error safe

Discussion in 'Virukset ja haittaohjelmat' started by Themes, Apr 7, 2006.

  1. Themes

    Themes Guest

    juu tuota meikäläinenkin sai jostain sen prkl:een ohjelman ja nyt on kaikkia kivoja mainoksia kone täynnä. olin sit oma aloitteinen ja latasin sen Hjt:n löysin pari riviä error safe matskua ja pistin ne fixsaukseen . sit yritin ottaa sen findlop.txt:n mut se ohjelma ei antanu ku yhen rivin tekstiä siihen tiedostoon . mitä pitäs tehä nyt ? yritin korjata sitä vikaa siis lukemalla noita aikasempia juttuja. ps. en ole kyl mikään välkky näissä hommissa! =P aappuva!
     
    Themes, Apr 7, 2006
    #1
  2. Themes

    Themes Guest

    niin ja täsä ois Hjt loki tietosto:


    Logfile of HijackThis v1.99.1
    Scan saved at 22:06:46, on 7.4.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\System32\Ati2evxx.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\rundll32.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\System32\mgabg.exe
    C:\WINNT\system32\ZoneLabs\vsmon.exe
    C:\WINNT\System32\PDesk\PDesk.exe
    C:\Program Files\Winamp3\winampa.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINNT\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\DC++\DCPlusPlus.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SemanticInsight] C:\Program Files\RXToolBar\Semantic Insight\SemanticInsight.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad8.exe
    O4 - HKLM\..\Run: [newname] C:\windows\newname8.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [fmqk] C:\Program Files\Common Files\fmqk\fmqkm.exe
    O4 - Startup: Microsoft Office Pikahaku.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Officen käynnistys.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload464a.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140700103421
    O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
    O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll
    O20 - Winlogon Notify: ShellCompatibility - C:\WINNT\system32\d6j00g1me6.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\Q29tcGFx\command.exe (file missing)
    O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

     
    Themes, Apr 7, 2006
    #2
  3. Jurppis

    Jurppis Regular member

    Joined:
    Feb 22, 2006
    Messages:
    659
    Likes Received:
    0
    Trophy Points:
    26
    Lataa tuosta Look2Me-Destroyer.exe työpöydällesi.
    http://www.atribune.org/ccount/click.php?id=7

    TÄRKEÄÄ: Ennen fixin jatkamista, sinun täytyy tehdä seuraavat:

    * Tulosta tämä, tai tallenna tekstitiedostona sopivaan sijaintiin.
    * Klikkaa käynnistä -> Suorita ja kirjoita: services.msc
    * Klikkaa OK.
    * Tarkista että tämä palvelu on käynnissä tai sen käynnistymistapa on automaattinen:
    * Toissijainen kirjautuminen
    * Seuraavaksi tietokoneesi on oltava offlinessa, vedä nettipiuha seinästä jos tarpeen.
    * Virustorjuntasi, ja kaikkien muiden turvaohjelmistojen TÄYTYY olla suljettuja.

    Jatka fixiä:

    * Sulje ikkunat jatkaaksesi.
    * Tupla-klikkaa Look2Me-Destroyer.exe filua ajaaksesi sen.
    * Rastita Run this program as a task.
    * Saat viestin joka sanoo "Look2Me-Destroyer will close and re-open in approximately 1 minute". Klikkaa OK
    * Kun se avautuu uudestaan, klikkaa Scan for L2M valintaa, pikakuvakkeesi katoavat; tämä on normaalia.
    * Kun skannaus on valmis, klikkaa Remove L2M.
    * Saat Done Scanning viestin, klikkaa OK.
    * Kun valmis, saat tämän viestin: Done removing infected files! Look2Me-Destroyer will now shutdown your computer, klikkaa OK.
    * Koneesi sammuu.
    * Käynnistä se uudelleen.
    * Postita C:\Look2Me-Destroyer.txt lokin sisältö seuraavaan viestiisi.

    Jos Look2Me-Destroyer ei aukea automaattisesi, käynnistä tietokoneesi uudestaan ja koita uudelleen.

    Seuraava vaihe:

    Seuraavaksi paina vasemmalta alhaalta käynnistä -> suorita -> kirjoita services.msc
    Etsi sieltä sellainen palvelu kuin Command Service tai cmdService ja tuplaklikkaa sitä
    Valitse sen käynnistystavaksi "ei käytössä" ja paina ok. Sulje ikkuna ja jatka ohjeita.

    Seuraava vaihe:

    Lataa tuosta Brute Force Uninstaller työpöydällesi.
    http://www.merijn.org/files/bfu.zip

    * Oikea-klikkaa BFU zippiä työpöydälläsi, ja valitse Pura kaikki.
    * Klikkaa "Seuraava"
    * Boksissa missä valita mihin haluat tiedostot purkaa,
    * Klikkaa "Selaa"
    * Klikkaa + merkkiä oman tietokoneen vieressä
    * Klikkaa "Paikallinen Levy ( C: )" tai mikä sinun tärkein levysi onkin
    * Klikkaa "Tee uusi kansio"
    * Kirjoita BFU
    * Klikkaa "Seuraava", ja ÄLÄ rastita boksia "Näytä puretut tiedostot" ja klikkaa "Valmis".

    OIKEA-KLIKKAA tätä linkkiä -> http://metallica.geekstogo.com/alcanshorty.bfu <- ja valitse "Save As" (Explorerissa "Save Target As") ladataksesi Alcra PLUS Poistajan.
    Tallenna se samaan kansioon jonka teit aiemmin (c:\BFU).

    Älä tee mitään tällä vielä!

    Käynnistä koneesi vikasietotilaan naputtamalla F8 näppäintä käynnistyksen yhteydessä.

    Klikkaa Käynnistä > Oma tietokone ja navigoi C:\BFU kansioon.

    * Käynnistä Brute Force Uninstaller tupla-klikkaamalla BFU.exe
    * Scriptline to execute kentässä kirjoita tai liitä c:\bfu\alcanshorty.bfu
    * Klikkaa Execute ja anna sen tehdä työnsä. (Sinun pitäisi nähdä edistyspalkki jos teit tämän oikein.)
    * Odota Complete script execution boksia ja klikkaa OK.
    * Klikkaa exit lopettaaksesi Brute Force Uninstallerin.

    Nyt kun olet vielä vikasietotilassa sulje kaikki ikkunat, avaa HijackThis ja merkkaa nämä:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
    O4 - HKLM\..\Run: [SemanticInsight] C:\Program Files\RXToolBar\Semantic Insight\SemanticInsight.exe
    O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad8.exe
    O4 - HKLM\..\Run: [newname] C:\windows\newname8.exe
    O4 - HKCU\..\Run: [fmqk] C:\Program Files\Common Files\fmqk\fmqkm.exe
    O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload464a.exe
    O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\Q29tcGFx\command.exe (file missing)

    ja paina fix cheked

    Seuraavaksi vieläkin vikasietotilassa poista seuraavat kansiot:

    C:\Program Files\->RXToolBar
    C:\Program Files\Common Files\->fmqk
    C:\WINNT\->Q29tcGFx

    Käynnistä koneesi uudelleen jotta pääsisit takaisin normaalitilaan. Normaalitilassa lähetä uusi HijackThis loki sekä C:\Look2Me-Destroyer.txt sisältö
     
    Jurppis, Apr 7, 2006
    #3
  4. -kemisti-

    -kemisti- Active member

    Joined:
    Jun 6, 2005
    Messages:
    6,305
    Likes Received:
    0
    Trophy Points:
    96
    RXToolbar lähtee lisää/poista sovelluksen kautta pois :)
     
    -kemisti-, Apr 8, 2006
    #4
  5. Jurppis

    Jurppis Regular member

    Joined:
    Feb 22, 2006
    Messages:
    659
    Likes Received:
    0
    Trophy Points:
    26
    Joo, eli sä voit ihan ekaks vaikka poistaa ohjauspaneelin lisää / poista sovelluksilla sen ja kato myös et onko siellä semmosta kun fmqk (tuskin on)
     
    Jurppis, Apr 8, 2006
    #5
  6. Themes

    Themes Guest

    no niin .. suoritin tuon homman aika vaihtelevalla menestyksellä.

    öö.. ekaks en oikein tajunnu mitä siellä services hommassa piti tehä...
    no sain kuitenkin noi virusten torjunta ohjelmat ja palomuurin sammutettua ja look2me teki jotain kyl varmaan aika oikein mut se ei käynnistynyt automaattisesti koneen uudelleen käynnistyksen yhteydessä... kokeilin pari kertaa mut ei niin ei ... okei en sit välittänyt siitä enempää. käynnistä - nappulan vierestä hävisi noi explorer, outlook yms. pikkukuvakkeet ja ne on vieläkin kateissa (ei kyl haittaa)

    sit se look2me txt tiedosto oli vähän aikaa koneella mut en tajunnu kopioida sitä minneen erikseen ja se sit hävis noiden BFU hommien jälkeen ... JES taas 10 pistettä.

    ööööö.... BFU ei tehny muuta ku semmosen tosinopeen sutasun ... hain kyl sen tiedoston ja kopioin sen siihen c:/bfu kansioon ja laitoin sen liitteeks siihen bfu:n komento riville... no kai se jotain sai aikaseks.

    vikasieto tilassa kaikki meni muuten nappiin mut en löytäny Hjt:llä seuraavaa riviä:

    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\Q29tcGFx\command.exe (file missing)

    ja sit kansiot :

    C:\Program Files\->RXToolBar
    C:\WINNT\->Q29tcGFx
    on jossain hukassa (ei ole piilotettuna, katoin sen jo)...


    että näin ei se kai kovin vahvast menny mut eipä ole tullu enää yhtään mainostakaan ja mä oon sentään ollu netissä jo n.20 min.

    kiitos jo tästä neuvosta mut jos mahdollista voisiko joku vielä tarkastaa ton päivitetyn Hjt lokin. kun en siitä itse juurikaan mitään tajua. =P
     
    Themes, Apr 8, 2006
    #6
  7. Themes

    Themes Guest

    Logfile of HijackThis v1.99.1
    Scan saved at 15:26:32, on 8.4.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\System32\Ati2evxx.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\System32\PDesk\PDesk.exe
    C:\Program Files\Winamp3\winampa.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINNT\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINNT\System32\mgabg.exe
    C:\WINNT\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINNT\system32\wuauclt.exe
    C:\WINNT\System32\svchost.exe
    C:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Startup: Microsoft Office Pikahaku.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Officen käynnistys.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140700103421
    O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

     
    Themes, Apr 8, 2006
    #7
  8. blade81

    blade81 Active member

    Joined:
    Jul 28, 2003
    Messages:
    1,287
    Likes Received:
    0
    Trophy Points:
    66
    Tämä loki on ok.
     
    blade81, Apr 8, 2006
    #8
  9. Themes

    Themes Guest

    ahaa ... sain noi pienet kuvakkeet josta aiemmin mussutin takas kun vähän viitin selata noita käynnistä palkin ominaisuuksia.
     
    Themes, Apr 8, 2006
    #9
  10. Themes

    Themes Guest

    siis kunnossa... wuhuuu ... kiitoksia vaan hemmetisti jurppikselle ja kemistille . hyvin te vedätte.!
     
    Themes, Apr 8, 2006
    #10
  11. Jurppis

    Jurppis Regular member

    Joined:
    Feb 22, 2006
    Messages:
    659
    Likes Received:
    0
    Trophy Points:
    26
    Jurppis, Apr 8, 2006
    #11

Share This Page