Logfile of HijackThis v1.99.1 Scan saved at 20:40:25, on 6.4.2006 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\MSTASK.EXE C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS.000\EXPLORER.EXE C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE C:\WINDOWS.000\RUNDLL32.EXE C:\OHJELMATIEDOSTOT\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\OHJELMATIEDOSTOT\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE C:\WINDOWS.000\SYSTEM\WMIEXE.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\WEBSCANX.EXE C:\OHJELMATIEDOSTOT\MOZILLA FIREFOX\FIREFOX.EXE C:\OHJELMATIEDOSTOT\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fxargnmmjxzwlv.biz/m2aLUArgYPLeDmWYUBG7/6Cj5oR9XrAy1J6zYSs73pAUG9VOqmmDM_qDursp/v3S.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.soneraplaza.fi R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi, *.*.fi, *.*.*.fi;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS.000\DOWNLOADED PROGRAM FILES\SPONSORADULTO.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Ohjelmatiedostot\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\ohjelmatiedostot\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\ohjelmatiedostot\google\googletoolbar1.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\TeleWell\CnxTrApp.dll,AppEntryA -REG "Conexant\Conexant USB Network" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.000\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] C:\Ohjelmatiedostot\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [I/O Controllers] svcnet.exe O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Ohjelmatiedostot\Network Associates\VirusScan\Avsynmgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE O4 - HKCU\..\Run: [Ad-Watch] C:\Ohjelmatiedostot\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCfox000 O8 - Extra context menu item: &Google-haku - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: &Käännä englanninkielinen sana - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html O8 - Extra context menu item: Välimuistissa oleva kuvakaappaus sivusta - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Samankaltaisia sivuja - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Linkit taaksepäin - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\OHJELMATIEDOSTOT\JAVA\JRE1.5.0_06\BIN\SSV.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\OHJELMATIEDOSTOT\JAVA\JRE1.5.0_06\BIN\SSV.DLL O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {5BDBD95C-1E7F-4FB1-8497-20AF879F8B68} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fi/filesharingctrl.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/en/SysWebTelecomInt.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - http://gameadvisor.futuremark.com/global/msc37.cab O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - (no file)
Onhan siellä pöpöä. Päivitä McAfee ja Ad-Aware. Ota Ad-Watch pois päältä puhdistuksen ajaksi: 1. Klikkaa hiiren oikella Ad-Watch-kuvaketta tehtäväpalkissa ja valitse "Restore Ad-Watch". 2. Ruudun alalaidassa on kaksi rastitettavaa ruutua "Active" ja "Automatic". Active: Switches Monitoring On or Off without closing Automatic: Switches Automatic Blocking On or Off 3. Ota rasti pois molemmista (punainen X). Puhdistusohjeet: Mene Ohjauspaneeliin -> Lisää tai poista sovellus -> Poista MyWeb, MySearch(jos löytyy) Sitten käynnistä HijackThis, klikkaa do a system scan only ja merkkaa nämä rivit: (kaikkia rivejä ei välttämättä löydy enään) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fxargnmmjxzwlv.biz/m2aLUArgYPLeDmWYUBG7/6Cj5oR9XrAy1J6... R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS.000\DOWNLOADED PROGRAM FILES\SPONSORADULTO.DLL O4 - HKLM\..\Run: [I/O Controllers] svcnet.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCfox000 O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file) O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/en/SysWebTelecomInt.cab Paina Fix checked Käynnistä kone vikasietotilaan seuraavien ohjeiden mukaisesti: ->Käynnistä tietokone ->Kun kuulet koneen piippaavan, paina F8, kuitenkin ennen Windowsin logon esiintuloa ->Seuraavaksi pitäisi ilmestyä valikko ->Valitse valikosta vikasietotila. Laita piilotiedostot näkyviin -->Ohjauspaneeli-->Työkalut-->Kansion Asetukset-->Piilotetut tiedostot ja kansiot -->Valitse "Näytä piilotetut tiedostot ja kansiot"-->Ok Sitten poistat seuraavat kansiot vaikka Oman tietokoneen kautta. (jos löytyy) C:\Program Files\-->MyWeb C:\Program Files\-->MySearch Sitten poista seuraava tiedosto. C:\WINDOWS.000\DOWNLOADED PROGRAM FILES\-->SPONSORADULTO.DLL Sitten käytä Windowsin "Etsi" toimintoa. Käynnistä-valikko "Etsi" ->Lisävaihtoehdot ->Raksi seuraaviin: -Etsi järjestelmäkansioista -Etsi piilotiedostoista ja -kansioista -Etsi alikansioista ->Hakusanaksi svcnet.exe Poista jos löytyy Tyhjennä roskakori ja laita piilotiedostot takaisin piiloon -> (Teet niin kuin aikaisemmin mutta valitset "Älä näytä piilotettuja tiedostoja ja kansioita") Skannaa McAfeella ja Ad-Awarella, puhdista mitä löytää. Käynnistä koneesi normaalisti. Lataa Findlop by Metallica -> http://metallica.geekstogo.com/findlop.zip Pura zippi. Tuplaklikkaa findlop.bat Postita uusi HijackThis loki ja C:\findlop.txt tänne, jotta näemme onko koneesi puhdas.
Ainuttakaan noista tiedostoista ei löytynyt(MyWeb, MySearch, SPONSORADULTO.DLL, svcnet.exe). Mutta tässä on Hijackthis loki: Logfile of HijackThis v1.99.1 Scan saved at 13:52:20, on 7.4.2006 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\MSTASK.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS.000\EXPLORER.EXE C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE C:\WINDOWS.000\RUNDLL32.EXE C:\OHJELMATIEDOSTOT\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\OHJELMATIEDOSTOT\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE C:\WINDOWS.000\SYSTEM\WMIEXE.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\WEBSCANX.EXE C:\OHJELMATIEDOSTOT\MOZILLA FIREFOX\FIREFOX.EXE C:\WINDOWS.000\NOTEPAD.EXE C:\OHJELMATIEDOSTOT\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.soneraplaza.fi R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi, *.*.fi, *.*.*.fi;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Ohjelmatiedostot\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\ohjelmatiedostot\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\ohjelmatiedostot\google\googletoolbar1.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\TeleWell\CnxTrApp.dll,AppEntryA -REG "Conexant\Conexant USB Network" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.000\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] C:\Ohjelmatiedostot\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [I/O Controllers] svcnet.exe O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Ohjelmatiedostot\Network Associates\VirusScan\Avsynmgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE O4 - HKCU\..\Run: [Ad-Watch] C:\Ohjelmatiedostot\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe O8 - Extra context menu item: &Google-haku - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: &Käännä englanninkielinen sana - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html O8 - Extra context menu item: Välimuistissa oleva kuvakaappaus sivusta - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Samankaltaisia sivuja - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Linkit taaksepäin - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\OHJELMATIEDOSTOT\JAVA\JRE1.5.0_06\BIN\SSV.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\OHJELMATIEDOSTOT\JAVA\JRE1.5.0_06\BIN\SSV.DLL O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {5BDBD95C-1E7F-4FB1-8497-20AF879F8B68} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fi/filesharingctrl.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - http://gameadvisor.futuremark.com/global/msc37.cab O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - (no file) Ja tässä findlop: [TRACE] Enumerating jobs and queues [TRACE] Activating job 'Säätötoiminnon aloitus.job' [TRACE] Printing all job properties ApplicationName: 'walign' Parameters: '' WorkingDirectory: '' Comment: '' Creator: 'mleo' Priority: NORMAL MaxRunTime: 259200000 (3d 0:00:00) IdleWait: 10 IdleDeadline: 60 MostRecentRun: 04/05/2006 19:00:00 NextRun: 05/03/2006 9:00:00 StartError: S_OK ExitCode: 0 Status: SCHED_S_TASK_READY ScheduledWorkItem Flags: DeleteWhenDone = 0 Suspend = 0 StartOnlyIfIdle = 0 KillOnIdleEnd = 0 RestartOnIdleResume = 0 DontStartIfOnBatteries = 1 KillIfGoingOnBatteries = 1 RunOnlyIfLoggedOn = 0 SystemRequired = 0 Hidden = 0 TaskFlags: 0 8 Triggers Trigger 0: Type: MonthlyDOW Week: 1 DaysOfTheWeek: ...W... Months: JanFebMarAprMayJunJulAugSepOctNovDec StartDate: 11/22/1997 EndDate: 00/00/0000 StartTime: 09:00 MinutesDuration: 0 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 Trigger 1: Type: MonthlyDOW Week: 1 DaysOfTheWeek: ...W... Months: JanFebMarAprMayJunJulAugSepOctNovDec StartDate: 11/22/1997 EndDate: 00/00/0000 StartTime: 14:00 MinutesDuration: 0 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 Trigger 2: Type: MonthlyDOW Week: 1 DaysOfTheWeek: ...W... Months: JanFebMarAprMayJunJulAugSepOctNovDec StartDate: 11/22/1997 EndDate: 00/00/0000 StartTime: 19:00 MinutesDuration: 0 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 Trigger 3: Type: MonthlyDOW Week: 1 DaysOfTheWeek: ...W... Months: JanFebMarAprMayJunJulAugSepOctNovDec StartDate: 11/22/1997 EndDate: 00/00/0000 StartTime: 23:00 MinutesDuration: 0 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 Trigger 4: Type: MonthlyDOW Week: 1 DaysOfTheWeek: ......A Months: JanFebMarAprMayJunJulAugSepOctNovDec StartDate: 11/22/1997 EndDate: 00/00/0000 StartTime: 09:00 MinutesDuration: 0 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 Trigger 5: Type: MonthlyDOW Week: 1 DaysOfTheWeek: ......A Months: JanFebMarAprMayJunJulAugSepOctNovDec StartDate: 11/22/1997 EndDate: 00/00/0000 StartTime: 14:00 MinutesDuration: 0 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 Trigger 6: Type: MonthlyDOW Week: 1 DaysOfTheWeek: ......A Months: JanFebMarAprMayJunJulAugSepOctNovDec StartDate: 11/22/1997 EndDate: 00/00/0000 StartTime: 19:00 MinutesDuration: 0 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 Trigger 7: Type: MonthlyDOW Week: 1 DaysOfTheWeek: ......A Months: JanFebMarAprMayJunJulAugSepOctNovDec StartDate: 11/22/1997 EndDate: 00/00/0000 StartTime: 23:00 MinutesDuration: 0 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 [TRACE] Activating job 'Hienosäädä eheytysohjelmat.job' [TRACE] Printing all job properties ApplicationName: 'C:\WINDOWS.000\DEFRAG.EXE' Parameters: '/SAGERUN:0' WorkingDirectory: '' Comment: 'Ohjattu suorituskyvyn säätäminen ajoitti tämän tehtävän nopeuttamaan ohjelmia. Saat lisätietoja etsimällä Windowsin Ohjeesta hakusanaa Levyn eheytys.' Creator: 'Niko' Priority: NORMAL MaxRunTime: 259200000 (3d 0:00:00) IdleWait: 10 IdleDeadline: 999 MostRecentRun: 00/00/0000 0:00:00 NextRun: 04/10/2006 12:30:00 StartError: SCHED_S_TASK_HAS_NOT_RUN ExitCode: 0 Status: SCHED_S_TASK_HAS_NOT_RUN ScheduledWorkItem Flags: DeleteWhenDone = 0 Suspend = 0 StartOnlyIfIdle = 1 KillOnIdleEnd = 1 RestartOnIdleResume = 1 DontStartIfOnBatteries = 1 KillIfGoingOnBatteries = 1 RunOnlyIfLoggedOn = 0 SystemRequired = 1 Hidden = 0 TaskFlags: 0 1 Trigger Trigger 0: Type: Weekly WeeksInterval: 1 DaysOfTheWeek: .M..... StartDate: 09/10/2005 EndDate: 00/00/0000 StartTime: 12:30 MinutesDuration: 999 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 [TRACE] Activating job 'Hienosäädä Scandisk.job' [TRACE] Printing all job properties ApplicationName: 'C:\WINDOWS.000\SCANDSKW.EXE' Parameters: '/SAGERUN:0 /ALL /N' WorkingDirectory: '' Comment: 'Ohjattu suorituskyvyn säätäminen ajoitti tämän tehtävän etsimään virheitä kiintolevyltäsi. Saat lisätietoja etsimällä Windowsin Ohjeesta hakusanaa ScanDisk.' Creator: 'Niko' Priority: NORMAL MaxRunTime: 259200000 (3d 0:00:00) IdleWait: 10 IdleDeadline: 999 MostRecentRun: 00/00/0000 0:00:00 NextRun: 04/09/2006 12:30:00 StartError: SCHED_S_TASK_HAS_NOT_RUN ExitCode: 0 Status: SCHED_S_TASK_HAS_NOT_RUN ScheduledWorkItem Flags: DeleteWhenDone = 0 Suspend = 0 StartOnlyIfIdle = 1 KillOnIdleEnd = 1 RestartOnIdleResume = 1 DontStartIfOnBatteries = 1 KillIfGoingOnBatteries = 1 RunOnlyIfLoggedOn = 0 SystemRequired = 1 Hidden = 0 TaskFlags: 0 1 Trigger Trigger 0: Type: Weekly WeeksInterval: 1 DaysOfTheWeek: U...... StartDate: 09/10/2005 EndDate: 00/00/0000 StartTime: 12:30 MinutesDuration: 999 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 [TRACE] Activating job 'Hienosäädä Levyn uudelleenjärjestäminen.job' [TRACE] Printing all job properties ApplicationName: 'C:\WINDOWS.000\CLEANMGR.EXE' Parameters: '/SAGERUN:0' WorkingDirectory: '' Comment: 'Ohjattu suorituskyvyn säätäminen ajoitti tämän tehtävän poistamaan tarpeettomia tiedostoja kiintolevyltäsi. Saat lisätietoja etsimällä Windowsin Ohjeesta hakusanaa Levyn uudelleenjärjestäminen.' Creator: 'Niko' Priority: NORMAL MaxRunTime: 259200000 (3d 0:00:00) IdleWait: 10 IdleDeadline: 60 MostRecentRun: 00/00/0000 0:00:00 NextRun: 05/01/2006 12:00:00 StartError: SCHED_S_TASK_HAS_NOT_RUN ExitCode: 0 Status: SCHED_S_TASK_HAS_NOT_RUN ScheduledWorkItem Flags: DeleteWhenDone = 0 Suspend = 0 StartOnlyIfIdle = 0 KillOnIdleEnd = 0 RestartOnIdleResume = 0 DontStartIfOnBatteries = 1 KillIfGoingOnBatteries = 1 RunOnlyIfLoggedOn = 0 SystemRequired = 1 Hidden = 0 TaskFlags: 0 1 Trigger Trigger 0: Type: MonthlyDate Days: 1 Months: JanFebMarAprMayJunJulAugSepOctNovDec StartDate: 09/10/2005 EndDate: 00/00/0000 StartTime: 12:00 MinutesDuration: 999 MinutesInterval: 0 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0
Hmm, oliko sinulla varmasti piilotiedostot näkyvissä? Ota Ad-Watch taas pois päältä ja yritetään uudestaan... Käynnistä HijackThis, klikkaa do a system scan only ja merkkaa tämä rivi: O4 - HKLM\..\Run: [I/O Controllers] svcnet.exe Paina Fix checked Käynnistä kone vikasietotilaan seuraavien ohjeiden mukaisesti: ->Käynnistä tietokone ->Kun kuulet koneen piippaavan, paina F8, kuitenkin ennen Windowsin logon esiintuloa ->Seuraavaksi pitäisi ilmestyä valikko ->Valitse valikosta vikasietotila. Piilotiedostot esiin: * Avaa Oma Tietokone. * Valitse Näytä ylämenusta ja klikkaa Kansion asetukset. * Valitse Näytä välilehti. * Piilotiedostot/kansiot kohdalla valitse Näytä piilotetut tiedostot ja kansiot. * Poista rasti ruudusta -> Piilota suojatut käyttöjärjestelmätiedostot * Klikkaa Kyllä varmistaaksesi muutokset. * Klikkaa OK. Sitten poistat seuraavat kansiot vaikka Oman tietokoneen kautta. (jos löytyy) C:\Program Files\-->MyWeb C:\Program Files\-->MySearch Sitten poista seuraava tiedosto (jos löytyy) C:\WINDOWS.000\DOWNLOADED PROGRAM FILES\-->SPONSORADULTO.DLL Sitten käytä Windowsin "Etsi" toimintoa. Käynnistä-valikko "Etsi" ->Lisävaihtoehdot ->Raksi seuraaviin: -Etsi järjestelmäkansioista -Etsi piilotiedostoista ja -kansioista -Etsi alikansioista ->Hakusanaksi svcnet.exe Poista jos löytyy Käynnistä kone uudestaan ja pistä Ad-Watch päälle. Pistä sitten vielä uusi hjt loki.
Olihan tuota hakua käytettäessä asetukset kohdallaan? Koita katsoa löytyykö tuota svcnet.exe filua C:\WINDOWS.000\System kansiosta (piilotiedostot näkyviin) Voihan olla että jos skannasit Ad-Awarella ja McAfella, niin ne huolehtivat noista muista tiedostoista, mutta tuo svcnet.exe on kyllä vielä koneella. Jos ei tuota svcnet.exe:ä löydy, niin sitten jatketaan hieman eri tavalla.
Selvä. Fixaa tämä rivi HijackThis:llä: O4 - HKLM\..\Run: [I/O Controllers] svcnet.exe Lataa Killbox -> http://www.downloads.subratam.org/KillBox.zip Huomaa: Jos sinulla on jo Killbox, tämä on uusi versio joka sinun tulee asentaa. Poista aikaisempi. * Tallenna ja pura työpöydällesi. * Tupla-klikkaa Killbox.exe ajaaksesi ohjelman. * Valitse: o Delete on Reboot o sitten klikkaa All Files valintaa. * Kopioi ja liitä alapuolella olevat tiedostopolut leikepöydälle mustaamalla KAIKKI ne ja painamalla CTRL + C (tai, mustaamisen jälkeen, oikea klikki hiirellä ja valitse kopioi): C:\WINDOWS.000\System\svcnet.exe * Palaa Killboxiin, mene File valikkoon, ja valitse Paste from Clipboard. * Klikkaa puna-valkoista Delete File valintaa. Klikkaa Yes "Delete on Reboot" pyyntöön. Klikkaa OK mihin vain PendingFileRenameOperations pyyntöön (ja anna fixaajan tietää jos jokin tälläinen tulee!). Käynnistä koneesi itse jos se ei sitä automaattisesti tee. Jos saat tälläisen viestin: "Component 'MsComCtl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid." Kun yrität ajaa KillBoxia, lataa ja aja Missingfilessetup.exe -> http://www.eudaemonia.me.uk/downloads/Files/missingfilesetup.exe Sitten koita KillBoxia uudestaan. Pistä sitten tänne uusi HijackThis loki. Voisit vielä skannata koneen eScannilla ja postata tiedot löydetyistä örkeistä tänne. Ohjeet eScanniin -> http://koti.mbnet.fi/pattaya1/escanmwav.htm
Toivottavasti onnistuu nyt. Logfile of HijackThis v1.99.1 Scan saved at 10:49:08, on 8.4.2006 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\MSTASK.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS.000\EXPLORER.EXE C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE C:\WINDOWS.000\RUNDLL32.EXE C:\OHJELMATIEDOSTOT\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\OHJELMATIEDOSTOT\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE C:\WINDOWS.000\SYSTEM\WMIEXE.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\WEBSCANX.EXE C:\OHJELMATIEDOSTOT\MOZILLA FIREFOX\FIREFOX.EXE C:\OHJELMATIEDOSTOT\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.soneraplaza.fi R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi, *.*.fi, *.*.*.fi;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Ohjelmatiedostot\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\ohjelmatiedostot\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\ohjelmatiedostot\google\googletoolbar1.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\TeleWell\CnxTrApp.dll,AppEntryA -REG "Conexant\Conexant USB Network" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.000\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] C:\Ohjelmatiedostot\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Ohjelmatiedostot\Network Associates\VirusScan\Avsynmgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE O4 - HKCU\..\Run: [Ad-Watch] C:\Ohjelmatiedostot\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe O8 - Extra context menu item: &Google-haku - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: &Käännä englanninkielinen sana - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html O8 - Extra context menu item: Välimuistissa oleva kuvakaappaus sivusta - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Samankaltaisia sivuja - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Linkit taaksepäin - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\OHJELMATIEDOSTOT\JAVA\JRE1.5.0_06\BIN\SSV.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\OHJELMATIEDOSTOT\JAVA\JRE1.5.0_06\BIN\SSV.DLL O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {5BDBD95C-1E7F-4FB1-8497-20AF879F8B68} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fi/filesharingctrl.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - http://gameadvisor.futuremark.com/global/msc37.cab O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - (no file) Ja eScan löytämät virukset: File C:\WINDOWS.000\SYSTEM\sysxp.exe tagged as not-a-virus:Monitor.Win32.Perflogger.ad. No Action Taken. File C:\WINDOWS.000\SYSTEM\sysxphk.dll tagged as not-a-virus:Monitor.Win32.Perflogger.al. No Action Taken. File C:\WINDOWS.000\SYSTEM\sysxpwb.dll tagged as not-a-virus:Monitor.Win32.Perflogger.aa. No Action Taken. File C:\WINDOWS.000\SYSTEM\SYSXPr.exe infected by "Trojan.Win32.KillAV.ef" Virus. Action Taken: File Deleted. File C:\WINDOWS.000\SYSTEM\Popular Screensavers.scr tagged as not-a-virus:AdWare.Win32.MyWebSearch. No Action Taken. File C:\_RESTORE\TEMP\AU_.1 tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken. File C:\WINDOWS.000\SYSTEM\sysxp.exe tagged as not-a-virus:Monitor.Win32.Perflogger.ad. No Action Taken. File C:\WINDOWS.000\SYSTEM\sysxphk.dll tagged as not-a-virus:Monitor.Win32.Perflogger.al. No Action Taken. File C:\WINDOWS.000\SYSTEM\sysxpwb.dll tagged as not-a-virus:Monitor.Win32.Perflogger.aa. No Action Taken. File C:\WINDOWS.000\SYSTEM\Popular Screensavers.scr tagged as not-a-virus:AdWare.Win32.MyWebSearch. No Action Taken. File C:\WINDOWS.000\Downloaded Program Files\ysbactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted. File C:\WINDOWS.000\iTopRebates\60wu82rd.exe tagged as not-a-virus:AdWare.Win32.F1Organizer.h. No Action Taken. File C:\Ohjelmatiedostot\QuickSearch\QUICKS~1.DLL tagged as not-a-virus:AdWare.Win32.Quick.a. No Action Taken. File C:\Ohjelmatiedostot\Spybot - Search & Destroy 1.1\Recovery\Gator.zip tagged as not-a-virus:AdWare.Win32.Gator.3124. No Action Taken. File C:\Ohjelmatiedostot\Spybot - Search & Destroy 1.1\Recovery\Newnet.zip tagged as not-a-virus:AdWare.Win32.NewDotNet. No Action Taken. File C:\Ohjelmatiedostot\Mozilla Firefox\plugins\NPMyWebS.dll tagged as not-a-virus:AdWare.Win32.MyWebSearch.i. No Action Taken. File C:\Ohjelmatiedostot\Hijackthis\backups\backup-20060407-132249-860.dll infected by "Trojan.Win32.Dialer.fu" Virus. Action Taken: File Deleted. File C:\Ohjelmatiedostot\Hijackthis\backups\backup-20060407-132252-906.dll infected by "Trojan.Win32.Dialer.fu" Virus. Action Taken: File Deleted. File C:\Program Files\Media Access\MediaAccess.exe tagged as not-a-virus:AdWare.Win32.WinAD.at. No Action Taken. File C:\Program Files\Internet Optimizer\optimize.exe infected by "Trojan-Downloader.Win32.Dyfuca.ep" Virus. Action Taken: File Deleted.
Noniin nyt se lähti, putsataan kuienkin vielä nuo eScanin löydökset koneelta.... Puhdistusohjeet: Mene Ohjauspaneeliin -> Lisää tai poista sovellus -> Poista Media Access, QuickSearch(jos löytyy) Sitten käynnistä kone vikasietotilaan ja pistä taas piilotetut tiedostot näkyviin. Poista nämä tiedostot: C:\WINDOWS.000\SYSTEM\-->sysxp.exe C:\WINDOWS.000\SYSTEM\-->sysxphk.dll C:\WINDOWS.000\SYSTEM\-->sysxpwb.dll C:\WINDOWS.000\SYSTEM\-->Popular Screensavers.scr C:\_RESTORE\TEMP\-->AU_.1 C:\Ohjelmatiedostot\Mozilla Firefox\plugins\-->NPMyWebS.dll Sitten poista nämä kansiot: C:\WINDOWS.000\-->iTopRebates C:\Ohjelmatiedostot\-->QuickSearch C:\Program Files\-->Media Access C:\Program Files\-->Internet Optimizer Tyhjennä roskakori ja laita piilotiedostot takaisin piiloon Käynnistä koneesi normaalisti. Postita vielä yksi HjT loki.
Poistin tiedostot onnistuneesti , mutta tässä on HJT loki: Logfile of HijackThis v1.99.1 Scan saved at 21:06:46, on 8.4.2006 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\MSTASK.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS.000\EXPLORER.EXE C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE C:\WINDOWS.000\RUNDLL32.EXE C:\OHJELMATIEDOSTOT\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\OHJELMATIEDOSTOT\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE C:\WINDOWS.000\SYSTEM\WMIEXE.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\OHJELMATIEDOSTOT\NETWORK ASSOCIATES\VIRUSSCAN\WEBSCANX.EXE C:\OHJELMATIEDOSTOT\MOZILLA FIREFOX\FIREFOX.EXE C:\OHJELMATIEDOSTOT\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.soneraplaza.fi R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi, *.*.fi, *.*.*.fi;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Ohjelmatiedostot\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\ohjelmatiedostot\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\ohjelmatiedostot\google\googletoolbar1.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\TeleWell\CnxTrApp.dll,AppEntryA -REG "Conexant\Conexant USB Network" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.000\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] C:\Ohjelmatiedostot\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Ohjelmatiedostot\Network Associates\VirusScan\Avsynmgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE O4 - HKCU\..\Run: [Ad-Watch] C:\Ohjelmatiedostot\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe O8 - Extra context menu item: &Google-haku - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: &Käännä englanninkielinen sana - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html O8 - Extra context menu item: Välimuistissa oleva kuvakaappaus sivusta - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Samankaltaisia sivuja - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Linkit taaksepäin - res://C:\OHJELMATIEDOSTOT\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\OHJELMATIEDOSTOT\JAVA\JRE1.5.0_06\BIN\SSV.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\OHJELMATIEDOSTOT\JAVA\JRE1.5.0_06\BIN\SSV.DLL O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {5BDBD95C-1E7F-4FB1-8497-20AF879F8B68} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fi/filesharingctrl.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - http://gameadvisor.futuremark.com/global/msc37.cab O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - (no file)
