HJT-loki

Eli jos joku viitsisi tarkistaa mikä on ongelma.

Logfile of HijackThis v1.99.1
Scan saved at 16:31:33, on 2.5.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\flexlm\SolidWorks SolidNetWork License Manager\lmgrd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\flexlm\SolidWorks SolidNetWork License Manager\SW_D.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\System32\rsmsink.exe
C:\WINDOWS\system32\mmc.exe
C:\DOCUME~1\JUKKA\LOCALS~1\Temp\Tilapäinen kansio 1 hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sonera.fi/login/0,6341,l-fi_h-11823,00.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: - {26EE4B4D-29B7-41D8-B031-00EA49F430B8} - C:\WINDOWS\lbbho.dll
O2 - BHO: (no name) - {3BF5E1E3-33A9-8C06-1206-14748E09E454} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Program Files\TeleWell\ADSL USB Router\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [WinSysCheck] WinSysCheck.exe
O4 - HKLM\..\Run: [Scan32Sys] Scan32Sys.exe
O4 - HKLM\..\Run: [1LiveUpdate] 1LiveUpdate.exe
O4 - HKLM\..\Run: [Trunk32App] Trunk32App.exe
O4 - HKLM\..\Run: [CDPreLoader] CDPreLoader.exe
O4 - HKLM\..\Run: [System32Check] System32Check.exe
O4 - HKLM\..\Run: [System32DOS] System32DOS.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Works Kalenterin muistutukset.lnk = ?
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Palvelut - {7731C496-93E5-48D3-A3A6-B11A9428693B} - http://service.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: SMS-viesti - {A12E714F-0BCE-4BF3-839E-607A2E5ED8D6} - http://sms.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: Tuki - {FB1AC255-270A-4F36-A3B0-9E741CBEF247} - http://tuki.kolumbus.fi/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://elisa.net/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {2B36F775-8CF5-4489-B454-2D1B80984CF2} (FXPluginCtl Object) - http://www.powerflasher.de/plugin/powerres.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142937679206
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\flexlm\SolidWorks SolidNetWork License Manager\lmgrd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Joo, tota haittaohjelmaa löytyy sun koneelta aivan kiitettävästi, joten aloitetaanpa tällä:

Lataa viimeisin Ad-Aware SE-versio täältä http://www.download.com/3000-2144-10045910.html (Jos sinulla on jo Ad-Aware asennettu, varmista että se on viimeisin versio 1.0.6)

Jos se EI ole versio 1.0.6, poista nykyinen versiosi Lisää/Poista- sovelluksen kautta ja deletoi kansio: C:\Program Files\Lavasoft sekä tyhjennä roskakori. Lopulta asenna linkistä tuo viimeisin versio.

Avaa Ad-Aware SE ja käynnistä WebUpdate-toiminto. (Klikkaa maapallo-kuvakketta, klikkaa "connect", klikkaa "OK", klikkaa "Finish".)

JOS sinulla on päivitysten kanssa ongelmia, hae viimeisimmät päivitykset manuaalisesti täältä; http://download.lavasoft.de.edgesuite.net/public/defs.zip

Lataa Lavasoftin VX2 Puhdistaja-plug-in täältä
http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml

Asenna VX2 Cleaner
Käynnistä Ad-Aware SE
Mene valikkoon nimeltä "Plug-ins"
Valitse VX2 Cleaner-plug-in ja klikkaa "Run Tool" (Ennen kuin ajat VX2 Cleanerin, varmista että muut Anti-virus- & Anti-spyware- ohjelmat ovat poissa päältä.)
Klikkaa "OK" kun kysytään haluatko ajaa tämän työkalun
Jos koneesi ei ole saanut tartuntaa, klikkaa "Close".


Jos koneesi on saanut tartunnan;


Valitse "Clean"
Käynnistä uudelleen.
Skannaa koneesi Ad-Awarella;

Tee asetukset näin:

Mene Ad-Awaren määritysikkunaan
Valitse General > Safety & Settings: Rastita (vihreäksi) kaikki kolme.
Klikkaa Tweak > Cleaning Engine > Poista rastitus "Always try to unload modules before deletion".

Klikkaa "Proceed"
Klikkaa "Scan Now"
Rastita valinta "Search for negligible risk entries"
Rastita valinta "Search for low-risk threats"
Aja skanneri käyttämällä Full Scan (Perform full system scan) moodia.
Kun skannaus on valmis, valitse "Next".
Skannaus tuloksissa, valitse "Scan Summary" välilehti.
Rastita boxi jokaisen löydetyn rivin viereen, poistoa varten.
Klikkaa "Next", klikkaa "OK".


Käynnistä koneesi uudelleen
Aja vielä toinen skannaus (Ad-Awarella ja VX2 Cleanerilla) varmistaaksesi, että kaikki pahat tiedostot on kadonnut koneeltasi.


Postita uusi HijackThis-logi.

 

Ad-aware tulee ajettu melkein joka päivä ja nuo ongelmat aina vain ovat siellä. Aina löytyy 40-50 kakkaa koneelta, kyseessä on siiks emännän kone ja tarkoitus olisi saada se täysin puhtaaksi kun tuntuu ettei se jaksa käynnistyäkkään kohta enään.

Mutta teen noin ja ilmoittelen tänne sitten.

 

Joo, tuo ad-aware itsessään ei auta tilannetta mutta VX2-plug-in auttaa

 

Logfile of HijackThis v1.99.1
Scan saved at 18:41:08, on 3.5.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\flexlm\SolidWorks SolidNetWork License Manager\lmgrd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\flexlm\SolidWorks SolidNetWork License Manager\SW_D.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\JUKKA\LOCALS~1\Temp\Tilapäinen kansio 2 hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sonera.fi/login/0,6341,l-fi_h-11823,00.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: - {26EE4B4D-29B7-41D8-B031-00EA49F430B8} - C:\WINDOWS\lbbho.dll
O2 - BHO: (no name) - {3BF5E1E3-33A9-8C06-1206-14748E09E454} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Program Files\TeleWell\ADSL USB Router\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [WinSysCheck] WinSysCheck.exe
O4 - HKLM\..\Run: [Scan32Sys] Scan32Sys.exe
O4 - HKLM\..\Run: [1LiveUpdate] 1LiveUpdate.exe
O4 - HKLM\..\Run: [Trunk32App] Trunk32App.exe
O4 - HKLM\..\Run: [CDPreLoader] CDPreLoader.exe
O4 - HKLM\..\Run: [System32Check] System32Check.exe
O4 - HKLM\..\Run: [System32DOS] System32DOS.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Works Kalenterin muistutukset.lnk = ?
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Palvelut - {7731C496-93E5-48D3-A3A6-B11A9428693B} - http://service.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: SMS-viesti - {A12E714F-0BCE-4BF3-839E-607A2E5ED8D6} - http://sms.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: Tuki - {FB1AC255-270A-4F36-A3B0-9E741CBEF247} - http://tuki.kolumbus.fi/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://elisa.net/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {2B36F775-8CF5-4489-B454-2D1B80984CF2} (FXPluginCtl Object) - http://www.powerflasher.de/plugin/powerres.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142937679206
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\flexlm\SolidWorks SolidNetWork License Manager\lmgrd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Jokos tuo on puhtoinen? Ei ainakaan virheitä näkynyt testissä enään vikalla läpiajolla kun yksi ja sekin poistu komeesti.

 

Joop, näyttää paremmalta, mutta vielä on tehtävää

Lataa ewido
http://keskustelu.afterdawn.com/thread_view.cfm/269186
asenna ja päivitä, ei tarvitse skannata vielä

Seuraavaksi tee oma kansio HijackThis ohjelmalle, esim. C:\hjt ja laita se sinne, jotta se voi ottaa varmuuskopioita

Avaa HijackThis, paina do a system scan only ja merkkaa nämä:

R3 - Default URLSearchHook is missing
O2 - BHO: - {26EE4B4D-29B7-41D8-B031-00EA49F430B8} - C:\WINDOWS\lbbho.dll
O2 - BHO: (no name) - {3BF5E1E3-33A9-8C06-1206-14748E09E454} - (no file)
O4 - HKLM\..\Run: [WinSysCheck] WinSysCheck.exe
O4 - HKLM\..\Run: [Scan32Sys] Scan32Sys.exe
O4 - HKLM\..\Run: [1LiveUpdate] 1LiveUpdate.exe
O4 - HKLM\..\Run: [Trunk32App] Trunk32App.exe
O4 - HKLM\..\Run: [CDPreLoader] CDPreLoader.exe
O4 - HKLM\..\Run: [System32Check] System32Check.exe
O4 - HKLM\..\Run: [System32DOS] System32DOS.exe

Sulje kaikki ikkunat ja paina fix cheked.

Seuraavaksi käynnistä tietokoneesi vikasietotilaan näpyttämällä F8:a käynnistyksen yhteydessä.
http://www.pchell.com/support/safemode.shtml

Laita piilotiedostot näkyviin vikasietotilassa

* Klikkaa Käynnistä.
* Avaa Oma Tietokone.
* Valitse Työkalut ylämenusta ja klikkaa Kansion asetukset.
* Valitse Näytä välilehti.
* Piilotiedostot/kansiot kohdalla valitse Näytä piilotetut tiedostot ja kansiot.
* Poista rasti ruudusta -> Piilota suojatut käyttöjärjestelmätiedostot
* Klikkaa Kyllä varmistaaksesi muutokset.
* Klikkaa OK.

Vikasietotilassa poista seuraavat tiedostot, etsi "etsi" toiminnolla ne, joiden polkua ei näy.

C:\WINDOWS\lbbho.dll
WinSysCheck.exe
Scan32Sys.exe
1LiveUpdate.exe
Trunk32App.exe
CDPreLoader.exe
System32Check.exe
System32DOS.exe

Kun poistot on tehty piilota piilotiedostot ja aja ewidolla full system scan ohjeiden mukaisesti ja tallenna sen raportti

Kun skannaus on valmis, käynnistä tietokoneesi normaalisti uudelleen jotta pääsisit takaisin normaalitilaan. Kun olet takaisin normaalitilassa, lähetä uusi HijackThis loki sekä ewidon raportti.

 

ewidon testi jumittaa mustitestissä aina tiettyyn kohtaan joten ajoin testiä läpi ilman mustin skannausta(menossa vieläkin kolmatta tuntia)
Ja noista tiedostoista ei löytynyt kun ensimmäinen windows juuresta, haullakaan muita löytynyt. Laittelen lokeja jahka testit saa päätökseen ja ihmetellään taas lisää.

 

No tässä ois sitten kummatkin lokit/rekisterit.

---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------

+ Created on: 20:24:08, 5.5.2006
+ Report-Checksum: D87CB70C

+ Scan result:

HKLM\SOFTWARE\Altnet -> Adware.Altnet : Error during cleaning
HKLM\SOFTWARE\Altnet\Dashboard -> Adware.Altnet : Error during cleaning
HKLM\SOFTWARE\Altnet\Dashboard\Settings -> Adware.Altnet : Error during cleaning
:mozilla.16:C:\Documents and Settings\JUKKA\Application Data\Mozilla\Firefox\Profiles\w391amtf.default\cookies.txt -> TrackingCookie.Com : Cleaned without backup
:mozilla.19:C:\Documents and Settings\JUKKA\Application Data\Mozilla\Firefox\Profiles\w391amtf.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned without backup
:mozilla.23:C:\Documents and Settings\JUKKA\Application Data\Mozilla\Firefox\Profiles\w391amtf.default\cookies.txt -> TrackingCookie.Burstnet : Cleaned without backup
:mozilla.24:C:\Documents and Settings\JUKKA\Application Data\Mozilla\Firefox\Profiles\w391amtf.default\cookies.txt -> TrackingCookie.Burstnet : Cleaned without backup
:mozilla.27:C:\Documents and Settings\JUKKA\Application Data\Mozilla\Firefox\Profiles\w391amtf.default\cookies.txt -> TrackingCookie.2o7 : Cleaned without backup
:mozilla.28:C:\Documents and Settings\JUKKA\Application Data\Mozilla\Firefox\Profiles\w391amtf.default\cookies.txt -> TrackingCookie.2o7 : Cleaned without backup
C:\Documents and Settings\JUKKA\Cookies\jukka@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Cleaned without backup
:mozilla.6:C:\Documents and Settings\Vesku\Application Data\Mozilla\Firefox\Profiles\ewyjh7t7.default\cookies.txt -> TrackingCookie.Adtech : Cleaned without backup
:mozilla.7:C:\Documents and Settings\Vesku\Application Data\Mozilla\Firefox\Profiles\ewyjh7t7.default\cookies.txt -> TrackingCookie.Adtech : Cleaned without backup
:mozilla.20:C:\Documents and Settings\Vesku\Application Data\Mozilla\Firefox\Profiles\ewyjh7t7.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned without backup
:mozilla.21:C:\Documents and Settings\Vesku\Application Data\Mozilla\Firefox\Profiles\ewyjh7t7.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned without backup
C:\Documents and Settings\Vesku\Local Settings\Application Data\Microsoft\CD Burning\MsgPlus3.01.94meseweb.urli.net.exe/sponsor.exe -> Downloader.Swizzor.ag : Cleaned without backup
C:\hijackthis\backups\backup-20060505-150845-292.dll -> Adware.Neon : Cleaned without backup
C:\WINDOWS\klphks.dll -> Not-A-Virus.Monitor.Win32.SpyBuddy.36 : Cleaned without backup
C:\WINDOWS\lbbho.dll -> Adware.Neon : Cleaned without backup


::Report End


Logfile of HijackThis v1.99.1
Scan saved at 20:34:27, on 5.5.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\flexlm\SolidWorks SolidNetWork License Manager\lmgrd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\flexlm\SolidWorks SolidNetWork License Manager\SW_D.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sonera.fi/login/0,6341,l-fi_h-11823,00.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Toimittaja Elisa Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Program Files\TeleWell\ADSL USB Router\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Palvelut - {7731C496-93E5-48D3-A3A6-B11A9428693B} - http://service.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: SMS-viesti - {A12E714F-0BCE-4BF3-839E-607A2E5ED8D6} - http://sms.kolumbus.fi/ (file missing) (HKCU)
O9 - Extra button: Tuki - {FB1AC255-270A-4F36-A3B0-9E741CBEF247} - http://tuki.kolumbus.fi/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://elisa.net/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {2B36F775-8CF5-4489-B454-2D1B80984CF2} (FXPluginCtl Object) - http://www.powerflasher.de/plugin/powerres.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142937679206
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\flexlm\SolidWorks SolidNetWork License Manager\lmgrd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Jokos näyttää paremmalta? kone ainakin tuntuu puhtaammalta jo käytössä mutta kalvaa epäilys että jotain on vielä tehtävä.

 

Jep, hyvältä näyttää, mutta tehdäänpä tämmönen vielä,

Ota ensin rekisteristä näin varmuuskopio:

Paina vasemmalta alhaalta Käynnistä -> Suorita -> kirjoita regedit -> ok. Sitten Tiedosto -> Vie. Kirjoita sille joku nimi ja sitten Tallenna (ja laita muistiin, mihin tallensit sen).

Tämän jälkeen mene regeditissä tänne, ja poista tuo Altnet (klikkaa hiiren oikealla napilla)

HKEY_LOCAL_MACHINE\SOFTWARE\Altnet


Jos epäilet että koneessa on vielä jotain haittaohjelmia, aja pari online scanneria
http://www.bitdefender.com/scan8/ie.html
http://www.pandasoftware.com/activescan
http://www.kaspersky.com/virusscanner
Ota järjestelmän palautus pois käytöstä skannauksen ajaksi

1. Klikkaa oikealla käynnistävalikon My Computer- tai oma tietokone-kuvaketta
2. Valitse Properties/ominaisuudet
3. Valitse System Restore/järjestelmän palauttaminen välilehti
4. Valitse "Turn off System Restore"/poista järjestelmän palauttaminen kaikissa asemissa
5. Paina Apply/käytä
6. Paina OK
7. Käynnistä kone uudelleen
8. Tarkista kone (mielellään kahdella) online scannereilla ja omalla virustorjuntaohjelmalla
9. Poista kaikki saastuneet tiedostot
10. Palauta asetukset takaisin

 

Avainta Altnet ei voi poistaa. Virhe Avaimen poistamisessa.

Tollasta herjaa kun yritän poistaa.

 

Hmm... Koita poistaa vikasietotilassa tai tällä:

Lataa LSPFix.exe sopivaan kansioon. Vaikkapa työpöytä tai Program Files. ÄLÄ aja tätä ohjelmaa vielä; tätä tulee käyttää VAIN jos Kazaan poistamisen jälkeen katoaa nettiyhteys.
http://www.cexx.org/lspfix.htm

Seuraavaksi lataa KazaaBegone.zip, ja unzippaa se sopivaan kansioon, esim Program Fileseihin omaan kansioon (esim C:\Program Filea\KazaaBegone)
http://www.spywareinfo.com/~merijn/files/kazaabegone.zip

Nyt käynnistä KazaaBegone;

Tupla-klikkaa KazaaBegone kansiosta johon sen purit.
Valitse Search & destroy all installed components
Klikkaa Go
Sulje KazaaBegone

JOS menetät nettiyhteytesi kun olet Kazaan poistanut, tupla-klikkaa LSPFix.exe jonka latasit aiemmin. Rastita "I know what I'm doing" valinta. Näet kaksi paneelia; Jos on jotain listattu "Remove" paneeliin oikealla puolella, anna sen olla ja klikkaa "Finish>>". Seuraavaksi käynnistä uudelleen ja netin pitäisi toimia hyvin. Jos mitään ei ole listattu "Remove" paneeliin, ÄLÄ tee MITÄÄN - sulje LSPFix. Tule joltain toiselta koneelta hakemaan lisää neuvoa. (Tämä on vain varotoimenpide, useimmiten netti pysyy ihan kunnossa )