Haittashaissea koneella

Eli jostain shaissesivulta on koneelleni pesiytynyt roinaa. Suurin ongelmani on työpöydälläni vilkkuva DANGER:SPYWARE kuva, jossa mainostetaan kahta linkkiä, jotka eivät johda mihinkään. Työpöydälleni oli myös asentanut itsensä samaan aikaan jokin Casino-ohjelma. Tehtävienhallinnassa työtä tekee koko ajan MSMedia.exe niminen vihulainen, jota en saa poistettua koneelta.

Millä nyt saisin tuon vilkkuvan työpöydän pois? Taustakuvaa en voi vaihtaa, tai se ei hyödytä mitään..

 

Lataat ewidon ja microsoft antispywaren. Päivität molemmat ohjelmat ja ajat FULL system scannin.

 

No ewidon sain asennettua, Microsoftin ohjelmaa en. Ewidon löysi koneelta 40 vihulaista (mitä ad-aware ei löytänyt), joukossa oli muun muassa pari troijalaista ja muuta melua, mutta työpöytäni vilkuu edelleen kuin joulukuusi. Jatkoideoita?

 

Lataa Hijackthis: http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon C:\hjt
Käynnistä hijackthis ja klikkaa: do a system scan and save a logfile. Lähetä logi tänne.

 

Juu. Toi on joko Spyaxe tai Spysheriff. Ei taida ihan Ewidolla ja muilla lähteä. Laita toi hjt-loki niinkuin v-kos jo neuvoikin niin saadaan örkit pois koneelta.

 

Logfile of HijackThis v1.99.1
Scan saved at 15:41:28, on 30.12.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\R-mies\Työpöytä\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.veikkausliiga.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Tuolta näyttää.

 

Ei voi olla koko logi tossa noin...

 

Hmm. Laitoin kyllä koneen juuri uusiksi, että myllystä ei oikein löydy vielä mitään, ainakaan ohjelmia..Mutta muuta en saa hijackilla??

 

Kyllä toi voi olla koko loki. Tee näin:

Hae täältä -> http://www.billsway.com/vbspage/ registry search tool ja tee haku "desktop.html":llä. Jos antivirus herjaa, anna ajaa. Jos ei löydy, kokeile warnhp.html-hakusanaa.

Lähetä registry searchin tulokset.

 

desktop.html

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "desktop.html" 30.12.2005 23:05:13

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1659004503-1343024091-839522115-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\desktop.html"

[HKEY_USERS\S-1-5-21-1659004503-1343024091-839522115-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"SubscribedURL"="C:\\WINDOWS\\desktop.html"
--------------------------------------------------------------------
warnhp.html

Ilmoitti vain, että no instances of "warnhp.html" found.

 

Ota ensin rekisteristä näin varmuuskopio:

Suorita -> regedit -> ok. Sitten Tiedosto -> Vie. Kirjoita sille joku nimi ja sitten Tallenna(ja laita muistiin, mihin tallensit sen).

Sitten tallenna tämä alla oleva tekstinpätkä nimellä fix.reg vaikka muistiossa ja vaikka työpöydälle (tallennusmuoto kaikki tiedostot)

Windows Registry Editor Version 5.00

[-HKEY_USERS\S-1-5-21-1659004503-1343024091-839522115-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\desktop.html"

[-HKEY_USERS\S-1-5-21-1659004503-1343024091-839522115-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"SubscribedURL"="C:\\WINDOWS\\desktop.html"

Tuplaklikkaa ja paina kyllä ja ok. Käynnistä kone uudelleen. Auttoiko?

 

En nyt ole ihan varma teinkö kaiken oikein, mutta ei auttanut. Luulisin tehneeni..

 

http://www.bleepingcomputer.com/forums/topic36868.html (spyaxe) tai http://www.delphifaq.com/faq/windows_user/f850.shtml (spysherif)

Kokoeileppa noilla ohjeilla.

 

@modify

Nuo ohjeet ovat SpyAxe ja SpySheriff haittaohjelmien poistoon joita tuolla koneella ei ole.

@salora: Yritän jostain etsiä ratkaisun tuohon, kun ei tuo rekisteriarvojen poistokaan auttanut. Voit toki kokeilla poistaa ne myös manuaalisesti näin Käynnistä > suorita > regedit > seuraat polkuja, ja poistat nämä:

[HKEY_USERS\S-1-5-21-1659004503-1343024091-839522115-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\desktop.html"

[HKEY_USERS\S-1-5-21-1659004503-1343024091-839522115-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"SubscribedURL"="C:\\WINDOWS\\desktop.html"



Muista olla erittäin varovainen, ja katso tarkkaan mitä poistat.

 

Jos panttaan tuota edellistä ratkaisua vielä hetkisen..
Hienoa, että joku jaksaa yrittää ratkaista ongelmiani..!

 

Enpä muutakaan tuohon nyt keksi. Tuo desktop.html kuitenkin nuo ongelmat todennäköisesti aiheuttaa. Sen saat pois vain poistamalla sen rekisteristä. Joko tekemällä tuon fix.reg filun tai poistamalla ne arvot manuaalisesti. Katsotaan nyt vielä jos nuo eivät toimi keksiikö joku jotain muutakin.

 

Wau. Nyt tilanne muuttui. Enää tuossa työpöydällä ei vilku enää se DANGER:SPYWARE. Nyt koko työpöytä on valkoinen ja yrittää muuttua kermanvaaleaksi alituiseen. Taustakuvaa en saa edelleenkään paikoilleen, ja kaikki ohjelmien kuvakkeiden tekstit on maalattu sinisellä pohjalla.

Tuntuu, että joku olisi vetänyt tuon edellisen työpöydän joulukuusen päälle vain valkoiset maalit ja siellä alla vilkkuisi jotain. Mystitstä. Noh, ainakaan ei enää ole se rasittava DANGER-strobo näkökentässä. Tämän kanssa jo elää.

Mutta oikeassa olit Spertti. vika oli enemmän tai vähemmän desktop.html:ssä. Nyt vielä pitäisi saada hommaa jatkettua..!

 

Menee kyllä hakuammunnaksi, mutta eipä tästä vaaraakaan ole.

Klikkaa työpöydällä oikealla hiiren nappulalla -> ominaisuudet -> työpöytä -> mukauta työpöytää -> web-välilehti.
Katso, jos siellä on jotain security-juttua, niin poista se. Jos siellä näkyy jotain muuta outoa, niin kerro myös siitä.

 

Wau. Meni kyseiseen paikkaan, --> security oli ruksattuna--> poistin sen. Nyt minulla on normaali työpöytä!!!!!

Spertti, Spertti, Spertti!!

Wau, suuret kiitokset!! Mystisintä on, että mistä tuo tuli koneelleni. En yleensä käytä exploreria, jostain syystä näin tein ja joltain vaarattomalta sivulta-tosin oudosta linkistä hyppäsi koneelle moinen veijari. Noh, nyt se on poistettu, mutta olipa työn takana.. Kiitos siitä!!