Explore.exe kaatuu kun XP käynnistetään(logit mukana)

Jatkoa tälle ketjulle: http://keskustelu.afterdawn.com/thread_view.cfm/676445

Kehotettiin lataamaan Hijack This, mutta toisella koneella ei jostain syystä Afterdawnin sivut avaudu. Tässä ne logit kuitenkin olisivat:

Toivottavasti auttaa

 

Kyllä täällä on pöpöjä enemmänkin !!!!!
HJT:n logi vain olisi pitänyt olla kokonaisena (menee arvauksen puolelle)

------------------------------------------------------

1. Käynnistä Spybot-S&D Edistyneessä tilassa
2. Jos se ei ole Edistyneessä tilassa, mene Tila-valikkoon ja valitse Edistynyt tila
3. Klikkaa vasemmalla Työkalut
4. Klikkaa listassa Pysyvä suojaus
5. Ota rasti pois kohdasta "Pysyvä TeaTimer" ja paina OK.
6. Käynnistä kone uudelleen.

---------------------------------------------

Mene Windowsin ControlPaneliin (Ohjauspaneli) ja sieltä Lisää / Poista sovellus
Etsi ja poista ohjelma jonka nimessä on:

NewDotNet


-------------------------------------------------------------------------

1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
combofix.exe
combofix.exe


Avaa Muistio ja kopioi/liitä Lainaus: laatikon sisältö sinne:

Tallenna nimellä CFScript (itse asiassa combofix tunnistaa tuon vaikka tiedostopääte ei olisi
edes .txt).

Sitten raahaa ja pudota CFScript ComboFix.exeen kuten alla.(Älä klikkaa)



Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
Käynnistä kone uudelleen, jos niin pyydetään ja lähetä combofix.txt-tiedoston sisältö tänne.

-----------------------------------------------------------

Sammuta selain ja muut ohjelmat Fixin ajaksi. (ei virustorjuntaa)
Käynnistä HijackThis:ja Scan ja ruksaa seuraavat punaisella listatut tiedostot sekä poista ne.(fix Chekked)

O4 - HKLM\..\Run: [BM87b79efc] Rundll32.exe "C:\WINDOWS\system32\ulklmfuu.dll",s
O20 - AppInit_DLLs: kdncjljl.dll
O20 - Winlogon Notify: gEWnNDSI - gEWnNDSI.dll (file missing)
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)

Tyhjennä roskakori ja käynnistä koneesi uudelleen.

Postita tänne seuraavat lokit:
* Tuore HijackThis loki (Otetaan viimeisenä ennen postitusta)
* (C:\ComboFix.txt) raportti
*
*

 

Kiitokset tästä tiedosta. Harmillisesti en löydä NewDotNet kansiota tai sovellusta antamista sijainneista. Voinko kuitenkin jatkaa eteenpäin, sillä en ole vielä viitsinyt. Miksi pysyvä TeaTimer otettiin pois?

 

TeaTimer estää virusten poiston.
Laita se takaisin kun kone on puhdas.

Jatka eteenpäin MB siivoaa loput NewDoNetistä =>
.

 

Ohitin tuon sovelluksen poiston ja siirryin Combofixiin ja tein kuten käskettiin. Käynnistäessä ohjelmaa tulee kuitenkin ilmoitus, että se ei ole "...kelvollinen Win32-sovellus".
Mitä nyt?

 

Virukset tekevät kiusaa HI

Lataa Killbox Option^Explicitiltä.

Huomaa: Jos sinulla on jo Killbox, tämä on uusi versio joka sinun tulee asentaa. Poista aikaisempi.

* Tallenna työpöydällesi.
* Tupla-klikkaa Killbox.exe ajaaksesi ohjelman.
* Valitse:* Delete on Reboot* sitten klikkaa All Files valintaa.
* Kopioi ja liitä alapuolella olevat tiedostopolut leikepöydälle mustaamalla KAIKKI ne ja painamalla CTRL + C (tai, mustaamisen jälkeen, oikea klikki hiirellä ja valitse kopioi):

C:\WINDOWS\system32\ulklmfuu.dll
C:\WINDOWS\system32\kdncjljl.dll
C:\WINDOWS\system32\gEWnNDSI.dll
C:\WINDOWS\system32\commserv.exe


* Palaa Killboxiin, mene File valikkoon, ja valitse Paste from Clipboard.
* Mene Options valikkoon laita ruxit kahteen ylimpään riviin.
* Klikkaa puna-valkoista Delete File valintaa. Klikkaa Yes "Delete on Reboot" pyyntöön. Klikkaa OK mihin vain PendingFileRenameOperations pyyntöön (ja anna fixaajan tietää jos jokin tälläinen tulee!).[/list]
Käynnistä koneesi itse jos se ei sitä automaattisesti tee.
Jos saat tälläisen viestin: "Component 'MsComCtl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid." Kun yrität ajaa KillBoxia, klikkaa tätä ladataksesi ja ajaaksesi Missingfilessetup.exe;n. Sitten koita KillBoxia uudestaan.

Tee tämäkin =>
KillBoxin Tools välilehdeltä => Delete Temp Files => Delete Selected
-------------------------

Lataa Malwarebytes' Anti-Malware työpöydällesi.

* Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
* Lopuksi varmistu, että seuraavat on valittu: Update Malwarebytes' Anti-Malware ja Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Finish.
* Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
* Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
* Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
* Varmistu, että kaikki on merkitty ja klikkaa Remove Selected.
* Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös
täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt

Lähetä lokin sisältö seuraavassa viestissäsi + uusi hjt-loki.
Lähetä: C:\!KillBox\Logs\Kb.log tänne.
.

 

Hienoa! Heti Killboxin ladattuani ja ohjeiden mukaiset jutut tehtyäni kone ei enää lähettänyt virheraporttia ja nyt ei tule pop-peja, sekä nyt kaikki sivut avautuvat. Mahtavaa! Malwarebytes huomasi monta virusta. Eihän tähän mitään formatointia tarvittu. Haluaisin vielä tietää onko kaikki nyt kunnossa?

Kiitokset vielä kerran, mutta vielä jos nuo voisit tarkistaa.

 

Kyllä täällä tauhkaa on vielä !!!
KillBox perkasi pahimpia.

Mene alapalkista KÄYNNISTÄ ==> SUORITA valikkoon ja kirjoita services.msc OK
Klikkaa Avautuva ikkuna suureksi ja ohjelma saraketta levität niin että näkyy kaikki.

Etsi
Active Common Service
NNServ

Klikkaa rivi aktiiviseksi ja
Hiiren oikealla napilla pääset ko. riviltä valikkoon ==> Ominaisuudet/Propertiers
josta muutat Ei käytössä. => Klikkaa käytä => OK Tämän lisäksi klikkaat vasemmalla
puolella olevaa linkkiä Pysäytä palvelu . Poistu ohjelmasta.

------------------------------------------

Sammuta selain ja muut ohjelmat Fixin ajaksi. (ei virustorjuntaa)
Käynnistä HijackThis:ja Scan ja ruksaa seuraavat punaisella listatut tiedostot sekä poista ne.(fix Chekked)

O2 - BHO: (no name) - {30BEDFC8-3BFF-4AF8-BF23-89DECAD769AD} - (no file)
O2 - BHO: (no name) - {CDB6BD00-7BA8-45C2-AF35-4570140C3761} - (no file)
O2 - BHO: {03d2c7ac-30b8-72fb-cad4-ef3bf1813bbe} - {ebb3181f-b3fe-4dac-bf27-8b03ca7c2d30} - C:\WINDOWS\system32\kdncjljl.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - AppInit_DLLs: kdncjljl.dll
O20 - Winlogon Notify: gEWnNDSI - gEWnNDSI.dll (file missing)
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)
O23 - Service: Active Common Service - Unknown owner - C:\WINDOWS\system32\commserv.exe (file missing)
O23 - Service: NNServ - Unknown owner - C:\Program Files\NewDotNet\nnrun.exe (file missing)

------------------------------------------------

Aja Combo vikasiedossa jos muuten ei toimi.

1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä:
combofix.exe
combofix.exe


Avaa Muistio ja kopioi/liitä Lainaus: laatikon sisältö sinne:

Tallenna nimellä CFScript (itse asiassa combofix tunnistaa tuon vaikka tiedostopääte ei olisi
edes .txt).

Sitten raahaa ja pudota CFScript ComboFix.exeen kuten alla.(Älä klikkaa)



Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
Käynnistä kone uudelleen, jos niin pyydetään ja lähetä combofix.txt-tiedoston sisältö tänne.

lähetä C:\combofix.txt ja uusi HJT logi
.

 

Kyseisiä ei löydy hijack thisistä. Palveluista sammutin kummatkin, mutta ei voinut pysäyttää, kun taisi olla valmiiksi pysäytetty jo.
Jatketaanko kuitenkin?
Miksi esim. Adobe Reader Speed Launcher tai Nero Filter Check fixataan?

 

Ovat täysin tarpeettomia Start menussa.
Ei ne koneelta mihinkään lähde.
Jos haluat niiden menevän päälle koneen käynnistyksessä,
niin älä fixaa.
Tästä hyvästä kerro minulle miksi niiden pitää pyöriä kokoaika
käynnissä vaikka niitä ei käytetä ja missä tilanteessa niitä käytät.
???

 

Ei oikeastaan mihinkään, uteliasuuttani kyselin. Kuitenkin voinko jatkaa vaikka noita kahta ei löytynyt?

Edit: Jatkoin nyt ohjetta eteenpäin. Tällä kertaa ComboFix on kelvollinen ja käynnistyy, mutta sen jälkeen viesti tuli, jossa luki: "ComboFix has expired..."
Yritin etsiä päivitystä, mutta turhaan. Mitä nyt?

 

Ensin tämä:
Mene Käynnistä => Suorita => kopioi sinne ComboFix.exe /u ja OK

Täältä:
1. Lataa combofix.exe työpöydällesi mistä tahansa alla olevasta linkistä:
Linkki 1
Linkki 2
Linkki 3
.

 

Pahoittelen, että näin myöhään tuli. Ajoin ComboFixin, mutta ennen sammutusta tuli viesti, että CatchMe.DLL ei voi suorittaa, koska järjestelmä sammutetaan. Käynnistäessä meni kait jokin mönkään, kun ruutuun pomppasi Shockwave update ja komentoriville tuli teksti:

<Tulostustiedosto>
Poistutaan putkesta.

En muista miten se meni,mutta jotenkin noin.

ComboFix.txt tiedostoa ei valitettavasti löytynyt C: Aseman juuresta, mutta tässä kuitenkin uusi HJT loki:

 

Sulla ei ole minkäänlaista virusturvaa actiivisena !!! ???
Avast ja F-Secure ei sovi samalle koneelle.
********************************************************

Laita varmuudeksi Windowsin palomuuri päälle Ohjauspanelin => tietoturvakeskuksesta.

****************************************************

Combo ei mennyt loppuun asti.
Aja se vikasietotilassa.
Käynnistä kone vikasietotilaan => OHJE
.

 

Itsekkään en käsitä, miksi Avast olisi pois päältä... Combofixin jälkeen ei tullut Avastin logoa oikean alareunaan. Voi olla, että koneen uudelleen käynnistys vaikuttaa (en ole siis ComboFixin lopetettua jälkeen käynnistänyt uudelleen). Palomuuri on onneksi kokoajan ollut päällä. En harmillisesti kerkeä nyt ComboFixiä tehdä, sillä lähden lomalle...

 

OK

 

Terve taas pitkäsä aikaa. Olin unohtanut koko topickin.

Kuitenkin tämä viesti ei ole turha vaan voin ehkä tietää mistä suurin osa viruksista on lähtenyt.
finnish.toggle.com on varmaan tuttu sivu monille virus experteille.
Nähtävästi pari ohjelmaa on ladattu sieltä. Mozzillan etusivu näyttää, että Finnish Toggle on tarkastanut 100% virus vapaaksi (p*ska puhetta).

Poistin Mozzillan ja asentaa Mozzillan kotisivulta oikean, mutta näyttää vielä Finnish togglea.

Tässä vielä uusi HJT loki jos on jotain muuttunut:

Harmillisesti työt painavat päälle joten en taaskaan kerkeä Combofixita.

 

finnish.toggle.com ei ole mustalla listalla.

Siitä huolimatta ongelma on tässä:

Code:

Sulla ei ole minkäänlaista virusturvaa actiivisena !!!  ???
Avast ja F-Secure ei sovi samalle koneelle.
********************************************************

Laita varmuudeksi Windowsin palomuuri päälle Ohjauspanelin => tietoturvakeskuksesta.

****************************************************

.

 

jos avastia käytät niin poista

Spybot - Search & Destroy

ja kansio vikasiedossa

C:\Program Files\Spybot - Search & Destroy

 

Meinaatko sitä, että Finnish.Toggle.com olisi puhdas sivu? Tämän mukaan ei: http://www.siteadvisor.com/sites/to...26.5_6258&locale=fi-FI&premium=false&aff_id=0
Myös googleen kirjoittamalla tuon osoitteen saa melkoista valitusta sivusta.

Yritän ladata tuon Avastin uudestaan ja poistaa tuon Spybotin.