Troijalainenhan se sinne hyökkäsi. Trojan.W32.looksky on kuulemma wintoosan mukaan pirulaisen nimi. On luonut oman smtp-palvelimen sun muuta kivaa...Asentelee pikakuvakkeita työpöydälle, vaihtaa taustakuvan yms. Vikasietotilassa ja ei on skannattu, antivirillä, joka on ollut koko ajan käytössä. Lisäksi nyt ajettu spybotilla sekä parhaillaan menossa ewidon skannaus...Piilotiedostot näyttämällä olen päässyt manuaalisesti poistamaan tiedostoja joiden polun antivirin skannaus on kyllä kertonut, mutta poistopyynnöstä huolimatta ei ole onnistunut niitä poistamaan. Temp-kansiossahan noita on ja koko ajan tulee lisää, mutku ei uskalla kaikkea poistaa. Normaalistihan temp-kansio on ollut tyhjä, mut nyt kun piilotiedostot näkyy, niin siellähän on vaikka ja mitä...Lisäksi windowsia sulkiessa tulee ilmoitus, että "zoom in" -ohjelma käynnissä. Wtf? Ei kuitenkaan löytynyt kuin yksi tiedosto tuolla haulla, jonka poistin. Ei auttanut. No pitkän alustuksen jälkeen tässä hjt. Auttaisitteko viisaammat, vai kannattaako jo suosiolla alkaa käyttiksen uudelleen asennukseen..? Logfile of HijackThis v1.99.1 Scan saved at 21:15:14, on 13.8.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Viewpoint\Common\ViewpointService.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\keyhook.exe C:\Program Files\Arcade\PCMService.exe C:\Program Files\Launch Manager\QtZgAcer.EXE C:\Program Files\Winamp\winampa.exe C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Program Files\QuickTime\qttask.exe C:\Imutetut ohjelmat\ZoneAlarm\zlclient.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\sistray.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\Program Files\acer\eRecovery\Monitor.exe C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Outlook Express\msimn.exe C:\Documents and Settings\ANTTI\Local Settings\Temporary Internet Files\Content.IE5\64ELD26G\ewido_micro[1].exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\scanner.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: MSVPS System - {47C54F02-1B28-45F1-AE46-B5CDFB6E7926} - C:\WINDOWS\duocore.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Imutetut ohjelmat\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Imutetut ohjelmat\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SpywareRemover] C:\Imutetut ohjelmat\SpywareRemover\SpywareRemover.exe -boot O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136836849984 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: wmpenv - {3ED3B589-8ECD-489B-BF0A-B5380AA7DCBB} - C:\WINDOWS\wmpenv.dll O21 - SSODL: wmpconf - {6CE118E0-49BF-43C5-9144-6D82FFCFA151} - C:\WINDOWS\wmpconf.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
scannaa hjt:llä merkkaa paina Fix checked O2 - BHO: MSVPS System - {47C54F02-1B28-45F1-AE46-B5CDFB6E7926} - C:\WINDOWS\duocore.dll O21 - SSODL: wmpenv - {3ED3B589-8ECD-489B-BF0A-B5380AA7DCBB} - C:\WINDOWS\wmpenv.dll O21 - SSODL: wmpconf - {6CE118E0-49BF-43C5-9144-6D82FFCFA151} - C:\WINDOWS\wmpconf.dll O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe ================== Kopioi / liitä seuraava teksti alapuolella tyhjään muistioFiluun Varmista että tiedoston tyyppi on ”all Files” ja tallenna se Poisto.bat. nimisenä työpöydällesi. @echo off sc stop "Viewpoint Manager Service" sc delete "Viewpoint Manager Service" Tupla-klikkaa Poisto.bat. filua työpöydälläsi , ikkuna avautuu ja Sulkeutuu tämä on normaalia. ===================== Ohje AVG:n Anti-Spyware 7.5:n käyttöön Huom! Tässä ohjeessa sammutetaan tuo reaaliaikasuojaus (Shield). Näin vältetään tilanteet joissa suojaus estäisi esim HijackThis:n työkalun toimintaa. Tallenna nämä ohjeet tekstitiedostoon tai tulosta nämä, muuten et pääse niihin käsiksi vikasietotilasta Lataa AVG:n Anti-Spyware 7.5:n ja tallenna ohjelma työpöydällesi. o Kun olet ladannut ohjelman, kaksoisklikkaa asennuohjelman pikakuvaketta työpöydälläsi, asennus alkaa. o Asennuksen jälkeen täytyy ohjelma käynnistää ja sen tunnisteet päivittää. o Käynnistä AVG:n Anti-Spyware. o Klikkaa "Update" kuvaketta päävalikossa. Sen jälkeen klikkaa "Update now" painiketta. o Sitten klikkaa "Start Update" kuvaketta jolloin päivitys alkaa. o Kun päivitykset on ladattu, klikkaa "Scanner" kuvaketta ikkunan ylälaidassa. Valitse sitten "Settings" välilehti. o Kun "Settings" valikko on auennut, klikkaa "Recommended actions" ja sitten valitse "Quarantine". o Sitten "Reports" valikon alta: o Laita täppi kohtaan "Automatically generate report after every scan" o Ota täppi pois kohdasta"Only if threats were found" o Sitten klikkaa "Shield" kuvaketta ikkunan ylälaidassa o "Resident shield is", muuta tila active:sta inactive:ksi o Sulje ohjelma, ÄLÄ skannaa vielä. Käynnistä koneesi vikasietotilaan, sammuta ja käynnistä käynnistyksen yhteydessä naputtele F8 valitse nuoli näppäimellä vikasietotila paina enter ja enter HUOM! Älä käytä muita ohjelmia AVG:n skannauksen aikana, tämä saattaa häiritä skannausta. o Kun vikasietotilassa, käynnistä AVG:n Anti-Spyware. o Klikkaa "Scanner" kuvaketta ikkunan ylälaidassa ja valitse "Scan" välilehti. Sitten klikkaa "Complete System Scan". o Ewido aloittaa nyt tietokoneen skannaamisen, ole kärsivällinen sillä skannaus vie aikaa. Kun skannaus on valmis: TÄRKEÄÄ : Älä klikkaa "Save Scan Report" ennen kuin klikkaat "Apply all Actions" o Varmistu, että Set all elements to: näyttää Quarantine (1), jos ei, klikkaa linkkiä ja valitse Quarantine popup-valikosta. o Sinulta kysytään mitä tehdä jos infektioita löytyi, valitse silloin "Apply all actions" o Sitten klikkaa "Reports" kuvaketta ohjelma yläosasta. o Klikkaa "Save report as" painiketta ikkunan vasemmassa alalaidassa ja tallenna raportti työpöydälle. o Sulje ohjelma, käynnistä kone normaalisti ja lähetä AVG:n raportti viestikejuusi.
Iso kiitos hiton hyvistä ohjeista. Ikävä kyllä ei vaan auttanut ja pari hommaa ei onnistunut. Ensiksikin, Reports -valikon alta ei saanut valittua mitään vaan koko valikko oli tyhjä. Toiseksi, scannauksen jälkeen set all elements to: näytti deleteä. Kävin tarkistamassa scanner -valikon alta, että siellä luki quarantine, mutta enpä sitten hölömöyksissäni klikkaillut sitä delete-linkkiä...Valitsin kuitenkin apply all actions ja avg ilmoitti ainoastaan poistaneensa nuo löydetyt tiedostot, ei siis mennyt "karanteeniin"... Tässä avg-raportti, ei kait oikein mitään..? VG Anti-Spyware - Scan Report --------------------------------------------------------- + Created at: 21:33:59 14.8.2007 + Scan result: C:\Documents and Settings\ANTTI\Cookies\antti@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Cleaned. C:\Documents and Settings\ANTTI\Cookies\antti@statistik-gallup[1].txt -> TrackingCookie.Statistik-gallup : Cleaned. ::Report end Mites tämän linkin ohjeet, kannattaako noita kokeilla vai mitä seuraavaksi?
Moro taas! Kokeilin sit eilen vielä tuon em. linkin ohjeita (jota en näämmä onnistunutkaan linkittämään ) ja sillähän se lähti! Eli noilla dos-kehotteilla kikkailemalla onnistuin sen paskan poistamaan. Kaikki toimii nyt muuten normaalisti, mut taustakuvana on pelkkä valkoinen ruutu eikä kuvaa vaihtamalla muuksi muutu. Windowsia käynnistäessä ja sulkiessa kyllä näkyy se ladattu oikea taustakuva, mut sinne näytön asetuksiin on nyt jostain syystä jäänyt toi blanko, kun se troijalaisen tekemä tausta poistui...Olisko tuohon vielä ideoita mitä pitää näytön asetuksissa tmv. muuttaa? Eilen kun laitoin järjestelmän palautusta takasin päälle niin ohjelma ei ekalla kerralla vastannut ja tuli joku screen.dll-herja... Hjt-logia en pysty nyt laittaan, kun oon työkoneella. Tarttisko vielä kuitenkin? Iso kiitos vielä tälle porukalle, joka täällä jaksaa näitä meitä kädettömiä ohjeistaa!
Itse itselleni vastaten...Työpöydällä hiirtä liikutellessa ja viedesäni sen aivan sivun yläreunaan, blanko-sivun yläreunaan ilmestyi pienen pieni ruksi. Sitä klikkaamalla oikea taustakuva tuli esiin ja tämä "haamuikkuna" sulkeutui. Että semmosta, pitipä taas olla puusilimä.
