252009_140411

Files moved on Reboot...

Registry entries deleted on Reboot...
All processes killed
========== FILES ==========
File/Folder C:\Windows\System32\do_not_delete.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Tero
->Temp folder emptied: 358601969 bytes
->Temporary Internet Files folder emptied: 11845698 bytes
->Java cache emptied: 11916766 bytes
->FireFox cache emptied: 91918630 bytes

%systemdrive% .tmp files removed: 0 bytes
C:\Windows\7104189AC5924A56AC9E7C0CA135DA3C.TMP folder deleted successfully.
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 3755520 bytes
Windows Temp folder emptied: 261632 bytes
RecycleBin emptied: 5754 bytes

Total Files Cleaned = 456,33 mb


OTM by OldTimer - Version 3.0.0.5 log created on 07252009_140411

Files moved on Reboot...

Registry entries deleted on Reboot...



Systemlook Logi:

SystemLook v1.0 by jpshortstuff (22.05.09)
Log created at 14:12 on 25/07/2009 by Tero (Administrator - Elevation successful)

========== regfind ==========

Searching for "do_not_delete"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
""do_not_delete""=="C:\Windows\system32\do_not_delete.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\do_not_delete]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\do_not_delete_RASAPI32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\do_not_delete_RASMANCS]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4C63625D4A17D504A8A9C6F5636E50BD]
""A2CDBD6DC27E48246BDAB6B3164BADCB""=="C?\Pelit\Far Cry\Shaders\HWScripts\Declarations\CGPShaders\Cache\do_not_delete_this_folder.txt"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FE65CBF9E03E14543834A26DF6E4C161]
""A2CDBD6DC27E48246BDAB6B3164BADCB""=="C?\Pelit\Far Cry\Shaders\HWScripts\Declarations\CGVShaders\Cache\do_not_delete_this_folder.txt"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
""do_not_delete""=="C:\Windows\system32\do_not_delete.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
""do_not_delete""=="C:\Windows\system32\do_not_delete.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
""do_not_delete""=="C:\Windows\system32\do_not_delete.exe"
[HKEY_USERS\S-1-5-21-3832939246-3683747284-202905045-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
""do_not_delete""=="C:\Windows\system32\do_not_delete.exe"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
""do_not_delete""=="C:\Windows\system32\do_not_delete.exe"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
""do_not_delete""=="C:\Windows\system32\do_not_delete.exe"

========== filefind ==========

Searching for "Backup.exe"
No files found.

Searching for "Do_not_delete.exe"
No files found.

Searching for "List.exe"
No files found.

Searching for "New_Folder.exe"
No files found.

Searching for "Unknown_artist.exe"
No files found.

Searching for "Worbook_1.exe"
No files found.

-=End Of File=-


HJT Logi:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:20, on 25.7.2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\sc.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\explorer.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://join.123cashformula.com/track/NTI4MzEuNy42LjEyLjAuMC4wLjA
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Security Center] C:\Windows\sc.exe
O4 - HKLM\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe
O4 - HKCU\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Paikallinen palvelu')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Paikallinen palvelu')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Verkkopalvelu')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Verkkopalvelu')
O4 - HKUS\S-1-5-18\..\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix:
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe

--
End of file - 5169 bytes


Siinä olisi ne. Miltäs vaikuttaa?

 

Itse asiassa ihan hyvältä !!!

Ota ensin rekisteristä näin varmuuskopio:

Alapalkista > Käynnistä > Suorita -> regedit -> ok.
Klikkaa hiirellä omatietokone rivi aktiiviseksi.
Sitten Tiedosto -> Vie. Kirjoita sille Terodo Tiedoston nimi ja
Tallennus Kohde sarakkeeseen valitset (C juureen. Vientialueeseen "täppi" kohtaan kaikki.
Poistu Regeditistä.

Sitten tallenna tämä alla oleva tekstinpätkä nimellä fix.reg Notepad muistiossa
työpöydälle (tallennusmuoto kaikki tiedostot)

Koodi:

Windows Registry Editor Version 5.00 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"do_not_delete"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\do_not_delete] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\do_not_delete_RASAPI32] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\do_not_delete_RASMANCS] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4C63625D4A17D504A8A9C6F5636E50BD] 
"A2CDBD6DC27E48246BDAB6B3164BADCB"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FE65CBF9E03E14543834A26DF6E4C161] 
"A2CDBD6DC27E48246BDAB6B3164BADCB"=
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"do_not_delete"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 
"do_not_delete"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"do_not_delete"=- 
[HKEY_USERS\S-1-5-21-3832939246-3683747284-202905045-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"do_not_delete"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 
"do_not_delete"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] 
"do_not_delete"=-

Tuplaklikkaa työpöydällä fix.reg ja paina kyllä ja ok.
Käynnistä kone uudelleen.

------------------------------------------------------------------------

**************************************************************************
Vin 7:

Toimenpiteet Vistassa suoritetaan Järjestelmänvalvojana
(tarkista älä oleta)

**************************************************

Poista ne rivit jotka on jäljellä:

PS.
2 riviä pitäis olla jos reg fixi meni OK

Kun käynnistät HijackThis =(HJT) ohjelman tee se hiiren oikealla napilla
ja valitset Suorita Järjestelmänvalvojana
Sammuta selain ja muut ohjelmat Fixin ajaksi. (ei virustorjuntaa)
Käynnistä HijackThis (HJT):ja Scan ja ruksaa seuraavat punaisella listatut tiedostot sekä poista ne.(fix Chekked)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe
O4 - HKCU\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe
O4 - HKUS\S-1-5-18\..\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [do_not_delete] C:\Windows\system32\do_not_delete.exe (User 'Default user')
O13 - Gopher Prefix:

Tyhjennä roskakori ja käynnistä koneesi uudelleen.

Postita tänne seuraavat lokit:
* Tuore HijackThis loki (Otetaan viimeisenä ennen postitusta)
*
* Voipi olla, että tuli tämän mukana => C?\Pelit\Far Cry
*

 

Tällästä se vaan antaa. Jostain syystä. Ei ollu tuossa edellisessä vastauksessa olevat nuo ricit mitä piti poistaa. Kax riviä ainoastaan oli tuossa HJT scannauksessa mitä olit laittanu. Ei ollu yhtään noita do_not_delete rivej äsiinä skannissa. Ja jostain syystä vaan virus torjunta herjaa jotain aina kun koneen käynnistää. Ei ymmärrä.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:42:05, on 25.7.2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://join.123cashformula.com/track/NTI4MzEuNy42LjEyLjAuMC4wLjA
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Security Center] C:\Windows\sc.exe
O4 - HKCU\..\Run: [Protection System] C:\Program Files\Protection System\PSYSTEM.EXE
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Paikallinen palvelu')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Paikallinen palvelu')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Verkkopalvelu')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Verkkopalvelu')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe

--
End of file - 4360 bytes

 

Tottapa se herjaa, kun
täällä on vielä yksi Rogue pöpö !!!

Added by the Protection System ROGUE anti-spyware program using false positives as
goad to purchase. Note: Located in \%Program Files%\Common Files\Protection System\

--------------------------------------------------------------------------------

Mene Windowsin ControlPaneliin (Ohjauspaneli) ja sieltä Lisää / Poista sovellus
Vistassa Ohjelmat ja toiminnot
Etsi ja poista ohjelma jonka nimessä on:

Protection System


--------------------------------------------------------------

Lataa Malwarebytes' Anti-Malware työpöydällesi.

Jos linkki ei toimi, voit ladata myös seuraavista linkeistä:
Linkki1
Linkki2

* Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
* Lopuksi varmistu, että seuraavat on valittu: Päivitä Malwarebytes' Anti-Malware ja Käynnistä Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Lopeta.
* Jos päivitys löytyy, ohjelma lataa ja asentaa uusimman version. Jos päivityksien lataaminen ei onnistu, voit ladata päivitykset tästä. Tuplaklikkaa mbam-rules.exe asentaaksesi päivitykset.
* Kun ohjelma on latautunut ja päivitykset tehty, valitse Suorita täysi tarkistus ja klikkaa Tarkista.
* Kun tarkistus on valmis, klikkaa OK ja sitten Näytä tulokset nähdäksesi tulokset.
* Varmistu, että kaikki on merkitty ja klikkaa Poista valitut.
* Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
* Lähetä lokin sisältö seuraavassa viestissäsi.[/list]

Huom. Jos Mbam ei pystynyt poistamaan tiedostoa, se pyytää sinua käynnistämään koneesi uudelleen. Käynnistä koneesi silloin uudelleen heti. Mbam voi tehdä muutoksia rekisteriisi osana puhdistusta. Jos käytät suojausohjelmaa, joka havaitsee rekisterin muutokset, salli Mbamin tehdä muutokset.

----------------------------------------------------------------------------------

* Lähetä lokin sisältö seuraavassa viestissäsi + uusi hjt-loki.
.

 

Ongelmana on se että asennetuista ohjelmista ei löydy kyseistä ohjelmaa eikä näy edes kansiossa mihin tuo sun teksti viittaa.

Malwarebytesin sivuilta ei saa edes suoraan päivityksiä ladattua.
Microsoftin sivut ei toimi myöskään.

Lohtua voi antaa jo että FarCry lähti kyllä aika liukkaasti koneelta.

 

Poista sitten tämä =>

O4 - HKCU\..\Run: [Protection System] C:\Program Files\Protection System\PSYSTEM.EXE

------------------------------------------------------------------------

Tämäkin voi olla saastunut ja estää
hyviä sivuja =>


* Vanha HOSTS tiedosto poistetaan. Käynnistä kone vikasietotilaan => OHJE
Tämä C:\WINDOWS\system32\drivers\etc\HOSTS tiedosto pois
* Käynnistä koneesi normaalitilaan.
* Lataa HOSTS: Täältä Työpöydällesi.
* Pura: hosts.zip C:\WINDOWS\system32\drivers\etc kansioon.


Lopuksi Voit varmistaa, että siellä on HOSTS niminen tiedosto ilman tiedostopäätettä. Koko n.700 kt tai n.1700 kt.
Suoja activoituu seuraavan käynnistyksen yhteydessä.(ei kuormita muistia)

Houstiin päivitykset: Täältä
Mitä HOSTS tekee: Opas Täällä

-----------------------------------------------------------------------------------

Täältäkun saadaan puhtaat paperit niin kaikki OK !!!

Lataa Atribunen ATF Cleaner

Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman. Main:n alla valitse: Select All
Klikkaa Empty Selected valintaa.

Jos käytät FireFoxia selaimenasi Klikkaa Firefox yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.

Jos käytät Operaa selaimenasi Klikkaa Opera yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa taas.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.

Klikkaa Exit päävalikosta sulkeaksesi ohjelman.

------------------------------------------------------------------------------

Tarkista koneesi F-Securen online skannerilla
* Rastita I have read and accepted the license term ja paina install.

* Jos käytät firefoxia, sinua pyydetään asentamaan F-securen lisäosa. Asenna se ja valitse
"Käynnistä selain uudelleen" kun lisäosa on asennettu.
* Jos käytät Internet Exploreria, sinua pyydetään asentamaan Active X komponentti, asenna se.

* Paina Start. Sivusto lataa hetken ja F-secure Online Scanner -ikkuna aukeaa.
* Valitse My scan ja paina sen alla Show option.
* Valitse Select file types for scanning -kohtaan "all file types" ja rastita myös sen alla oleva "Scan inside compressed files (zip, rar, lzh, ...)" ja paina Ok.
* Paina Start. Ohjelma lataa tarvittavat tiedostot ja aloittaa skannauksen. Skannauksessa voi kestää jonkin aikaa.
* Kun skannaus valmis, varmista että Clean the files -kohdan merkki on kohdassa: "Automatically (recommended)" ja paina "Next".
* Kun puhdistus on suoritettu paina "Full report...". Raportti aukeaa selaimeesi. Mene raportti sivulle ja paina Ctrl ja A maalataksesi koko sivuston tekstin ja paina Ctrl ja C kopioidaksesi maalatun tekstin.
* Liitä F-securen skannaus raportti seuraavaan viestiisi painamalla Ctrl ja V vastaus kenttään.

- =>
.

 

Kiitoksia opastamisesta. Nyt humala pukkaa päälle. En taida viitsiä alkaa jatkamaan projektia nyt. Voi mennä huomenna iltapäiväään ennenkö jatkan mutta infoa sitten miten tilanne etenee.

Kiitoksia todella paljon avusta jo näin etukäteen.

 

En tiedä osasinko ottaa oikean päivityksen tuohon houstiin kun nyt ei enää toimi oikein mikää sivu netissä. Tänne pääsee. Mutta mikään atf cleanerin lataus ei onnistu eikä online scanneri.

 

Tupla-klikkaa SystemLook.exe ajaaksesi sen.

Kopioi(CTRL+C) alla olevasta laatikosta kaikki teksti, tekstialueeseen.

Koodi:

:dir
C:\WINDOWS\system32\drivers\etc /s

Klikkaa nappulaa Look aloittaaksesi skannauksen.

Kun skannaus on valmis avautuu muistio joka sisältää lokitiedot
Klikkaa lokia hiiren oikealla painikkeella ja valitse "Valitse kaikki"
Kopio ja liitä se seuraavaan viestiisi.
(Loki löytyy myös työpöydältäsi nimellä SystemLook.txt)

------------------------------------------------------------------

Tarkasta HOSTS tiedosta onko siellä atribune.org

HOSTS tiedoston koko 600 kt
sisällä tuo päiväys.

# This MVPS HOSTS file is a free download from: #
# http://www.mvps.org/winhelp2002/ #
# #
# *********************************************************#
# ---------------- Updated: June-21-2009 ------------------#
# *********************************************************#


.

 

Siinä olisi logi:

SystemLook v1.0 by jpshortstuff (22.05.09)
Log created at 21:42 on 26/07/2009 by Tero (Administrator - Elevation successful)

========== dir ==========

C:\WINDOWS\system32\drivers\etc - Parameters: "/s"

---Files---
hosts.20090527-064925.backup --a--- 824 bytes [03:49 27/05/2009] [15:31 20/03/2009]
hosts.20090527-070138.backup --a--- 306545 bytes [04:01 27/05/2009] [03:49 27/05/2009]
HOSTS.MVP --a--- 2764495 bytes [16:29 26/07/2009] [13:40 26/07/2009]
License.txt --a--- 794 bytes [13:27 26/07/2009] [22:12 05/09/2007]
lmhosts.sam --a--- 3683 bytes [05:58 22/04/2009] [15:31 20/03/2009]
mvps.bat --a--- 1615 bytes [13:27 26/07/2009] [02:07 24/12/2008]
networks --a--- 407 bytes [05:57 22/04/2009] [15:31 20/03/2009]
PrivacyPolicy.txt --a--- 1388 bytes [13:27 26/07/2009] [22:02 15/04/2009]
protocol --a--- 1358 bytes [05:57 22/04/2009] [15:31 20/03/2009]
readme.txt --a--- 6290 bytes [13:27 26/07/2009] [01:16 20/06/2009]
services --a--- 17463 bytes [05:57 22/04/2009] [15:31 20/03/2009]

No folders found.

-=End Of File=-


No nyt sain oikean hosts tiedoston. Ei ole siellä riveillä tuota atribune.org osoitetta.

 

Tarviikos minun ajaa tuota mvps.battia ollenkaan. Ajoin sen tuossa järjestelmänvalvojana niin se host tiedosto sai .mvp tiedostopäätteen.

Teinkö virheen tässä?

 

Toimi tämän ohjeen mukaan.

HOSTS siellä on saanut siipeensä.

Pitäisi se tiedosto näyttää tältä =>

========== dir ==========

C:\WINDOWS\system32\drivers\etc - Parameters: "/s"

---Files---
HOSTS --a--- 612515 bytes [09:18 15/07/2009] [09:21 15/07/2009]

---------------------------------------------------------------

Toimi tämän mukaan äläkä unohta
taskistaa mitä sinne tuli !!!!


* Vanha HOSTS tiedosto poistetaan. Käynnistä kone vikasietotilaan => OHJE
Tämä C:\WINDOWS\system32\drivers\etc\HOSTS tiedosto pois
* Käynnistä koneesi normaalitilaan.
* Lataa HOSTS: Täältä Työpöydällesi.
* Pura: hosts.zip C:\WINDOWS\system32\drivers\etc kansioon.


Lopuksi Voit varmistaa, että siellä on HOSTS niminen tiedosto ilman tiedostopäätettä. Koko n.600 kt.
Suoja activoituu seuraavan käynnistyksen yhteydessä.(ei kuormita muistia)

Houstiin päivitykset: Täältä
Mitä HOSTS tekee: Opas Täällä
.

 

Tässä on taas uusi Systemlookin logi:

SystemLook v1.0 by jpshortstuff (22.05.09)
Log created at 20:28 on 28/07/2009 by Tero (Administrator - Elevation successful)

========== dir ==========

C:\WINDOWS\system32\drivers\etc - Parameters: "/s"

---Files---
HOSTS --a--- 612462 bytes [17:15 28/07/2009] [17:26 28/07/2009]
License.txt --a--- 794 bytes [13:27 26/07/2009] [22:12 05/09/2007]
lmhosts.sam --a--- 3683 bytes [05:58 22/04/2009] [15:31 20/03/2009]
mvps.bat --a--- 1615 bytes [13:27 26/07/2009] [02:07 24/12/2008]
networks --a--- 407 bytes [05:57 22/04/2009] [15:31 20/03/2009]
PrivacyPolicy.txt --a--- 1388 bytes [13:27 26/07/2009] [22:02 15/04/2009]
protocol --a--- 1358 bytes [05:57 22/04/2009] [15:31 20/03/2009]
readme.txt --a--- 6290 bytes [13:27 26/07/2009] [01:16 20/06/2009]
services --a--- 17463 bytes [05:57 22/04/2009] [15:31 20/03/2009]

No folders found.

-=End Of File=-

Nyt näyttää tältä. Tein juuri ohjeitten mukaan. Nyt on tuo oikea päivämääräkin siinä hosts tiedostossa.

*********************************************************#
# ---------------- Updated: June-21-2009 ------------------#
# *********************************************************#
# #


Mutta ei mene tästäkään huolimatta atribune.orgiin eikä f-secure sivuille.

Kummankaan sivun osoitetta ei löydy HOSTS tiedostosta. Kaikki muut normaalit käyttösivut toimii kuten FMI.fi ja telkku.com jne.

 

Näkymä on OK !!!
Virukset etupäässä lukitsee siivous sivut käytöstä.

------------------------------------------------------------------------

Tarkasta selaimien asetuksista, ettei ne ole siellä kielletty.

----------------------------------------------------------------------

Lataa Atribunen ATF Cleaner

Tupla-klikkaa ATF-Cleaner.exe käynnistääksesi ohjelman. Main:n alla valitse: Select All
Klikkaa Empty Selected valintaa.

Jos käytät FireFoxia selaimenasi Klikkaa Firefox yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.

Jos käytät Operaa selaimenasi Klikkaa Opera yläpuolelta ja valitse: Select All
Klikkaa Empty Selected valintaa taas.
HUOMIO: Jos haluaisit pitää tallennetut salasanasi, klikkaa No kun se sitä kysyy.

Klikkaa Exit päävalikosta sulkeaksesi ohjelman.

----------------------------------------------

Skannaa koneesi Kaspersky Online Skannerilla

* Lue läpi vaatimukset ja yksityisyyssäännökset ja klikkaa Accept.
* Skannerin ja virustietokannan lataus alkaa. Sinulta kysytään sallitko Kasperskyltä tulevan ohjelman asentamisen. Klikkaa Aja/Run.
* Kun lataus on valmis, klikkaa Settings.
* Varmistu, että seuraavat kohdat on valittu. Jos ne eivät ole, valitse ne ja klikkaa Save: Spyware, Adware, Dialers, and other potentially dangerous programs
Archives
Mail databases

* Klikkaa Oma Tietokone, My Computer Scan-kohdan alapuolelta.
* Kun tarkistus on valmis, tulokset näytetään. Klikkaa View Scan Report.
* Näet listan saastuneista kohteista. Klikkaa Save Report As....
* Tallenna tiedosto työpöydällesi. Muuta Tiedostotyyppi/Files of type muotoon Tekstitiedosto/Text file(.txt) ennen kuin klikkaat Save.

* Kopioi ja liitä tiedoston sisältö seuraavaan vastaukseesi uuden HijackThis-lokin kera

-----------------------------------------------------------------------------

Lataa Dr.Web CureIt työpöydälle:
Tämä toimii vain EXPLORERILLA salli pyydettäessä Active-X
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

* Tuplaklikkaa drweb-cureit.exe Klikkaa käynnistä ja anna sen tehdä express scan
* Se skannaa käynnissä olevat ohjelmat ja jos jotain löytyy, klikkaa yes kun se kysyy haluatko poistaa sen. Tämä on vain lyhyt scan.
* Kun scan on valmis, merkkaa asemat, jotka haluat scannata.
* Valitse kaikki asemat. Punainen piste osoittaa, mitkä asemat on valittu.
* Klikaa vihreää nuolta oikealla ja scan alkaa.
* Klikkaa 'Yes to all', jos kysytään haluatko poistaa/siirtää tiedoston.
* Kun scan on valmis, katso voitko klikata select(arkit ja pun.ruxi)-kuvaketta löytyneiden tiedostojen vieressä:

* Jos asia on niin, klikkaa sitä ja sitten klikkaa seuraavaa-kuvaketta edellisen alla(käärme ja malja) ja valitse Move incurable kuten alla olevalla kuvassa:

* Tämä siirtää sen %userprofile%\DoctorWeb\quarantine-hakemistoon.
* Tämän jälkeen klikkaa Dr.Web CureIt-valikossa file ja valitse save report list
* Tallenna raportti työpöydälle. Raportin nimi on DrWeb.csv
* Sulje Dr.Web Cureit.
* Käynnistä kone uudelleen !! Tämä siksi, että käytössä olevat tiedostot poistetaan/siirretään käynnistyksen yhteydessä.
* Käynnistyksen jälkeen liitä Dr.Web-lokin, jonka tallensit aiemmin, sisältö seuraavaan vastaukseesi.

C:\Documents and Settings\omaxxxxxxxxxxxxx\DoctorWeb\Quarantine\
C:\Documents and Settings\omaxxxxxxxxxxxx\DoctorWeb\*.log

Meneekö edes joku ?????
.

 

Olen ladannut useampaan kertaan tuon ATF cleanerin. Välillä se antaa sen ladata ja välillä ei. Muille noista ehdottamistasi sivuista ei edes yritä mennä. Ei IE eiköä Firefox. Eikä ainakaa firefoxin puolelta ole sivut blokattuna jos se löytyy tuolta---> Työkalut->Asetukset->Turvallisuus->Estä huijaussivustoiksi merkityt/Estä hyökkäyssivustoiksi merkityt. Kummassakin oli rasti mutta otin pois eikä vaikuta sivujen toimintaan.

Sinähän olet jaksanut pitkään auttaa hommassa. Ymmärrän kyllä jos mielenkiinto alkaa hiipua.

 

Kokeilitko Exploreria ????
tai
Hae kavrin koneella tikulla =>
Dr.Web CureIt
.