Vanhan windows ME elvyttelyä.

Kone ollut monia vuosia pelkän Norton 2001 varassa josta oli käyttöaikakin loppunut että ei nyt tiedä miten saastunut kone on.
Avastin viruscannerilla ajoin läpi koneen muutama pöpö löytyi ja laitoin ne karanteeniin.

HJT log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:06:42, on 27.1.2009
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\OHJELMATIEDOSTOT\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\OHJELMATIEDOSTOT\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\OHJELMATIEDOSTOT\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASY ACCESS BUTTON SUPPORT\STARTEAK.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\OHJELMATIEDOSTOT\HP\HPCORETECH\HPCMPMGR.EXE
C:\OHJELMATIEDOSTOT\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\OHJELMATIEDOSTOT\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\OHJELMATIEDOSTOT\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\OHJELMATIEDOSTOT\NETOPIA\WLAN UTILITY\SWLU.EXE
C:\OHJELMATIEDOSTOT\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\COMPAQ\CPQINET\CPQINET.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\OHJELMATIEDOSTOT\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\OHJELMATIEDOSTOT\MESSENGER\MSMSGS.EXE
C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
C:\OHJELMATIEDOSTOT\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/...rchredir2.dll?c=3c00&lc=040b&s=search&ap=b204
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mtv3.fi/uutiset/txt/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/...rchredir2.dll?c=2C01&lc=040b&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/...rchredir2.dll?c=2C01&lc=040b&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/...rchredir2.dll?c=2C01&lc=040b&s=search&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.hilimanet.net:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SynTPLpr] C:\Ohjelmatiedostot\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Ohjelmatiedostot\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQDVD] C:\CPQDRV\DVD\setup.exe -s -SMS
O4 - HKLM\..\Run: [CPQEASYACC] C:\Ohjelmatiedostot\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Ohjelmatiedostot\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [MPTBox] C:\Ohjelmatiedostot\Canon\MultiPASS\MPTBox.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Ohjelmatiedostot\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [avast! Web Scanner] C:\OHJELM~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\OHJELM~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Ohjelmatiedostot\Alwil Software\Avast4\ashServ.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [QRIA] (User 'Default user')
O4 - .DEFAULT Startup: Officen käynnistys.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA.EXE (User 'Default user')
O4 - .DEFAULT Startup: WLAN Software.lnk = C:\Ohjelmatiedostot\Netopia\WLAN Utility\SWLU.exe (User 'Default user')
O4 - .DEFAULT Startup: HP Digital Imaging Monitor.lnk = C:\Ohjelmatiedostot\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (User 'Default user')
O4 - Startup: Officen käynnistys.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA.EXE
O4 - Startup: WLAN Software.lnk = C:\Ohjelmatiedostot\Netopia\WLAN Utility\SWLU.exe
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\Ohjelmatiedostot\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\OHJELM~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\OHJELM~1\MESSEN~1\MSMSGS.EXE
O16 - DPF: {F5C90925-ABBF-4475-88F5-8622B452BA9E} (Compaq System Data Class) - http://www29.compaq.com/falco/SysQuery.cab
O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonphenix.com/npaecviz.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {7B44068E-B1D5-4288-B1B3-6F30A53E18D5} (Quest3D Control) - http://www.quest3d.com/webplugin/download/quest3dactivex.cab

--
End of file - 6202 bytes

 

ajas tuolla kone lävitse

Escan
Ohjeet tuolla sivulla.
http://koti.mbnet.fi/pattaya1/escanmwav.htm
lataa tuosta
http://www.spywareinfo.dk/download/mwav.exe
päivitä tuosta
http://koti.mbnet.fi/pattaya1/lataus/Mwav.bat
laita täpit merkkauksien mukaan
http://koti.mbnet.fi/pattaya1/eScan6.jpg

scannaa

jos ala luukkuun tulee jotain niin kopioi se näin:
Käytä komentoa Ctrl+A.
Kopioi rivit komennolla Ctrl+C.
Liitä rivit komennolla Ctrl+V.

Laita virus log tänne.

 

File C:\_RESTORE\ARCHIVE\FS595.CAB tagged as not-a-virusialer.Win32.E-Group.1017. No Action Taken.

tommosta löyty. vai olisko pitänyt koko logi laitta mikä escan antoi?

 

ainostaan se alalukkun sisältö

==============

Lataa Tästä Ccleaner
CCleaner v 2.14.750.- Standard Build, ÄLÄ aseenna Yahoo toolbaria!
Asennuksessa poista merkki/rasti kohdasta "asenna Yahoo! toolbar/työkalupalkki".
Asennuksen jälkeen aukaise CCleaneri.
Valitse vasemmalta pystyrivistä Options.
Valitse viereisestä pystyrivistä Settings.
Language kohtaan valitse Suomi.

Puhdistaja
Valitse vasemmalta pystyrivistä Puhdistaja.
Paina alhaalta Tutki.
Nyt CCleaneri tutkii, mitä voidaan poistaa (tempit, cookiessit jne.).
Kun tutkiminen on valmis, paina Aja CCleaner.
Nyt CCleaneri poistaa löydetyt tempit, cookiessit jne.

Rekisterin virheiden korjaus
Valitse vasemmalta pystyrivistä Rekisteri.
Paina alhaalta Etsi rekisterin virheitä.
Kun etsintä on valmis ja olet varma, että haluat korjata ne rivit jotka ovat merkattuja, niin paina Korjaa valitut rekisterin virheet.
Sinulta kysytään "haluatko varmuuskopioida muutokset rekisteriin", paina Kyllä. Tallenna varmuuskopio vaikka "Omat tiedostot" -kansioon.
Klikkaa uudesta aukeavasta ikkunasta Korjaa kaikki valitut virheet.
Saat vielä varmistus kysymyksen, paina Ok.
Kun virheet on korjattu, paina Sulje.
Nyt voit sulkea CCleanerin painamalla oikealta ylhäältä punaista rastia.

============

• 1. Sulje kaikki ohjelmat
• 2. Windows työpöytä
• 3. Klikkaa My Computer/omatietokone hiiren oikealla painikkeella
• 4. Valitse Properties/ominaisuudet
• 5. Valitse Performance-välilehti
• 6. Valitse File System
• 7. Valitse Troubleshooting-välilehti
• 8. Valitse Disable System Restore
• 9. Klikkaa OK
• 10. Klikkaa Close
• 11. Valitse "Yes" käynnistääksesi koneen uudelleen
• 12. Tarkista kone kahdella online scannereilla ja/tai omalla virustorjuntaohjelmalla poista kaikki saastuneet tiedostot ja palauta asetukset takaisin

===========

Lataa Malwarebytes' Anti-Malware työpöydällesi.

1. Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
2. Lopuksi varmistu, että seuraavat on valittu: Update Malwarebytes', Anti-Malwareja
Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaaFinish.
3. Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
4. Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
5. Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
6. Varmistu, että kaikki on merkitty ja klikkaa Remove Selected.
7. Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki
löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application
Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
8. Lähetä lokin sisältö seuraavassa viestissäsi

 

jeps.. malware bytes ei asennu koneelle kun valittaa käyttöjärjestelmää.. eikä varmaan mikään ihme olekkaan.
ccleanerillä on nyt ajeltu läpi.
mikään online scannerikaan ei toimi tällä koneella kun valittaa käyttöjärjestelmää..

 

juu sen se voi tehä

 

Siis täh? minkä voi tehdä?
että milläs ton viiruksen saa pois kun malwarebyteskään ei toimi.

 

niin tuo mikä näky meni tuolla restoren tyhjennyksellä.
minkä escan ilmoitti.

 

File C:\_RESTORE\ARCHIVE\FS595.CAB tagged as not-a-virusialer.Win32.E-Group.1017. No Action Taken.

ajoin escan uudelleen läpi vielläkin näyttää jotain...
eikö se restore sittenkään tyhjentynyt?

 

lataa AVG Anti-Spyware 7.5.1.43

ja asenna aja

 

lataa AVG Anti-Spyware 7.5.1.43

ja asenna aja

 

Ei tuokaan ohjelma asennu. valittaa käyttöjärjestelmää. windows 2000 eteenpäin

 

• 1. Sulje kaikki ohjelmat
• 2. Windows työpöytä
• 3. Klikkaa My Computer/omatietokone hiiren oikealla painikkeella
• 4. Valitse Properties/ominaisuudet
• 5. Valitse Performance-välilehti
• 6. Valitse File System
• 7. Valitse Troubleshooting-välilehti
• 8. Valitse Disable System Restore
• 9. Klikkaa OK
• 10. Klikkaa Close
• 11. Valitse "Yes" käynnistääksesi koneen uudelleen
• 12. Tarkista kone kahdella online scannereilla ja/tai omalla virustorjuntaohjelmalla poista kaikki saastuneet tiedostot ja palauta asetukset takaisin

kai otit sen restoren pois päältä.
sammutit ja käynnistit

 

Nyt on restore pois päältä kait. ainakin mitä ymmärsin noista ohjeista niin tarkoitus oli laittaa ruksi kohtaan "poista järjestelmän palauttaminen käytöstä"
sitten ajoin avastin scannerilla koneen läpi koska mikään onnline scanneri ei toimi tällä koneella.

avast löysi tämmöistä ja ongelmia heti tuppasi:


scannasin koneen ennen kuin laitoin restoren pois päältä niin sieltä löyty 7viirusta joista 3pystyi avast poistamaan. nyt se sitten ei löytänyt enää niitä johtuneen siitä että laitoin restoren pois päältä?

 

jus noin sitten sammutat ja käynnistät

sitten se on siinä

Poista se tuolta

C:\WINZIP81.EXE

 

Laitoin restoren päälle scannasin koneen uudelleen nyt se sama tiedosto piilee viiruksen kanssa viellä siellä restoressa.


että miten se restore tyhjennetään?

 

siihen mihkä laitoit sen ruksin siihen ruksi ja samutat ja käynnistät
sitten mihin laitoit sen ruksin niin se pois kun käynnistyy kone.

tuolla sen pitää tyhjentyä.

 

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

tämähän on jotain käynnistyviä ohjelmia?
Tweak UI han on joku ohjelma jolla fixataan työpöytää?
tommosta pitemmän tutkiskelun jälkeen huomasin että koko koneella ei edes ole kyseistä ohjelmaa.
vai onko kyseinen rivi ihan jotain muuta?
CCleanerin kautta huomasin kun sillä tutkiskelin käynnistyviä ohjelmia.
että voiko laittaa pois käynnistyvistä ohjelmista.

Ja taisi restore nytten tyhjentyä. ajan viellä Avastin virus scannerin läpi jos ei mitään löydy niin homma on varmaan sen jälkeen selvä.

 

voi ton fixsata pois