Työpaikan kone solmussa, HjT-ja Ewido logi

Kysymys: onkohan tämä kone nyt iha särki ko tuntuu olevan ihan täynnä kaikkea kakkaa kun tarkastan erilaisilla ohjelmilla...

Logfile of HijackThis v1.99.1
Scan saved at 15:42:15, on 5.9.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
C:\WINNT\system32\internat.exe
E:\as\Spyware-Cop.exe
D:\juggling\gas\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Nuorisotoimi\Työpöytä\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=c:\winnt\system32\mscolour.exe
O2 - BHO: (no name) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [sncntr] c:\winnt\system32\sncntr.exe /nocomm
O4 - HKLM\..\Run: [sp2ctr] c:\winnt\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [EvtHtm] c:\winnt\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [TPWTGYRD] c:\winnt\system32\tpwtgyrd.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SearchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [zanu] c:\program files\zangoclient\zanu.exe
O4 - HKLM\..\Run: [dxvid] c:\winnt\system32\dxvid.exe /nocomm
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Spyware-Cop] "E:\as\Spyware-Cop.exe" /s
O4 - HKCU\..\Run: [msnmsgr] "D:\juggling\gas\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.f5biz.com/allot/588/baisoramauk.exe
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.pornoa.com/HotLine.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/TriacomUD_1.0.0.3ie.cab?
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_EN.cab
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Ja Ewidon logi:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Adtech
Path: C:\Documents and Settings\Nuorisotoimi\Cookies\nuorisotoimi@adtech[2].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\Documents and Settings\Nuorisotoimi\Cookies\nuorisotoimi@tradedoubler[1].txt
Risk: Medium

Name: TrackingCookie.Yadro
Path: C:\Documents and Settings\Nuorisotoimi\Cookies\nuorisotoimi@yadro[2].txt
Risk: Medium

Name: Adware.BetterInternet
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800
Risk: Medium

Name: Dialer.Generic
Path: HKLM\SOFTWARE\Video1\Dialers
Risk: High

Name: Dialer.Generic
Path: HKLM\SOFTWARE\Video1\Dialers\Hot_Tarts_fi
Risk: High

Name: Dialer.Allotick
Path: C:\baisoramauk\baisoramauk.exe
Risk: High

Name: TrackingCookie.Adtech
Path: :mozilla.6:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.7:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.27:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.28:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.30:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Googleadservices
Path: :mozilla.74:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Googleadservices
Path: :mozilla.75:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: Adware.180Solutions
Path: C:\Documents and Settings\Nuorisotoimi\Työpöytä\ZangoInstaller.exe/clientax.dll
Risk: Medium

Name: Adware.180Solutions
Path: C:\Documents and Settings\Nuorisotoimi\Työpöytä\ZangoInstaller.exe/clientax.dll
Risk: Medium

Name: Adware.OrbitView
Path: C:\Orbit\update.exe
Risk: Medium

Name: Dialer.ALifeDialer
Path: C:\Programme\websx\int102647.exe
Risk: High

Name: Dropper.Small.aeq
Path: C:\WINNT\pre2.exe
Risk: High

Name: Dropper.Small.aeq
Path: C:\WINNT\proxy_inst.exe
Risk: High

Name: Dialer.InstantAccess
Path: C:\WINNT\system32\LiveService_9.dll
Risk: High

Name: Adware.PurityScan
Path: C:\WINNT\system32\NDrv.exe
Risk: Medium

Name: Adware.EliteBar
Path: C:\WINNT\system32\shawn_1.dll
Risk: Medium

Name: Dialer.UDIS.a
Path: C:\WINNT\system32\TriacomUD.dll
Risk: High

Name: Dialer.Direct.a
Path: C:\WINNT\UninstallDialer.exe
Risk: High

Name: TrackingCookie.Falkag
Path: D:\v\Ad-aware 6\Cache\969357/c:/documents and settings/nuorisotoimi/cookies/nuorisotoimi@as1.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: D:\v\Ad-aware 6\Cache\969357/c:/documents and settings/nuorisotoimi/cookies/nuorisotoimi@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/documents and settings/nuorisotoimi/cookies/nuorisotoimi@gator[1].txt
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/cmeiiapi.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/cmesys.exe
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gappmgr.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gcontroller.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gdwldeng.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/giocl.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gioclclient.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gmtproxy.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gobjs.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gstore.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gstoreserver.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gtools.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/egieengine.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/egieprocess.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/egnsengine.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/gatorres.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/gatorstubsetup.exe
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/gtrawbm.fil
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/guninstaller.exe
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/precisiontime/precisiontime.exe
Risk: Medium

Name: Adware.DashBar
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/precisiontime/ptuninstaller.exe
Risk: Medium

Name: Adware.OWS
Path: D:\v\Ad-aware 6\Cache\969357/c:/winnt/downloaded program files/oeloader.dll
Risk: Medium

Name: Adware.OWS
Path: D:\v\Ad-aware 6\Cache\969357/c:/winnt/downloaded program files/oeloader.exe
Risk: Medium

Meinaan on aika paljon noita

 

Ja kun tuolla Ewidolla skannaan ja yritän poistaa kohteita tulee ilmoitus: Ohjelmavirhe - Ohjelma ewido_micro.exe on aiheuttanut virheitä. Windows sulkee sen. Ohjelma on käynnistettävä uudelleen. Luodaan virheloki.

Tuota Ewido Anti-Spyware 4.0:aa en voi asentaa koska en ole järjestelmänvalvoja. Taitaa olla paras lekalla moukaroida kuntoon tämä...

 

hommaa palomuuri. ilmaisia löytyy tuolta http://keskustelu.afterdawn.com/thread_view.cfm/162275

hijackthis omaan kansioon C:\HJT\HijackThis.exe

Poista ohjauspaneelista seuraavat:
CMEII
SearchUpgrade
mywebsearch
zangoclient
Spyware Cleaner

Lataa ja pura BFU.zip täältä .
Aja ohjelma ja klikkaa Web nappulaa kuten näytetty tässä:



Käytä tämä webbiosoite "Download script" palkkiin:
http://metallica.geekstogo.com/MediaGateway.BFU

Aja skripti klikkaamalla Execute valintaa.

Jos on mitään kysymyksiä BFU:n käytöstä, lue täällä:
http://metallica.geekstogo.com/BFUinstructions.html (englanniksi)

Avaa HijackThis, klikkaa do a system scan only, merkkaa nämä rivit. Sitten sulje kaikki muut ikkunat ja paina fix checked. kaikkia ei enään mahdollisesti löydy
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=c:\winnt\system32\mscolour.exe
O2 - BHO: (no name) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O3 - Toolbar: (no name) - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - (no file)
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [sncntr] c:\winnt\system32\sncntr.exe
O4 - HKLM\..\Run: [sp2ctr] c:\winnt\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [EvtHtm] c:\winnt\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [SearchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [zanu] c:\program files\zangoclient\zanu.exe
O4 - HKLM\..\Run: [dxvid] c:\winnt\system32\dxvid.exe /nocomm
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Spyware-Cop] "E:\as\Spyware-Cop.exe" /s
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.f5biz.com/allot/588/baisoramauk.exe
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.pornoa.com/HotLine.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/TriacomUD_1.0.0.3ie.cab?
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/Li...ervice_9_EN.cab
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB

laita tarvittaessa piilotiedostot näkyviin. ohje==> http://keskustelu.afterdawn.com/thread_view.cfm/248944
mene vikasietotilaan. ohje==>
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406

poista seuraavat:
c:\winnt\system32\==>mscolour.exe<==
C:\Program Files\Common Files\==>CMEII\CMESys.exe"<==
c:\winnt\system32\==>sp2ctr.exe /nocomm<==
c:\winnt\system32\==>evthtm.exe /nocomm<==
C:\Program Files\Common files\==>SearchUpgrader<==
C:\PROGRA~1\==>MYWEBS~1\<==
c:\program files\==>zangoclient\<==zanu.exe
c:\winnt\system32\==>dxvid.exe /nocomm<==
E:\as\==>Spyware-Cop.exe" /s<==
C:\Program Files\==>Spyware Cleaner<==
c:\winnt\system32\==>sncntr.exe<==


piilotiedostot takaisin piiloon
päivitä ewido ja aja se
lähetä uusi hjt-loki+ewidon loki

 

Logfile of HijackThis v1.99.1
Scan saved at 17:56:31, on 10.9.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
D:\juggling\gas\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HjT\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TPWTGYRD] c:\winnt\system32\tpwtgyrd.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\juggling\gas\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Ja Ewido:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.BetterInternet
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800
Risk: Medium

Name: TrackingCookie.Burstnet
Path: :mozilla.19:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Tribalfusion
Path: :mozilla.20:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Casalemedia
Path: :mozilla.21:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Casalemedia
Path: :mozilla.22:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Casalemedia
Path: :mozilla.23:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.24:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.27:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: :mozilla.28:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: :mozilla.29:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.31:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.34:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.35:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.36:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.38:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.39:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.40:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.41:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.42:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.45:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.46:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.47:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Name: Dialer.UDIS.a
Path: C:\HjT\backups\backup-20060910-170628-448.dll
Risk: High

Name: Dialer.InstantAccess
Path: C:\HjT\backups\backup-20060910-170628-949.dll
Risk: High

Name: Dialer.ALifeDialer
Path: C:\Programme\websx\int102647.exe
Risk: High

Name: Adware.180Solutions
Path: C:\RECYCLER\S-1-5-21-438649610-1318395002-118424933-1002\Dc7.exe/clientax.dll
Risk: Medium

Name: Adware.180Solutions
Path: C:\RECYCLER\S-1-5-21-438649610-1318395002-118424933-1002\Dc7.exe/clientax.dll
Risk: Medium

Name: Dropper.Small.aeq
Path: C:\WINNT\pre2.exe
Risk: High

Name: Dropper.Small.aeq
Path: C:\WINNT\proxy_inst.exe
Risk: High

Name: Adware.PurityScan
Path: C:\WINNT\system32\NDrv.exe
Risk: Medium

Name: Adware.EliteBar
Path: C:\WINNT\system32\shawn_1.dll
Risk: Medium

Name: Dialer.Direct.a
Path: C:\WINNT\UninstallDialer.exe
Risk: High

Name: TrackingCookie.Falkag
Path: D:\v\Ad-aware 6\Cache\969357/c:/documents and settings/nuorisotoimi/cookies/nuorisotoimi@as1.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: D:\v\Ad-aware 6\Cache\969357/c:/documents and settings/nuorisotoimi/cookies/nuorisotoimi@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/documents and settings/nuorisotoimi/cookies/nuorisotoimi@gator[1].txt
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/cmeiiapi.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/cmesys.exe
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gappmgr.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gcontroller.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gdwldeng.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/giocl.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gioclclient.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gmtproxy.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gobjs.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gstore.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gstoreserver.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/cmeii/gtools.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/egieengine.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/egieprocess.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/egnsengine.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/gatorres.dll
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/gatorstubsetup.exe
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/gtrawbm.fil
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/common files/gmt/guninstaller.exe
Risk: Medium

Name: Adware.Gator
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/precisiontime/precisiontime.exe
Risk: Medium

Name: Adware.DashBar
Path: D:\v\Ad-aware 6\Cache\969357/c:/program files/precisiontime/ptuninstaller.exe
Risk: Medium

Name: Adware.OWS
Path: D:\v\Ad-aware 6\Cache\969357/c:/winnt/downloaded program files/oeloader.dll
Risk: Medium

Name: Adware.OWS
Path: D:\v\Ad-aware 6\Cache\969357/c:/winnt/downloaded program files/oeloader.exe
Risk: Medium

Kuten aikasemmin sanoin mulla ei ole Järjestelmänvalvojan oikeuksia eli en pysty asentamaan Ewido AntiSpyware 4:sta enkä palomuuria tähän koneeseen. Tässä on F-secure Anti-Virus 5.42. En myöskään pysty päivittämään tuota F-Securea uudempaan ilman oikeuksia.

Seuraavaa virhettä pukkaa HijackThis:n alussa ja Ewido AntiSpyware Microscannerin tarkistuksen jälkeen kun alan poistamaan noita uhkia:





Jotenki alkaa tuntumaan et pitää sanoa pomolle että ottaa yhteyden henkilöön kenellä on Järjestelmänvalvojan oikeudet ja sanoa että laittaa koko koneen sileäksi ja virusturvan/palomuurin ajantasalle...

 

ei tosta hijackthisin virhe ilmoituksesta kannata välittää.Rivit lähti, mikä on tärkeintä.

tee tuolla lailla: Jotenki alkaa tuntumaan et pitää sanoa pomolle että ottaa yhteyden henkilöön kenellä on Järjestelmänvalvojan oikeudet ja sanoa että laittaa koko koneen sileäksi ja virusturvan/palomuurin ajantasalle...

ewidon löydökset voit poista käsinkin...JOS ewido ei niitä poistanut
ENSIN AJA KUMMINKIN SE EWIDON ONLINE SKANNERI UUDESTAAN JA POISTA LÖYDÖT JOS ET VOI NIIN MENEE KÄSI TYÖKSI...ohjeet alla

poista ensin ohjauspaneelista, jos löytyy cmeii, gmt, precisiontime

laita tarvittaessa piilotiedostot näkyviin. ohje==> http://keskustelu.afterdawn.com/thread_view.cfm/248944
mene vikasietotilaan. ohje==>
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406

poista sitten seuraavat jos ewido ei näitä poistanut)

c:/program files/common files/==>cmeii<==
c:/program files/common files/==>gmt<==
c:/program files/==>precisiontime<==
C:\==>baisoramauk\<==
C:\Documents and Settings\Nuorisotoimi\Työpöytä\==>ZangoInstaller.exe/<==
C:\==>Orbit\<==
C:\Programme\==>websx<==
C:\WINNT\==>pre2.exe<==
C:\WINNT\==>proxy_inst.exe <==
C:\WINNT\system32\==>LiveService_9.dll<==
C:\WINNT\system32\==>NDrv.exe <==
C:\WINNT\system32\==>shawn_1.dll <==
C:\WINNT\system32\==>TriacomUD.dll <==
C:\WINNT\==>UninstallDialer.exe<==
D:\v\Ad-aware 6\Cache\969357/c:/winnt/downloaded program files/==>oeloader.exe <==
C:\HjT\backups\00>backup-20060910-170628-448.dll <==
C:\HjT\backups\==>backup-20060910-170628-949.dll <==

käynnistä normaali tilaan

poista rekisteristä seuraavat(mene käynnistä suorita ja kirjoita regedit) seuraa polkua
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800

tyhjennä roskakori

tarkista c:\winnt\system32\tpwtgyrd.exe /install tuolla http://virusscan.jotti.org/

 

Joo teen tuon ohjeen mukaan kun töihin menen (ma tai ti).

Niin tuolla Ewido online scannerilla ei voi poistaa noita koska kun alat poistamaan niitä niin tulee tuo virheilmoitus ja se kaatuu eli käsipeliksi menee.

 

Tein ohjeitten mukaan ja poistin käsipelillä kaiken minkä löysin.
Seuraavia en löytänyt, olen joko sokea tai niitä ei enää ollut koneella:

c:/program files/common files/==>cmeii<==
c:/program files/common files/==>gmt<==
c:/program files/==>precisiontime<==
C:\Documents and Settings\Nuorisotoimi\Työpöytä\==>ZangoInstaller.exe/<==
C:\WINNT\system32\==>LiveService_9.dll<==
D:\v\Ad-aware 6\Cache\969357/c:/winnt/downloaded program files/==>oeloader.exe <==
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800 <---tuota poistettaessa sanoo "Avainta 800 ei voi poistaa. Virhe avaimen poistamisessa."

Myöskään c:\winnt\system32\tpwtgyrd.exe ei löytynyt koneelta kun käskit tarkastamaan tuolla jotti.orgin skannerilla.

Ohjauspaneelista ei löytynyt cmeii, gmt tai precisiontime:a

Seuraavaksi uudet HjT ja Ewido-logit:

Logfile of HijackThis v1.99.1
Scan saved at 15:56:29, on 13.9.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HjT\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TPWTGYRD] c:\winnt\system32\tpwtgyrd.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.BetterInternet
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800
Risk: Medium

Name: TrackingCookie.Webtrendslive
Path: :mozilla.15:C:\Documents and Settings\Nuorisotoimi\Application Data\Mozilla\Firefox\Profiles\default.xxb\cookies.txt
Risk: Medium

Näyttää jo paljon, paljon paremmalta, kiitos sinun

Käskin pomon hommata työpaikalle henkilön joka päivittää F-Securen ja Windowsin tietoturvan ajan tasalle ja sanoin myös et olis hyvä saada asentaa ainakin SpyBot, Ewido ja Ad-Aware kaikkiin koneisiin.

 

Avaa HijackThis, klikkaa do a system scan only, merkkaa nämä rivit. Sitten sulje kaikki muut ikkunat ja paina fix checked.
O4 - HKLM\..\Run: [TPWTGYRD] c:\winnt\system32\tpwtgyrd.exe /install

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800 <==ton poistoa ei ilman järjestelmänvalvojan oikeuksia vissiin voi poistaa

ton voit viellä vikasietotilassa tarkistaa ja jos löytyy niin poista c:\winnt\system32\==>tpwtgyrd.exe /install

lainaus: "Käskin pomon hommata työpaikalle henkilön joka päivittää F-Securen ja Windowsin tietoturvan ajan tasalle." Hyvä niin

 

c:\winnt\system32\==>tpwtgyrd.exe /install <-- ei löytynyt

Tässäpä taas Hjt ja Ewido-logit

Logfile of HijackThis v1.99.1
Scan saved at 18:24:42, on 14.9.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\HjT\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.BetterInternet
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800
Risk: Medium

Tuota ei saa näköjään pois ilman oikeuksia tms.

Miltäs muuten näyttää?

 

kokeillaan tällä ton poistoa HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800

Ota ensin rekisteristä näin varmuuskopio:

Suorita -> regedit -> ok. Sitten Tiedosto -> Vie. Kirjoita sille joku nimi ja sitten Tallenna(ja laita muistiin, mihin tallensit sen).

Sitten tallenna tämä alla oleva tekstinpätkä nimellä fix.reg vaikka muistiossa ja vaikka työpöydälle (tallennusmuoto kaikki tiedostot)

Windows Registry Editor Version 5.00

[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800]

Tuplaklikkaa ja paina kyllä ja ok. Käynnistä kone uudelleen.

lähetä uusi hjt-loki ja ewidon raportti

 

Tein ohjeitten mukaan ja logit tässä.

Logfile of HijackThis v1.99.1
Scan saved at 18:06:28, on 17.9.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\HjT\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.BetterInternet
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800
Risk: Medium

Eipä se mihinkään sieltä lähtenyt. Onko tuo kovinkin haitallinen?

 

edellisessä viestissä oli painovirhe paholainen, anteeksi

Ota ensin rekisteristä näin varmuuskopio:

Suorita -> regedit -> ok. Sitten Tiedosto -> Vie. Kirjoita sille joku nimi ja sitten Tallenna(ja laita muistiin, mihin tallensit sen).

Sitten tallenna tämä alla oleva tekstinpätkä nimellä fix.reg vaikka muistiossa ja vaikka työpöydälle (tallennusmuoto kaikki tiedostot)

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800]

Tuplaklikkaa ja paina kyllä ja ok. Käynnistä kone uudelleen.

------------------------------------------------------------------------
niin onko se f-securen antivirus päivitellyt virus- kantojaan? jos ei niin kokeile tuota

Spyspotin karanteenista voisit katsoa jos löytyy BackWeb lite tiedosto (joka kuuluu F-securen automaattiseen päivitysten hakuun) ja jos löytyy niin paluta se.

Näin f-secure ja spyspot toimii yhdessä:
Kun Spybot Search & Destroy –ohjelman asetukset on kunnossa niin F-Secure toimii ihan hyvin.

Asetukset:

3.Vasemmalla kohta Settings ja sieltä Ohitettavat kohteet-->All products

Jos sinulla on F-Secure asennettu koneelle, niin laitetaan BackWeb lite ohitukselle,jotta Spybot ei niitä löydä.

Tuossa kuva:

http://koti.mbnet.fi/pattaya1/Spybot13.58.jpg

Tuolla asennus- ja käyttöohjeet kokonaisuudessaan:

http://koti.mbnet.fi/pattaya1/spybot.htm

lähetä uus hjt-loki ja ewidon raportti

 

Tuota BackWeb lite ei löytynyt Spybotin ohitettavista kohteista.
Kun koitan päivittää F-Securen virustunnisteita tulee seuraava imoitus:



Tässä logeja tutkittavaksi taas:

Logfile of HijackThis v1.99.1
Scan saved at 14:55:53, on 19.9.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\HjT\HijackThis_v1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.BetterInternet
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800
Risk: Medium

Ewido löysi myös cookieita mut poistin ne tilaa viemästä.

Kun suoritan tuon regeditin niin pitääkö siinä valita joku tietty tiedosto vai suoraan painaa tuota Tiedosto -> vie?

 

"Kun suoritan tuon regeditin niin pitääkö siinä valita joku tietty tiedosto vai suoraan painaa tuota Tiedosto -> vie?"

paina suoraan sitä vie. tossa kohdin tehdään rekisteristä varmuuskopio, jos sattuu että toi Windows Registry Editor Version 5.00 tekee virheen.
Kirjoita sille joku nimi ja sitten Tallenna(ja laita muistiin, mihin tallensit sen).

sen jälkeen tallennat tän pätkän (alla) 2 riviä.Alkaen windows registry....ja loppuu kohtaan Ex\800]

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800]

nimellä fix.reg vaikka muistiossa ja vaikka työpöydälle (tallennusmuoto kaikki tiedostot)
Tuplaklikkaa ja paina kyllä ja ok. Käynnistä kone uudelleen.

oletko toiminut noin?


loki on muuten ok, ainoastaan puuttuu palomuuri ja tietenkin ton f-securen antiviruksen pitäis saada hakemaan niitä päivityksiä.
MIstä johtuu , että se ei hae niitä niin en tiiä.

kokeillaan vielä tuota:

1. Lataa The Avenger (c) työpöydällesi. http://swandog46.geekstogo.com/avenger.zip


* Klikkaa Avenger.zip filua avataksesi sen.
* Pura Avenger.exe työpöydällesi.


2. Kopioi kaikki teksti mustalla lainausboksissa alapuolella tyhjälle muistiolle:

Lainaus:
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800


Huomaa: yläpuolella oleva skripti on luotu erityisesti tälle käyttäjälle. Jos et ole tämä henkilö, ÄLÄ seuraa näitä ohjeita koska ne voisivat pilata koneesi toimintoja.

3. Nyt, aukaise The Avenger tupla-klikkaamalla sen kuvaketta pöydälläsi.


* "Script file to execute" alapuolelta valitse "Input Script Manually".
* Nyt klikkaa suurennuslasin kuvaa joka avaa uuden ikkunan nimeltä "View/edit script".
* Liitä se teksti jonka kopioit muistioon, tähän ikkunaan.
* Klikkaa Done.
* Nyt klikkaa vihreää valoa aloittaaksesi skriptin.
* Klikkaa "Yes" kun tulee kaksi varoitusboksia.


Avenger tekee automaattisesti seuraavat:


* Käynnistää koneesi. (Tapauksissa joissa skripti sisältää "Drivers to Unload" -komennon, Avenger käynnistää koneesi kaksi kertaa.)
* Käynnistyksen yhteydessä, se lyhyesti avaa mustan komentoikkunan työpöydällesi, tämä on normaalia.
* Käynnistyksen jälkeen, se luo lokitiedoston jonka pitäisi aueta Avengerin tekojen tuloksena. Tämän lokin tiedostopolku on C:\avenger.txt
* Avenger on myös tehnyt varmuuskopion kaikista tiedostoista jne.. jotka pyysit sen poistaa, ja on pakannut ja siirtänyt ne zip filuihin polussa C:\avenger\backup.zip.


5. Kopioi ja liitä kaikki sisältö tiedostosta avenger.txt vastaukseesi tuoreen HJT lokin mukana.


teitkö muuten monta skannausta tolla ewidon on-line skannerilla ennenkuin lähetit hjt-lokin tarkistettavaksi? Normi ewido tykkää ainakin, että f-securessa on pöpö ja haluu poistaa osan siitä , jos ei sitä estä...

 

Joo tein juurikin noin tuon regeditin kanssa.

The Avengerin kans pukkaa seuraava ja kyseinen ohjelma kaatuu:





Eli The Avenger ei käynnistä konetta uusiksi eikä mitään vaan pukkaa ton errorin ja error.txt-tiedoston tekee työpöydälle

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create driver file.
Error code: 5
Error logged to errorlog.txt. Aborting now!

Niin ja pari kertaa aina skannaan tuolla online-skannerilla läpi kun pyydät uutta logia.

En laita tähän noita logeja koska tuo The Avenger ei nyt jostain syystä ala pelittämään normaalilla tavalla.

 

no annetaan tuon olla HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\800

ei siitä oikeastaan mitään vaaraa ole, kun siinä ei ole tiedostoa mukana.

elikkä palomuurin kun hommaat ja saat sen f-securen antiviruksen toimimaan niin on ok.

"Niin ja pari kertaa aina skannaan tuolla online-skannerilla läpi kun pyydät uutta logia. "

tarkoitin ennenkuin lähetit ensimmäisen lokin ad:n foralle. on saattanut toi ewidon on-line scanner viedä osan f-securesta ja siinä ei ole karanteenia

 

Selväpä se. Joo yritän tuota pomoa hoputtaa ko se tahtoo olla vähän huonomuistinen tapaus

Joo siis se oli ensimmäinen skannaus Ewidolla jonka tänne pistin.

Todella iso kiitos vaivannäöstäsi, ison vaivan näit kun autoit ja hyvin autoitkin

 

kiitos itelles. tulipa yritettyä uusia juttuja