HijackThis -loki

Moro, tommosta pukkas ko. ohjelmalla. Josko joku guru viittis kattoo?

Logfile of HijackThis v1.99.1
Scan saved at 9:48:28, on 25.4.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\WINNT\Explorer.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\system32\S3tray2.exe
C:\WINNT\soundman.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.peda.net/veraja/oulu/rajakyla
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.suomi.net:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe
O4 - HKLM\..\Run: [bftifm] c:\winnt\system32\qlupno.exe
O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00084\gd-dial.exe -remove
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{A61DC9D5-D5F3-42B2-BB06-AE4AC7516319}: NameServer = 193.65.248.170,194.157.175.3
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)

 

Niin siis F-secure löysi Pollereita sun muuta kökköä koneelta, mutta ei tietenkään osannut tehdä niille mitään

 

Nail/Aurora/Poller tullu kyläilemään ja siitä "kiva",että ei helpolla lähde

Kyllä sekin pois saadaan.

Poista ohjauspaneelista (lisää/poista sovellus):

GlobalDialer

Fixaa HjT:llä (do a system scan only, merkkaa ja paina fix checked):

O2 - BHO: (no name) - SOFTWARE - (no file)
O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe
O4 - HKLM\..\Run: [bftifm] c:\winnt\system32\qlupno.exe
O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00084\gd-dial.exe -remove

Poista:

C:\WINNT\satmat.exe
c:\winnt\system32\qlupno.exe
c:\program files\GlobalDialer

Lataa viimeisin Ad-Aware SE-versio täältä -> http://www.download.com/3000-2144-10045910.html (Jos sinulla on jo Ad-Aware asennettu, varmista että se on viimeisin versio 1.0.6)

Jos se EI ole versio 1.0.6, poista nykyinen versiosi Lisää/Poista- sovelluksen kautta ja deletoi kansio: C:\Program Files\Lavasoft sekä tyhjennä roskakori. Lopulta asenna linkistä tuo viimeisin versio.

Avaa Ad-Aware SE ja käynnistä WebUpdate-toiminto. (Klikkaa maapallo-kuvakketta, klikkaa "connect", klikkaa "OK", klikkaa "Finish".)

JOS sinulla on päivitysten kanssa ongelmia, hae viimeisimmät päivitykset manuaalisesti täältä; http://download.lavasoft.de.edgesuite.net/public/defs.zip

Lataa Lavasoftin VX2 Puhdistaja-plug-in täältä ->

http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml

* Asenna VX2 Cleaner
* Käynnistä Ad-Aware SE
* Mene valikkoon nimeltä "Plug-ins"
* Valitse VX2 Cleaner-plug-in ja klikkaa "Run Tool" (Ennen kuin ajat VX2 Cleanerin, varmista että muut Anti-virus- & Anti-spyware- ohjelmat ovat poissa päältä.)
* Klikkaa "OK" kun kysytään haluatko ajaa tämän työkalun
* Jos koneesi ei ole saanut tartuntaa, klikkaa "Close".

Jos koneesi on saanut tartunnan;

* Valitse "Clean"
* Käynnistä uudelleen.
* Skannaa koneesi Ad-Awarella;

Tee asetukset näin:

o Mene Ad-Awaren määritysikkunaan
o Valitse General > Safety & Settings: Rastita (vihreäksi) kaikki kolme.
o Klikkaa Tweak > Cleaning Engine > Poista rastitus "Always try to unload modules before deletion".

Klikkaa "Proceed"
Klikkaa "Scan Now"
Rastita valinta "Search for negligible risk entries"
Rastita valinta "Search for low-risk threats"
Aja skanneri käyttämällä Full Scan (Perform full system scan) moodia.
Kun skannaus on valmis, valitse "Next".
Skannaus tuloksissa, valitse "Scan Summary" välilehti.
Rastita boxi jokaisen löydetyn rivin viereen, poistoa varten.
Klikkaa "Next", klikkaa "OK".


* Käynnistä koneesi uudelleen
* Aja vielä toinen skannaus (Ad-Awarella ja VX2 Cleanerilla) varmistaaksesi, että kaikki pahat tiedostot on kadonnut koneeltasi.

Postita uusi HijackThis-logi.

 

Jeps, kiitti pikasesta avusta Katon tossa vähän myöhemmin noiden ohjeiden kanssa homman läpi, ja postaan tänne sitten sen login noiden proseduurien jälkeen.

 

Tossapa uusin loki:

Logfile of HijackThis v1.99.1
Scan saved at 14:47:18, on 25.4.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\S3tray2.exe
C:\WINNT\soundman.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.peda.net/veraja/oulu/rajakyla
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.suomi.net:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{A61DC9D5-D5F3-42B2-BB06-AE4AC7516319}: NameServer = 193.65.248.170,194.157.175.3
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

 

Se on puhdas

Vielä ongelmia?

 

Nyt kokeilin ajaa F-Securea, ja se on löytäny jo 12 uutta "tartunnan saaneita".. ja ties kuinka monta vielä löytää.. Ei oo kyllä onneks oma kone

Vähän hämärä homma...

 

Ok, aja se f-secure ensin ja perään ewido, ohjeet ->
http://keskustelu.afterdawn.com/thread_view.cfm/269186

Tallenna sen raportti ja lähetä tänne.

 

Jätin duuniin yöksi ajaa sitä Ewidoa, nakkaan huomenna siitä sen raportin tänne.

 

Tommosta pukkasi Ewido:

---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------

+ Created on: 9:30:02, 26.4.2006
+ Report-Checksum: 95157E92

+ Scan result:

HKLM\SOFTWARE\Classes\SWLAD1.SWLAD -> Adware.AdDestroyer : Cleaned with backup
HKLM\SOFTWARE\Classes\SWLAD1.SWLAD\Clsid -> Adware.AdDestroyer : Cleaned with backup
HKLM\SOFTWARE\Classes\SWRT01.RT -> Adware.SecondThought : Cleaned with backup
HKLM\SOFTWARE\Classes\SWRT01.RT\Clsid -> Adware.SecondThought : Cleaned with backup
C:\Documents and Settings\Järjestelmänvalvoja\Cookies\järjestelmänvalvoja@bestoffersnetworks[2].txt -> TrackingCookie.Bestoffersnetworks : Cleaned with backup
C:\Documents and Settings\Järjestelmänvalvoja\Cookies\järjestelmänvalvoja@cliks[2].txt -> TrackingCookie.Cliks : Cleaned with backup
C:\Documents and Settings\Järjestelmänvalvoja\Cookies\järjestelmänvalvoja@com[2].txt -> TrackingCookie.Com : Cleaned with backup
C:\Documents and Settings\ope\Cookies\ope@bestoffersnetworks[2].txt -> TrackingCookie.Bestoffersnetworks : Cleaned with backup
C:\Documents and Settings\ope\Cookies\ope@cliks[1].txt -> TrackingCookie.Cliks : Cleaned with backup
C:\Documents and Settings\ope\Cookies\ope@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Cleaned with backup
C:\Documents and Settings\ope\Cookies\ope@www.myaffiliateprogram[1].txt -> TrackingCookie.Myaffiliateprogram : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.1\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.10\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.11\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.12\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.13\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.14\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.2\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.3\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.4\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.5\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.6\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.7\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.8\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\CONFLICT.9\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\Downloaded Program Files\UERSJ_0001_N68M0902NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup
C:\WINNT\fiswks.exe -> Adware.BetterInternet : Cleaned with backup
C:\WINNT\system32\BO2802040113.dll -> Adware.BargainBuddy : Cleaned with backup
C:\WINNT\system32\BO2809040510.exe -> Adware.VirtualBouncer : Cleaned with backup
C:\WINNT\system32\SplWbr.dll -> Adware.VirtualBouncer : Cleaned with backup
C:\WINNT\system32\SWRT01.dll -> Adware.VirtualBouncer : Cleaned with backup


::Report End

 

Tuo on ok. Vielä ongelmia?

 

Siis F-secure vaan kovasti löytää troijalaisia tästä vehkeestä... Tän koneen pitäs olla rautapalomuurin takana.. Pitäsköhän tähän heittää joku softapalomuuri?

 

Niin kerro missä ne troijalaiset on F-securen mukaan?
Jos ne on järjestelmän palautuksessa, niin se on eri asia ja se on helppo pustata.

Ja se softapalomuuri olisi hyvä idea. Täältä joku ilmainen -> http://keskustelu.afterdawn.com/thread_view.cfm/162275

Jollei sitten tuossa F-securessa ole palomuuria mukana.

 

Tuolla C:\WINNT\system32 -kansiossa noita troijalaisia näyttää ainakin olevan. Ja ei oo F-securessa palomuuria mukana. Sitä ei vissiin tähän ilmaisversioon saa...

 

Jatketaan sitten tällä:

Hae eScan -> http://koti.mbnet.fi/pattaya1/escanmwav.htm .
Asenna, päivitä, skannaa sivulla olevien ohjeiden mukaan. Lähetä sitten "örkkitulokset" tänne (ohje tuolla sivulla, alin kuva ja sen yläpuolella oleva teksti).

 

Tarkistusraportti
26. huhtikuuta 2006 13:45:51

Asetukset

--------------------------------------------------------------------------------
Kohde:
C:\
Toiminto:
Valitse toiminto tarkistuksen jälkeen
Tarkistusasetukset:
Tarkista kaikki tiedostot
Tarkista seuraavat arkistot: käytössä
Tarkistusohjelmat:
F-Secure AVP: 6.00.169, 2006-04-26
F-Secure Libra: 2.01.05, 2006-04-26
F-Secure Orion: 1.02.27, 2006-04-21
Tulokset

--------------------------------------------------------------------------------
Käynnistyssektorit
Tarkistettuja: 1
Tartunnan saaneita: 0
Mahdollisesti tartunnan saaneita: 0
Puhdistettuja: 0
Tiedostoja
Tarkistettuja: 48034
Tartunnan saaneita: 12
Mahdollisesti tartunnan saaneita: 0
Puhdistettuja: 0
Uudelleennimettyjä: 0
Poistettuja: 0
Eristettyjä: 0
Raportti

--------------------------------------------------------------------------------

C:\Documents and Settings\ope\Local Settings\Temp\temp.0r1F15 Virustartunta: Trojan.Win32.Agent.ay
C:\WINNT\system32\POLLER.9XE Virustartunta: Trojan.Win32.Agent.ay
C:\WINNT\system32\POLLER.8XE Virustartunta: Trojan.Win32.Poler.a
C:\WINNT\system32\POLLER.7XE Virustartunta: Trojan.Win32.Poler.a
C:\WINNT\system32\POLLER.6XE Virustartunta: Trojan.Win32.Poler.a
C:\WINNT\system32\POLLER.5XE Virustartunta: Trojan.Win32.Poler.a
C:\WINNT\system32\POLLER.4XE Virustartunta: Trojan.Win32.Poler.a
C:\WINNT\system32\POLLER.3XE Virustartunta: Trojan.Win32.Poler.a
C:\WINNT\system32\POLLER.1XE Virustartunta: Trojan.Win32.Poler.a
C:\WINNT\system32\POLLER.0XE Virustartunta: Trojan.Win32.Poler.a
C:\WINNT\SVCPROC.0XE Virustartunta: Trojan.Win32.Stervis.m
C:\cnt.0at Virustartunta: Trojan-Dropper.Win32.Small.do


--------------------------------------------------------------------------------

Tiedoston C:\pagefile.sys avaaminen ei onnistu.
Tiedoston C:\WINNT\system32\MSrev23.dll\noname.xml lukeminen ei onnistu. [F-Secure Libra]
Tiedoston C:\WINNT\system32\config\default avaaminen ei onnistu.
Tiedoston C:\WINNT\system32\config\SAM avaaminen ei onnistu.
Tiedoston C:\WINNT\system32\config\SECURITY avaaminen ei onnistu.
Tiedoston C:\WINNT\system32\config\system avaaminen ei onnistu.
Kohteen C:\Program Files\Microsoft Visual Studio\Common\IDE\IDE98\MSE\1035\HTMLREF.CHM tarkistus on keskeytetty. [F-Secure AVP]
Tiedosto C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\Ad-Aware SE Default.skn on salattu.
Tiedoston C:\Program Files\F-Secure\Common\policy.ipf avaaminen ei onnistu.
Tiedoston C:\Program Files\F-Secure\BackWeb\7681197\Users\Default\Data\chandir.dat avaaminen ei onnistu.
Tiedoston C:\Program Files\F-Secure\BackWeb\7681197\Users\Default\Data\D0000000.FCS avaaminen ei onnistu.
Tiedoston C:\Program Files\F-Secure\BackWeb\7681197\Users\Default\Data\L0000002.FCS avaaminen ei onnistu.
Tiedoston C:\Program Files\F-Secure\BackWeb\7681197\Users\Default\Data\prs.dat avaaminen ei onnistu.
Tiedoston C:\Program Files\F-Secure\BackWeb\7681197\Users\Default\Data\storydb.dat avaaminen ei onnistu.
Tiedoston C:\Documents and Settings\ope\NTUSER.DAT avaaminen ei onnistu.
Tiedoston C:\Documents and Settings\ope\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat avaaminen ei onnistu.
Kohteen C:\AJURIT\CABS\I386\LANG\CHS\PYIME.EX_\PYIME.EXE tarkistus on keskeytetty. [F-Secure AVP]


--------------------------------------------------------------------------------

F-securella tommosta...

 

Niin eli F-secure on löytänyt ne jo varmaan aikaa ja uudelleennimennyt.

Eli ei uusia tartuntoja siis.

Errorit on normaaleja.

Hae KillBox

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Pura,avaa ja täppi kohtaan Delete on Reboot
Sitte kopioi rivit tosta alapuolelta yhellä kertaa

C:\Documents and Settings\ope\Local Settings\Temp\temp.0r1F15
C:\WINNT\system32\POLLER.9XE
C:\WINNT\system32\POLLER.8XE
C:\WINNT\system32\POLLER.7XE
C:\WINNT\system32\POLLER.6XE
C:\WINNT\system32\POLLER.5XE
C:\WINNT\system32\POLLER.4XE
C:\WINNT\system32\POLLER.3XE
C:\WINNT\system32\POLLER.1XE
C:\WINNT\system32\POLLER.0XE
C:\WINNT\SVCPROC.0XE
C:\cnt.0at

Sitten KillBoxissa ylhäältä File > Paste from Clipboard
Valitse "All Files".Sen jälkeen paina Delete (punainen, jossa on valkonen X)
Vastaa myöntävästi kysymyksiin ja jos kone ei itestään käynnisty uudestaan,niin käynnistä se.

Aja sen perään vielä tuo eScan.

 

File C:\Documents and Settings\Järjestelmänvalvoja\Local Settings\Temp\THI3DC5.tmp\mxTarget.dll tagged as not-a-virus:AdWare.Win32.BiSpy.o. No Action Taken.

Tossa eScanin tulos.

Eli ei pitäs olla mitään vakavaa. Sama varmaan tyhjentää koko Temp.

 

Joo, tyhjennä vaan tempit.

Onko vielä ongelmia?

 

Ajanpa vielä F-securen tuossa, ja aikas hyvältä näyttäs... Se alkaa olla kemistille paikka mun testamentissa varattu