Elikkäs ostin tässä kuukausi pari sitten koneen ( itse kasattu ) kun vanha alkoi olemaan niin hidas yms.. mutta nyt viime viikkojen aikana kone on alkanut latailee (eli alkanut raksuttaa ja pitää ihme ääniä) ihan vaikka koneella ei ole mitään päällä. ARES nimisellä ohjelmalla kun latailen niin koko koneen toiminta hyytyy eli en voi pelata edes selaimella erittäin alkeellista peliä / Starcraftissa tulee pieniä tökkimispiikkejä / settlers 3 peli jämähtää 3 sekunniksi välillä. koneen tehoista en kyllä usko että on kiinnit: Amd A64 Athlon (AM2) 3500+ / 2x512mb 667mhz ddr2 / Geforce 7600GS 256mb / 80gt. mietin aluksi että ARES on vain niin pirun raskas että mikään muu ei toimi, noh Utorrentin kanssa tämä oli kahta kauheempaa... noh, se on selvää että netissä surffailu on suolaa haavoissa noitten kanssa joten otin ne pari pv sitte käytöstä pois mutta jopa selaimella pelaaminen ( www.tribalwars.com Teksti strategiapeli ) tökki,kone raksuttaa tajuttomia aikoja yms... koska enää ei ollut vaikuttavia tekijöitä niin tulin tulokseen että koneella on pakko olla jotain matoja tms. otin HijackThis login: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 12:50:15, on 7.6.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Microsoft IntelliType Pro\type32.exe C:\Program Files\Microsoft IntelliPoint\point32.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\Ares\Ares.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Steam\steam.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Documents and Settings\Saku Joronen\Työpöytä\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fi/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Rapget] C:\Documents and Settings\Saku Joronen\Työpöytä\rapget135\rapget.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Object\isamntr.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{610DD1E0-4273-42D4-92C1-44DD8407BA37}: NameServer = 193.210.19.19 193.210.18.18 O20 - AppInit_DLLs: O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: carolus - {} - C:\WINDOWS\system32\xyxuic.dll O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing) O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Tapahtumaloki (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: CD-levyjen kirjoittamisen IMAPI COM -palvelu (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting etätyöpöydän jakaminen (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Etätyöpöydän ohjeen istunnonhallinta (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Älykortti (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Program Files\Sygate\SPF\smc.exe (file missing) O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Resurssilokit ja -hälytykset (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Aseman tilannevedos (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: WMI resurssisovitin (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe sitten pari ohjelmaa jolla voisi scannata koneen ? Spybot S&D olen välillä katsonut ja jtn mainos juttuja löytänyt. en tiiä noista AVG/CCleaner/ad aware yms että mites niitten se scannauksen tulos että löytääkö ne mtn edes ? Avast ei oikeen tykkää mun koneesta ( luulenpa että netissä vika ) koska asennan, reboottaan ja se käynnistyy normisti. sitten ku sammutan koneen ja käynnistän uudestaa niin sen toiminta loppukin sitten siihen, taino prosesseissa on pari ASHSERV tms mutta ei muuta, ei logoa alakulmassa, ei mitään. Tuli aika paljon tekstiä ja varmaan puoletkin sellasta siansaksaa mutta kiitos etukäteen [E] toinen juttu on tuo käynnistäminen. olen säätänyt haluamani ohjelmat Suorita->MSGONFIG->Käynnistys mutta kun konetta pari kertaa käynnistää niin taas sieltä käynnistyy ihan turhia JA ÄRSYTTÄVIÄ ohjelmia... miten/millä tämä korjataa ?
Lataa FindAWF by noahdfear ja tallenna se työpöydällesi. Kaksoisklikkaa tiedostoa FindAWF.exe. Ohjelma käynnistyy, paina mitä näppäintä tahansa aloittaaksesi etsinnän. Kun etsintä on valmis, loki avautuu muistiossa. Tallenna tämä loki työpöydällesi ja kopioi ja liitä sen sisältö viestiketjuusi. ========= Lataa SmitfraudFix (by S!Ri) työpöydällesi. Tuplaklikkaa tiedostoa SmitfraudFix.exe Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa). Postita tämän tekstitiedoston sisältö viestiketjuusi. **Jos työkalu ei käynnisty työpöydältä niin siirrä SmitfraudFix.exe suoraan järjestelmäaseman juureen (yleensä C:). Kokeile sitten käynnistää ohjelma uudestaan sieltä. Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää. http://www.beyondlogic.org/consulting/processutil/processutil.htm ========== Printtaa ohjeet ulos tai tallenna nämä tekstitiedostoon. Käynnistä koneesi vikasietotilaan ja valitse tavallinen käyttäjätilisi. Kun vikasietotilassa, tuplaklikkaa tiedostoa SmitfraudFix.exe Valitse optio #2 - Clean kirjoittamalla 2 ja painamalla "Enter" poistaaksesi tarttuneet tiedostot. Sinulta kysytään: "Registry cleaning - Do you want to clean the registry ?"; vastaa "Yes" kirjoittamalla Y ja paina "Enter" poistaaksesi työpöydän taustakuvan ja puhdistaaksesi tarttuneet rekisteriavaimet. Työkalu tarkistaa jos wininet.dll on tarttunut. Sinua saatetaan pyytää korvaamaan tarttunut .dll (jos löytyy); vastaa "Yes" kirjoittamalla Y ja painamalla "Enter". Työkalun saattaa tarvita käynnistää kone uudelleen; jos ei tee niin, käynnistä normaaliin Windowsiin. Tekstitiedosto ilmestyy, puhdistusprosessin jäljiltä; kopioi & liitä tämän raportin tulokset vastaukseesi. Raportti löytyy paikalliselta levyltäsi, useimmiten C:\rapport.txt. ========== Laita molempien kohtien lokit + awf:n logi ja uusi hijackthislogi
HijackThis: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 1:15:49, on 8.6.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Microsoft IntelliType Pro\type32.exe C:\Program Files\Microsoft IntelliPoint\point32.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\Saku Joronen\Työpöytä\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: Adobe PDF Reader -linkkiavustaja - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{610DD1E0-4273-42D4-92C1-44DD8407BA37}: NameServer = 193.210.19.19 193.210.18.18 O20 - AppInit_DLLs: O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing) O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Tapahtumaloki (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: CD-levyjen kirjoittamisen IMAPI COM -palvelu (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting etätyöpöydän jakaminen (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Etätyöpöydän ohjeen istunnonhallinta (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Älykortti (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Program Files\Sygate\SPF\smc.exe (file missing) O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Resurssilokit ja -hälytykset (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Aseman tilannevedos (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: WMI resurssisovitin (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe ========================================================== AWF log: bak folders found ~~~~~~~~~~~ Asemalla C ei ole nime„. Aseman sarjanumero on AC1D-FC69 Kansio C:\PROGRA~1\MICROS~2\BAK 08.03.2007 22:25 <KANSIO> . 08.03.2007 22:25 <KANSIO> .. 03.06.2004 11:51 172ÿ032 type32.exe 1 tiedosto(a) 172ÿ032 tavua 2 kansio(ta) 46ÿ705ÿ201ÿ152 tavua vapaana Asemalla C ei ole nime„. Aseman sarjanumero on AC1D-FC69 Kansio C:\PROGRA~1\MICROS~3\BAK 08.03.2007 22:25 <KANSIO> . 08.03.2007 22:25 <KANSIO> .. 03.06.2004 11:50 204ÿ800 point32.exe 1 tiedosto(a) 204ÿ800 tavua 2 kansio(ta) 46ÿ705ÿ201ÿ152 tavua vapaana Asemalla C ei ole nime„. Aseman sarjanumero on AC1D-FC69 Kansio C:\PROGRA~1\MSNMES~1\BAK 08.03.2007 22:25 <KANSIO> . 08.03.2007 22:25 <KANSIO> .. 0 tiedosto(a) 0 tavua 2 kansio(ta) 46ÿ705ÿ197ÿ056 tavua vapaana Asemalla C ei ole nime„. Aseman sarjanumero on AC1D-FC69 Kansio C:\PROGRA~1\STEAM\BAK 08.03.2007 22:25 <KANSIO> . 08.03.2007 22:25 <KANSIO> .. 02.03.2007 20:14 1ÿ269ÿ760 steam.exe 1 tiedosto(a) 1ÿ269ÿ760 tavua 2 kansio(ta) 46ÿ705ÿ197ÿ056 tavua vapaana Asemalla C ei ole nime„. Aseman sarjanumero on AC1D-FC69 Kansio C:\WINDOWS\SYSTEM32\BAK 08.03.2007 22:25 <KANSIO> . 08.03.2007 22:25 <KANSIO> .. 14.09.2004 16:12 15ÿ360 ctfmon.exe 1 tiedosto(a) 15ÿ360 tavua 2 kansio(ta) 46ÿ705ÿ197ÿ056 tavua vapaana Asemalla C ei ole nime„. Aseman sarjanumero on AC1D-FC69 Kansio C:\PROGRA~1\SYGATE\SPF\BAK 08.03.2007 22:25 <KANSIO> . 08.03.2007 22:25 <KANSIO> .. 15.10.2004 20:40 2ÿ577ÿ632 smc.exe 1 tiedosto(a) 2ÿ577ÿ632 tavua 2 kansio(ta) 46ÿ705ÿ197ÿ056 tavua vapaana Asemalla C ei ole nime„. Aseman sarjanumero on AC1D-FC69 Kansio C:\PROGRA~1\VIA\RAID\BAK 08.03.2007 22:25 <KANSIO> . 08.03.2007 22:25 <KANSIO> .. 23.11.2005 05:12 1ÿ060ÿ864 raid_tool.exe 1 tiedosto(a) 1ÿ060ÿ864 tavua 2 kansio(ta) 46ÿ705ÿ197ÿ056 tavua vapaana Asemalla C ei ole nime„. Aseman sarjanumero on AC1D-FC69 Kansio C:\PROGRA~1\JAVA\JRE15~1.0_1\BIN\BAK 08.03.2007 22:25 <KANSIO> . 08.03.2007 22:25 <KANSIO> .. 15.12.2006 04:23 75ÿ520 jusched.exe 1 tiedosto(a) 75ÿ520 tavua 2 kansio(ta) 46ÿ705ÿ197ÿ056 tavua vapaana Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 172032 3 Jun 2004 "C:\Program Files\Microsoft IntelliType Pro\type32.exe" 172032 3 Jun 2004 "C:\Program Files\Microsoft IntelliType Pro\bak\type32.exe" 204800 3 Jun 2004 "C:\Program Files\Microsoft IntelliPoint\point32.exe" 204800 3 Jun 2004 "C:\Program Files\Microsoft IntelliPoint\bak\point32.exe" 1259000 31 May 2007 "C:\Program Files\Steam\steam.exe" 1269760 2 Mar 2007 "C:\Program Files\Steam\bak\steam.exe" 15360 14 Sep 2004 "C:\WINDOWS\system32\ctfmon.exe" 15360 14 Sep 2004 "C:\WINDOWS\system32\bak\ctfmon.exe" 2577632 15 Oct 2004 "C:\Program Files\Sygate\SPF\bak\smc.exe" 1060864 23 Nov 2005 "C:\Program Files\VIA\RAID\bak\raid_tool.exe" 83608 14 Mar 2007 "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" 75520 15 Dec 2006 "C:\Program Files\Java\jre1.5.0_11\bin\bak\jusched.exe" ============================================================== SmitFraudFix LOG: SmitFraudFix v2.192 Scan done at 1:11:48,76, pe 08.06.2007 Run from C:\Documents and Settings\Saku Joronen\Ty”p”yt„\SmitfraudFix OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{}"="carolus" [HKEY_CLASSES_ROOT\CLSID\{}\InProcServer32] @="C:\WINDOWS\system32\xyxuic.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{}\InProcServer32] @="C:\WINDOWS\system32\xyxuic.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri C:\WINDOWS\system32\xyxuic.dll -> Hoax.Win32.Renos.gen.l C:\WINDOWS\system32\xyxuic.dll -> Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{4EF9C23A-E178-40D3-B14F-F092985724B0}: DhcpNameServer=62.165.128.12 62.165.128.11 62.165.128.10 HKLM\SYSTEM\CS1\Services\Tcpip\..\{4EF9C23A-E178-40D3-B14F-F092985724B0}: DhcpNameServer=62.165.128.12 62.165.128.11 62.165.128.10 HKLM\SYSTEM\CS2\Services\Tcpip\..\{4EF9C23A-E178-40D3-B14F-F092985724B0}: DhcpNameServer=62.165.128.12 62.165.128.11 62.165.128.10 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Kiitoksia avusta etukäteen,toivottavasti tässä on kaikki mitä piti.
Käynnistä tietokoneesi vikasietotilaan =========0 kopioi seuraavat rivit esim notepad:in Tallenna nimellä FIX.BAT työpöydälle muotoon kaikki tiedostot tuplaklikka hiirellä FIX.BAT :a ======0 Käynnistä tietokone normaalitilaan ======= Lataa Dr.Web CureIt työpöydälle: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe [*]Tuplaklikkaa drweb-cureit.exe ja anna sen tehdä express scan [*]Se skannaa käynnissä olevat ohjelmat ja jos jotain löytyy, klikkaa yes kun se kysyy haluatko poistaa sen. Tämä on vain lyhyt scan. [*]Kun scan on valmis, merkkaa asemat, jotka haluat scannata. [*]Valitse kaikki asemat. Punainen piste osoittaa, mitkä asemat on valittu. [*]Klikaa vihreää nuolta oikealla ja scan alkaa. [*]Klikkaa 'Yes to all', jos kysytään haluatko poistaa/siirtää tiedoston. [*]Kun scan on valmis, katso voitko klikata next-kuvaketta löytyneiden tiedostojen vieressä: [*]Jos asia on niin, klikkaa sitä ja sitten klikkaa next-kuvaketta oikealla alhaalla ja valitse Move incurable kuten alla olevalla kuvassa: Tämä siirtää sen %userprofile%\DoctorWeb\quarantine-hakemistoon. [*]Tämän jälkeen klikkaa Dr.Web CureIt-valikossa file ja valitse save report list [*]Tallenna raportti työpöydälle. Raportin nimi on DrWeb.csv [*]Sulje Dr.Web Cureit. [*]Käynnistä kone uudelleen !! Tämä siksi, että käytössä olevat tiedostot poistetaan/siirretään käynnistyksen yhteydessä. [*]Käynnistyksen jälkeen liitä Dr.Web-lokin, jonka tallensit aiemmin, sisältö seuraavaan vastaukseesi. ======== Kaksoisklikkaa tiedostoa FindAWF.exe. Ohjelma käynnistyy, paina mitä näppäintä tahansa aloittaaksesi etsinnän. Kun etsintä on valmis, loki avautuu muistiossa. Tallenna tämä loki työpöydällesi ja kopioi ja liitä sen sisältö viestiketjuusi. ====== 1. Lataa combofix.exe työpöydällesi jommastakummasta linkistä: http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe 2. Tuplaklikkaa combofix.exe tiedostoa ja seuraa ohjeistuksia. 3. Kun työkalu on valmis, se tuottaa lokin. (C:\ComboFix.txt) Lähetä tämä loki viesti ketjuusi. Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen. ======= siis combofixin, uusi awflog ja drweb
yksi kysymys että toi FIX.BAT siis tekee mitä noille tiedostoille mitä tosssa on ? esim steam ? / Sygate Personal Firewall ? / yms...
Elikkä, vastaan vain pikaisesti, koneessasi on sellainen infektio joka korvaa lailliset tiedostot laittomilla ja siirtaa ne omaan kansioonsa, että semmosta, google saattaapi kertoa lisaa ko. tapauksesta. Eli teeppä noi jutut ja laita logit..
joo o.... noilla ohjeilla pääsin ton drweb kohdan ja sitten selaimet ei toiminut. järjestelmän palautuksella sain toimimaan. pitääkö kokeilla uudestaa vai...?
DrWeb ei vaikuta tietääkseni selainten toimintaan. Saít järjestelmänpalautuksella takaisin osan örkeistä... Älä tee mitään muuta, kuin ohjeissa on pyydetty tekemään! Näin: 1. Klikkaa oikealla käynnistävalikon My Computer- tai oma tietokone-kuvaketta 2. Valitse Properties/ominaisuudet 3. Valitse System Restore/järjestelmän palauttaminen välilehti 4. Valitse "Turn off System Restore"/poista järjestelmän palauttaminen kaikissa asemissa 5. Paina Apply/käytä 6. Paina OK *7. Käynnistä kone uudelleen* ÄLÄ tee vielä uutta palautuspistettä! *** Lataa ja asenna CCleaner http://www.ccleaner.com/ Ohjeita käyttöön http://www.nefernetti.com/ccleaner_opas.htm --> Aja Puhdistaja ja Virheet *** Ohje Anti-Spyware 7.5:n käyttöön Huom! Tässä ohjeessa sammutetaan tuo reaaliaikasuojaus (Shield). Näin vältetään tilanteet joissa suojaus estäisi esim HijackThis työkalun toimintaa. Sammuta ensin näytönsäästäjä, jos on käytössä. Tallenna sen jälkeen nämä ohjeet tekstitiedostoon tai tulosta nämä, muuten et pääse niihin käsiksi vikasietotilasta Lataa AVG Anti-Spyware 7.5 http://www.ewido.net/en/download/ ja tallenna ohjelma työpöydällesi. * Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa. * Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää. * Käynnistä AVG Anti-Spyware. * Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta. o Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa. Jos automaattipäivitys ei jostain syystä toimi, niin tunnisteet voi ladata manuaalisesti http://www.ewido.net/en/download/updates/ -linkin takaa. * Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti. * Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine". * Sitten "Reports" valikon alta: o Laita täppi kohtaan "Automatically generate report after every scan" o Ota täppi pois kohdasta "Only if threats were found" * Sitten klikkaa "Shield" kuvaketta ikkunan ylälaidassa * "Resident shield is", muuta tila active:sta inactive:ksi * Sulje ohjelma, ÄLÄ skannaa vielä. Käynnistä koneesi vikasietotilaan, Ohje: http://students.turkuai.fi/~aidata/?Ohjeita_ja_muuta_tietoa:Vikasietotila HUOM! Älä käytä muita ohjelmia AVG skannauksen aikana, tämä saattaa häiritä skannausta. * Kun vikasietotilassa, käynnistä AVG Anti-Spyware. * Klikkaa "Scanner" kuvaketta ikkunan ylälaidassa ja valitse "Scan" välilehti. Sitten klikkaa "Complete System Scan". * Ewido aloittaa nyt tietokoneen skannaamisen, ole kärsivällinen sillä skannaus vie aikaa. Skannauksen valmistuttua: TÄRKEÄÄ!!! : ÄLÄ KLIKKAA "Save Scan Report" ennen kuin klikkaat "Apply all Actions" * Varmistu, että Set all elements to: näyttää Quarantine, jos ei, klikkaa linkkiä ja valitse Quarantine popup-valikosta. * Sinulta kysytään mitä tehdä jos infektioita löytyi, valitse silloin "Apply all actions" * Sitten klikkaa "Reports" kuvaketta ohjelma yläosasta. * Klikkaa "Save report as" painiketta ikkunan vasemmassa alalaidassa ja tallenna raportti työpöydälle. * Sulje ohjelma (tai valitse ctrl+alt+del, ja sammuta taskmanagerista avgas.exe) * Käynnistä kone normaalisti Lähetä AVG:n raportti ja uusi hijack logi
