Omistan tällä hetkellä tuommoisen Logitechin langattoman hiiren. Tuossa pari päivää sitten hiiren oikea näppäin tökki pahasti eli saatto olla että joutu 3-5 kertaa painaa sitä ennen kuin se otti käskyn vastaan. Nyt se toimii taas hyvin, reagoi samantien kuten kuuluukin. Ongelman aikana vasen näppäin toimi aivan moitteettomasti. Harmi kun en testannu toisella hiirellä ongelman aikana. Tuon jälkeen tein kuitenkin virustarkastuksen ensin nortonilla joka ei löytänyt mitään(lukuun ottamatta seurantaevästeitä). Malwarebytes löysi sitten parisen kymmentä koska en ollut sitä ajanut pitkään aikaan. Ehkä olen vainoharhainen mutta tuli semmonen fiilis pari päivää sitten, että koneessa olisi ollut joku haittaohjelma. Epäilyksiä ei ainakaan vähentänyt se että työpöydältä löytyi harmaa suorakulmio samoihin aikoihin missä muistaakseni oli x oikeassa yläkulmassa, josta sitten suljin sen pois. Siitäkään en tajunnut print screeniä ottaa. Kokoa sillä oli ehkä 0,7x4cm ruudulla eli aika pieni. Vähän hämäriä huomioita, eikä googlettamalla oikein mitään vastauksia löytynyt.
Oisikohan ne malwarebytesin löydöt ollut PUP:ja koska Norton ei mitään löytänyt. No katsotaan. Lataa Jukware Removal tool alla olevasta linkistä työpöydälle. http://www.bleepingcomputer.com/download/junkware-removal-tool/ Sulje muut ohjelmat ja aukaise JRT Paina mitä tahansa näppäintä ja tarkistus alkaa, kun taristus on valmis, loki aukeaa liitä se tänne. Lataa AdwCleaner alla olevasta linkistä työpöydälle. https://toolslib.net/downloads/viewdownload/1-adwcleaner/ Sulje mut ohjelmat aukaise AdwCleaner Klikkaa Scan, odota kunes tarkistus on ohi, sen jälkeen klikkaa Cleaning Kun poisto on ohi Adwcleaner pyytää koneen uudelleen käynnistystä tee se, kun kone on käynnistynyt uudelleen, lokin pitäisi aueta, jos ei niin löydät lokin, C:\AdwCleaner\AdwCleaner
Kyllä näitä PUP alkusia löyty monta malwarebytesilla. Tässä olis tuon JRT:n loki: ~~~ Services Successfully deleted: [Service] swdumon [Reboot required] ~~~ Tasks ~~~ Registry Values Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\\SearchAssistant ~~~ Registry Keys Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AFBxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxx} Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{F02xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx5} ~~~ Files Successfully deleted: [File] C:\Windows\system32\drivers\swdumon.sys ~~~ Folders Successfully deleted: [Folder] C:\Users\Appdata\Local\slimware utilities inc Successfully deleted: [Folder] C:\users\Public\Documents\downloaded installers ~~~ FireFox Successfully deleted: [File] C:\Users\AppData\Roaming\mozilla\firefox\profiles\jyxepc2e.default\searchplugins\safesearch.xml Emptied folder: C:\Users\AppData\Roaming\mozilla\firefox\profiles\jyxepc2e.default\minidumps [22 files] ~~~ Chrome [C:\Users\Appdata\Local\Google\Chrome\User Data\Default\Preferences] - default search provider reset [C:\Users\Appdata\Local\Google\Chrome\User Data\Default\Preferences] - Extensions Deleted: [C:\Users\Appdata\Local\Google\Chrome\User Data\Default\Secure Preferences] - default search provider reset [C:\Users\Appdata\Local\Google\Chrome\User Data\Default\Secure Preferences] - Extensions Deleted: [] Edit: No nyt ajoin tuon adw cleanerin myös. Vielä sellanen huomio kun avasin chromen aloitussivun googlen osoite oli: https://www.google.fi/?gfe_rd=cr&ei=hRQHVoL8FdCAsAGMg5iICw&gws_rd=ssl. Mikä ihme tuo loppuosa tuossa on? Ehkä tuo on aina ollut tuossa.
Pistäkö vielä sen AdwCleaner lokin, ja jos et halua että käyttäjänimesi näkyy noisss lokeissa niin poista vain nimesi, älä koko lokin alkua. Ilmeisimmin toi ei kuitenkaan vaikuttanut, voisiko olla vain niin että hiiri on menossa huonoon kuntoon?
Joo yritin, mutta tuo ei löydä tuolla antamallasi osoitteella sitä lokia. "Windows ei löydä kohdetta jne." saan vastauksen tolla osoitteella. Suoraan adwcleaner ohjelmastakaan ei näköjään sitä saa.
Kiitos. Sieltähän tuo löytyi: # AdwCleaner v5.008 - Logfile created 27/09/2015 at 00:46:50 # Updated 18/09/2015 by Xplode # Database : 2015-09-23.1 [Server] # Operating system : Windows 7 Home Premium Service Pack 1 (x64) # Username : # Running from : C:\Users\Downloads\adwcleaner_5.008.exe # Option : Scan # Support : http://toolslib.net/forum ***** [ Services ] ***** Service Found : swdumon ***** [ Folders ] ***** Folder Found : C:\ProgramData\{87a29515-fe47-9d93-87a2-29515fe45457} ***** [ Files ] ***** ***** [ Shortcuts ] ***** ***** [ Scheduled tasks ] ***** ***** [ Registry ] ***** Key Found : HKLM\SOFTWARE\Classes\protector_dll.protectorbho Key Found : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1 Key Found : HKCU\Software\SlimWare Utilities Inc Key Found : HKLM\SOFTWARE\SlimWare Utilities Inc Key Found : [x64] HKCU\Software\SlimWare Utilities Inc ***** [ Web browsers ] ***** ########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [938 bytes] ##########
Aukaise uudestaan Adwcleaner klikkaa scan ja kun tarkistus on ohi klikkaa Cleaning. ota sen jälken udestaan toi loki.
# AdwCleaner v5.008 - Logfile created 27/09/2015 at 23:37:15 # Updated 18/09/2015 by Xplode # Database : 2015-09-27.1 [Server] # Operating system : Windows 7 Home Premium Service Pack 1 (x64) # Username : # Running from : C:\Users\Downloads\adwcleaner_5.008.exe # Option : Scan # Support : http://toolslib.net/forum ***** [ Services ] ***** ***** [ Folders ] ***** ***** [ Files ] ***** ***** [ Shortcuts ] ***** ***** [ Scheduled tasks ] ***** ***** [ Registry ] ***** ***** [ Web browsers ] ***** ########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [565 bytes] ########## # AdwCleaner v5.008 - Logfile created 27/09/2015 at 23:38:01 # Updated 18/09/2015 by Xplode # Database : 2015-09-27.1 [Server] # Operating system : Windows 7 Home Premium Service Pack 1 (x64) # Username : # Running from : C:\Users\Downloads\adwcleaner_5.008.exe # Option : Cleaning # Support : http://toolslib.net/forum ***** [ Services ] ***** ***** [ Folders ] ***** ***** [ Files ] ***** ***** [ Shortcuts ] ***** ***** [ Scheduled tasks ] ***** ***** [ Registry ] ***** ***** [ Web browsers ] ***** ************************* :: Winsock settings cleared ########## EOF - C:\AdwCleaner\AdwCleaner[C3].txt - [629 bytes] ########## Cleaning loki tuosta ensimmäisestä scannauksesta: # AdwCleaner v5.008 - Logfile created 27/09/2015 at 00:48:53 # Updated 18/09/2015 by Xplode # Database : 2015-09-23.1 [Server] # Operating system : Windows 7 Home Premium Service Pack 1 (x64) # Username : # Running from : C:\Users\Downloads\adwcleaner_5.008.exe # Option : Cleaning # Support : http://toolslib.net/forum ***** [ Services ] ***** [-] Service Deleted : swdumon ***** [ Folders ] ***** [-] Folder Deleted : C:\ProgramData\{87a29515-fe47-9d93-87a2-29515fe45457} ***** [ Files ] ***** ***** [ Shortcuts ] ***** ***** [ Scheduled tasks ] ***** ***** [ Registry ] ***** [-] Key Deleted : HKLM\SOFTWARE\Classes\protector_dll.protectorbho [-] Key Deleted : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1 [-] Key Deleted : HKCU\Software\SlimWare Utilities Inc [-] Key Deleted : HKLM\SOFTWARE\SlimWare Utilities Inc [!] Key Not Deleted : [x64] HKCU\Software\SlimWare Utilities Inc ***** [ Web browsers ] ***** ************************* :: Winsock settings cleared ########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [1048 bytes] ##########
Aluperäiseen ongelmaan, voitko testata sitä hiirtä jossain toisessa koneessa. Ja pystytkö testaamaan toista hiirtä tässä koneessa.
Onhan se mahdollista, mutta ongelma on että hiiri toimii melko norrmaalisti juuri nyt. Eli kuten ensimmäisessä viestissä sanoin olisi silloin kun hiiri tökki pitänyt kokeilla toisessa koneessa. Itse tarkastuksiin, antoiko JRT/AdwCleaner jotain informaatiota. Löysivätkö ne jotain? Itselle melko hepreaa nuo loki tiedot. Jotain Slimware utilities sun muuta on deletoitu, mutta liittyvätkö nämä mihinkään haittaohjelmiin?
Slimware utilities on näitä koneen puhdistus ym ohjelmia, ilmeisesti aika epämääräinen kun se kerran PUP:na poistettiin. SearchScopes taas on jonkin sortin adware ohjelma mainoksia ja semmosta. Jos sulla on sen malwarebytesin loki niin näkee oliko siinäkin kaikki PUP:ja ja muita vähemmän haitallisia, vai oliko siellä seassa myös viruksia ym.
Malwarebytes Anti-Malware www.malwarebytes.org Tarkistuksen päivämäärä: 24.9.2015 Tarkistuksen kellonaika: 21:35 Lokitiedosto: malware.txt Järjestelmänvalvoja: Kyllä Versio: 2.1.8.1057 Haittaohjelmien tietokanta: v2015.09.24.04 Rootkittien tietokanta: v2015.09.22.01 Lisenssi: Ilmainen Haittaohjelmasuoja: Pois käytöstä Haitallisten verkkosivujen esto: Pois käytöstä Itse-suojelus: Pois käytöstä Käyttöjärjestelmä: Windows 7 Service Pack 1 Prosessori: x64 Tiedostojärjestelmä: NTFS Tarkistuksen tyyppi: Kattava tarkistus Tulos: Valmis Kohteita tarkistettu: 482819 Aikaa kulunut: 14 minuutti(a), 19 sekuntti(a) Muisti: Käytössä Käynnistys: Käytössä Tiedostojärjestelmä: Käytössä Pakkaukset: Käytössä Rootkitit: Pois käytöstä Heuristiikka: Käytössä Mahdollisesti haitalliset ohjelmat: Varoita Mahdollisesti haitalliset muutokset: Käytössä Prosessit: 0 (Haitallisia kohteita ei löydetty) Moduulit: 0 (Haitallisia kohteita ei löydetty) Rekisteriavain: 9 PUP.Optional.WiseConvert, HKU\S-1-5-21-2659995429-3384824354-3711699666-1002\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{ECCE0073-A837-45A2-95B9-600420505F7E}, Siirretty karanteeniin, [0ca8ba79f695d85ebb1bb5390cf6b14f], PUP.Optional.WiseConvert, HKU\S-1-5-21-2659995429-3384824354-3711699666-1002\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{ECCE0073-A837-45A2-95B9-600420505F7E}, Siirretty karanteeniin, [0ca8ba79f695d85ebb1bb5390cf6b14f], PUP.Optional.Bandoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2488}, Siirretty karanteeniin, [0ca840f33b50171f41c617bcce362fd1], PUP.Optional.Bandoo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2488}, Siirretty karanteeniin, [0fa5112278133ff7e324f7dc4eb613ed], PUP.Optional.MindSpark, HKLM\SOFTWARE\WOW6432NODE\MOZILLAPLUGINS\@ei.VideoDownloadConverter_4z.com/Plugin, Siirretty karanteeniin, [2391a2910982e74fd1f1f0bde71df709], PUP.Optional.Spigot, HKU\S-1-5-21-2659995429-3384824354-3711699666-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2EDE8C9D-299D-4F94-80D1-E265FFB12D7F}, Siirretty karanteeniin, [ae06e053b3d871c5e14f05bbb153966a], PUP.Optional.Conduit, HKU\S-1-5-21-2659995429-3384824354-3711699666-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{D707CCAC-33C1-4475-9767-3D1BE179076D}, Siirretty karanteeniin, [e2d288ab7a113cfaea7197fb4db71ee2], PUP.Optional.Bandoo, HKU\S-1-5-21-2659995429-3384824354-3711699666-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2488}, Siirretty karanteeniin, [51634fe4b2d9ee480bfbdef513f15aa6], PUP.Optional.Conduit, HKU\S-1-5-21-2659995429-3384824354-3711699666-1002\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}, Siirretty karanteeniin, [0aaa71c2dab1290d0358c9c915efd62a], Rekisteriarvot: 9 PUP.Optional.WiseConvert, HKU\S-1-5-21-2659995429-3384824354-3711699666-1002\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER|{ECCE0073-A837-45A2-95B9-600420505F7E}, s???????, Siirretty karanteeniin, [0ca8ba79f695d85ebb1bb5390cf6b14f] PUP.Optional.WiseConvert, HKU\S-1-5-21-2659995429-3384824354-3711699666-1002\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER\{ECCE0073-A837-45A2-95B9-600420505F7E}, Siirretty karanteeniin, [8d276bc887044beb775f3faf000256aa], PUP.Optional.Bandoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2488}|URL, http://dts.search.ask.com/sr?src=ie...H001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}, Siirretty karanteeniin, [0ca840f33b50171f41c617bcce362fd1] PUP.Optional.Bandoo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2488}|URL, http://dts.search.ask.com/sr?src=ie...H001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}, Siirretty karanteeniin, [0fa5112278133ff7e324f7dc4eb613ed] PUP.Optional.Spigot, HKU\S-1-5-21-2659995429-3384824354-3711699666-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2EDE8C9D-299D-4F94-80D1-E265FFB12D7F}|URL, https://fi.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=667671&p={searchTerms}, Siirretty karanteeniin, [ae06e053b3d871c5e14f05bbb153966a] PUP.Optional.Conduit, HKU\S-1-5-21-2659995429-3384824354-3711699666-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{D707CCAC-33C1-4475-9767-3D1BE179076D}|URL, http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3208938, Siirretty karanteeniin, [e2d288ab7a113cfaea7197fb4db71ee2] PUP.Optional.Conduit, HKU\S-1-5-21-2659995429-3384824354-3711699666-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{D707CCAC-33C1-4475-9767-3D1BE179076D}|FaviconURL, http://search.conduit.com/favicon.ico, Siirretty karanteeniin, [eec6ae8523683df9b8a3cdc5887cb64a] PUP.Optional.Bandoo, HKU\S-1-5-21-2659995429-3384824354-3711699666-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2488}|URL, http://dts.search.ask.com/sr?src=ie...H001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}, Siirretty karanteeniin, [51634fe4b2d9ee480bfbdef513f15aa6] PUP.Optional.Conduit, HKU\S-1-5-21-2659995429-3384824354-3711699666-1002\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{afdbddaa-5d3f-42ee-b79c-185a7020515b}|URL, http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678, Siirretty karanteeniin, [0aaa71c2dab1290d0358c9c915efd62a] Reksiteritiedot: 0 (Haitallisia kohteita ei löydetty) Kansiot: 0 (Haitallisia kohteita ei löydetty) Tiedostot: 2 PUP.Optional.Spigot, C:\Users\AppData\Roaming\Mozilla\Firefox\Profiles\jyxepc2e.default\searchplugins\yahoo_ff.xml, Siirretty karanteeniin, [dfd5151e6d1e2a0c101c3d8346be1ce4], PUP.Optional.Spigot, C:\Users\AppData\Roaming\Mozilla\Firefox\Profiles\jyxepc2e.default\prefs.js, Hyviä: (), Huonoja: (user_pref("keyword.URL", "https://fi.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=667671&p="), Korvattu,[d3e144ef187351e58d545060a85d44bc] Fyysiset sektorit: 0 (Haitallisia kohteita ei löydetty) (end) Tuommoinen löytyi. Voiko nuo karanteeniin siiretyt turvallisesti poistaa?
Voi joo PUP:ja näytti olevan kaikki ja PUP:it on siis mahdollisesti haitallisia ohjelmia, niitä saattaa tulla muiden ojelmien kylkiisenä. En usko että on haittaohjelmia mutta katsoyaan nyt kun tässä ollaan. Aja vielä Emisoft. Lataa Emisoft emergency kit https://www.emsisoft.com/en/software/eek/ Pura ohjelma haluamaasi paikkaan. Oletus on C:\EEK mutta voit purkaa sen halutessasi vaikka työpöydälle. Emisoft luo työpöydälle pikakuvakkeen. Aukaise Emisoft ja anna sen päivittää itsensä. Klikkaa Skannaa Jos jotain löytyy niin pistä karanteeniin Ota loki - loki kohdassa - Skannaus loki - Tarkat tiedot ja kopioi tekstitiedoston sisältö tänne. Loki löytyy myös C:\EEK\bin\Reorts\
Emsisoft Emergency Kit - versio 10.0 Viime päivitys: 28.9.2015 23:52:55 Skannausasetukset: Skannaustyyppi: Haittaohjelmaskannaus Kohteet: Rootkitit, Muisti, Jäljet, Tiedostot Paljasta PUP:t: Päällä Skannausarkistot: Pois ADS-skannaus: Päällä Tiedostopäätesuodin: Pois Edistynyt välimuistitus: Päällä Suora levylle pääsy: Pois Skannauksen alku: 28.9.2015 23:55:11 Value: HKEY_USERS\S-1-5-21-2659995429-3384824354-3711699666-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLETASKMGR paljastettu: Setting.DisableTaskMgr (A) Value: HKEY_USERS\S-1-5-21-2659995429-3384824354-3711699666-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS paljastettu: Setting.DisableRegistryTools (A) Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\WISECONVERT paljastettu: Application.InstallAd (A) Skannattu 86494 Löytynyt 3 Skannauksen loppu: 29.9.2015 0:04:46 Skannausaika: 0:09:35
Jeeh eiköhän haittaohjelmat ole laskettu pois kyseestä, kun ei niitä varsinaisesti nytkään löytynyt. Tämä "Setting.DisableTaskMgr" ja "Setting.DisableRegistryTools," on jotain mistä en oikein saanut selvää, kovasti emisoftin niistä oli juttua, sivuila mistään kummemasta ei utenkaan ole kyse koska malwarebytes kyllä napaisi jos olisi. Voit pitä niitä vaikka varmuuden vuoksi siellä karanteeenissa pienen ajan ja sen jälkeen poistaa. WISECONVERT taass on jonkin sortin toolbar eli sekään ei mitään vakavaa. Jos se hiiri toimii eikä muita ongelmia ole niin eipä tässä kannata sen enempää pähkäillä. Se harmaa ruutu mikä työpöydällä näkyi siihen en osaa sano varmasti, mutta uulisin sen olevan ihan tavallisestaa ohjelmasta, joskus tärmännyt vähän vastaavaan kun langattoman verkon takia oli tuommoinen ilmestynyt. Toki jos se tulee aina uudestaan niin sitten sitä voi tutkia.
JRT tekee nuo ilmeisesti scannauksen yhteydessä(ja ehkä jotkun muutkin työkalut). http://support.emsisoft.com/topic/14275-fp-or-active-malware/ E: ja miksi emnisoft ne fläggää haitoiksi ->
Isot kiitokset avusta. Voi turvallisin mielin taas maksella laskuja netissä. Jatkossa kannattaa varmasti Nortonin ja malwarebytesin lisäksi vaikka kerran pari kuussa ajaa vielä noi jrt/emisoft/adwcleaner ohjelmat niin luulisi koneen olevan puhdas.
Jrt ja Adwcleaner on hyviä ohjelma selainkaappareita, adwareja, PUP:ja ja muita vastaavia poistaan, ne on suunniteltu niitä varten, ne on ihan ok pitää koneella ja jos siltä tuntuu niin voit niitä aina väliajoin ajella riipuen ihan siitä kuinka ajattelet että koneelle on tulut turhakkeita. Jrt yhdistyy kait jssian vaiheessa malwarebytesiin ne kun hankki sen itselle. Emisoftia ei tarvi varsinaisesti tarvitse säilyttä jos on malwarebytes, mulla on aina vällä vaan tapana ehdottaa jotaain muuta ojelmaa, Toki voit senkin säilyttää ihan hyvä ohjelma.