Elikkäs rivillä 020 olevat pitäis ainakin saada poistettua.. Mut millä poistetaan? Onko tuossa muuta mikä mättää? Kiitos etukäteen jo avusta. Logfile of HijackThis v1.99.1 Scan saved at 15:12:05, on 24.1.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\AVPersonal\AVWIN.EXE C:\Documents and Settings\xxxx\Työpöytä\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Picture Package VCD Maker.lnk = ? O4 - Global Startup: Picture Package Menu.lnk = ? O8 - Extra context menu item: &Google-haku - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Käännä englanninkielinen sana - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Linkit taaksepäin - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Samankaltaisia sivuja - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Välimuistissa oleva kuvakaappaus sivusta - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5FE42C0A-CA27-46FB-A3EF-ACDDAF68C372}: NameServer = 212.50.192.227,212.50.192.226 O17 - HKLM\System\CCS\Services\Tcpip\..\{7ADC860E-127A-4774-ABC5-223255884900}: NameServer = 212.50.192.227,212.50.192.226 O17 - HKLM\System\CS1\Services\Tcpip\..\{5FE42C0A-CA27-46FB-A3EF-ACDDAF68C372}: NameServer = 212.50.192.227,212.50.192.226 O17 - HKLM\System\CS2\Services\Tcpip\..\{5FE42C0A-CA27-46FB-A3EF-ACDDAF68C372}: NameServer = 212.50.192.227,212.50.192.226 O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll O20 - Winlogon Notify: st3 - c:\windows\system32\st3.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
Enpä siitä muuta löytänyt. Eli fixaa nämä 020 rivit: O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll O20 - Winlogon Notify: st3 - c:\windows\system32\st3.dll Ja sen jälkeen poista nuo filut. Jos ei muuten lähde, niin vikasietotilassa. Voi olla, että tarvitsee myös laittaa piilotiedostot näkyviin > http://keskustelu.afterdawn.com/thread_view.cfm/248944 Jos rivit poistuvat, ja pysyvät poissa uudelleenkäynnistyksen jälkeen on kaikki ok.
Elikkäs ongelma on, ettei noita saa poistettua.. O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll O20 - Winlogon Notify: st3 - c:\windows\system32\st3.dll avpi32.dll tiedostoa ei löydy koneesta lainkaan, ja st3.dll tiedostoa ei voi poistaa, sanoo että levy on kirjoitussuojattu, tai tiedosto on käytössä. joo ja piilotiedostotki on näkyvissä, ettei se siitäkään ole kii.. edit, sain ton st3.dll:n pois, enää avpi32.dll kummittelee, on vissiin tuo viirus: http://www.antivirusprogram.se/virusinfo/Backdoor.Haxdoor.E_5758.html
Katsopa löytyykö system32 kansiosta näitä filuja: avpi64.sys qz.dll qz.sys Jos löytyy, niin poista. Nuo kaikki liittyvät tuohon samaan matoon. Keksitään joku keino, millä saadaan tuo avpi32.dll löydettyä, ja poistettua....
Ei löytynyt noita tiedostojakaan. symantec antivirus client löytää tuon backdoor.haxdoor.e viiruksen, muttei saa poistettua sitä, clean failed, ja quarantine failed, access denied.
Joo, vikasietotilassa ei löydä mitään, ja samaten jos skannaa dos fprotilla, niin ei löydä mitään. Mut heti kun kirjautuu oikein koneelle sisään, niin löytyy tuo viirus, muttei voi poistaa.
Kokeillaanko killboxia... http://koti.mbnet.fi/pattaya1/pocket_killbox.htm Eli kopioi tuo rivi siihen killboxiin ( katso ohjeet sivulta ) C:\WINDOWS\SYSTEM32\avpi32.dll Kannattanee kokeilla ne kaikki vaihtoehdot...
Jees, nyt se on pois, ei ainakaan vielä ole tullut takaisin! Hieman puukottelin rekisteriäki, jännä homma, et tuo viirus piilotteli itsensä vikasietotilassa ihan hukkaan, mut normibootissa tuli heti esiin.. Mut rekisteristä löyty tähän syy, aika ovela ja kiusallinen toukka tuo oli. Kiitokset avusta spertti!
