Koneellani on siis tuo JS/Dldr.Agent.KO haittaohjelma, enkä ole sitä saanut mitenkään pois Antivir tai SpywareDoctor ohjelmalla. Kun avaan Internet Explorerin niin antivirus ilmoittaa löytäneensä tuon kyseisen viruksen, eli: "A virus or unwanted program was found" Käyttöjärjestelmä on Windows 2000 professional. Hyvät neuvot ovat tervetulleita...
Lataa Malwarebytes' Anti-Malware työpöydällesi. * Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman. * Lopuksi varmistu, että seuraavat on valittu: Päivitä Malwarebytes' Anti-Malware ja Käynnistä Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Lopeta. * Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version. * Kun ohjelma on latautunut, valitse Suorita täysi tarkistus ja klikkaa Tarkista. * Kun skanni on valmis, klikkaa OK ja sitten Näytä tulokset nähdäksesi tulokset. * Varmistu, että kaikki on merkitty ja klikkaa Poista valitut. * Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt * Lähetä lokin sisältö seuraavassa viestissäsi + uusi hjt-loki.
Tuon Malwarebytes' Anti-Malware asensin koneelle, mutta kun laitoin suorittamaan täyden tarkistuksen niin ohjelman ikkuna hävisi pois. Kun yritin käynnistää Anti-Malware ohjelman uudestaan sanoo kone että:"Malwarebytes' Anti-Malware on jo käynnissä". HiJackki toimi ja antoi tämmöisen lokin: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:09:14, on 11.7.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\htpatch.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\ScanSoft\OmniPageSE\opware32.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\WINNT\system32\RunDll32.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINNT\system32\internat.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe D:\Ohjelmat\eMule\emule.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Sonera Internet R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;*.*.fi;*.*.*.fi;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O1 - Hosts: localhost 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0F2F3121-75E2-4C60-9977-C1ADC3D5F3DC} (IFIUploader Control) - http://web03.ifi.fi/PhotoProducts/ActiveX/IfiUploader.cab O17 - HKLM\System\CS1\Services\Tcpip\..\{62C821E3-CD67-432A-9499-F4745054E39A}: NameServer = 85.255.114.53,85.255.112.16 O17 - HKLM\System\CS3\Services\Tcpip\..\{62C821E3-CD67-432A-9499-F4745054E39A}: NameServer = 85.255.114.53,85.255.112.16 O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINNT\system32\aspi701.exe (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Program Files\Virusfighter\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe -- End of file - 6241 bytes
No niin.. tänään tuo Malwarebytes' Anti-Malware skannaus meni läpi ja antoi tämmöisen lokin: Malwarebytes' Anti-Malware 1.20 Tietokantaversio: 940 Windows 5.0.2195 Service Pack 4 17:58:45 12.7.2008 mbam-log-7-12-2008 (17-58-45).txt Tarkistustyyppi: Täysi tarkistus (C:\|D:\|) Tarkistetut kohteet: 108662 Kulunut aika: 38 minute(s), 36 second(s) Saastuneita muistiprosesseja: 0 Saastuneita muistimoduuleja: 0 Saastuneita rekisteriavaimia: 0 Saastuneita rekisteriarvoja: 0 Saastuneita rekisterikohteita: 5 Saastuneita hakemistoja: 0 Saastuneita tiedostoja: 0 Saastuneita muistiprosesseja: (Haitallisia kohteita ei löydetty) Saastuneita muistimoduuleja: (Haitallisia kohteita ei löydetty) Saastuneita rekisteriavaimia: (Haitallisia kohteita ei löydetty) Saastuneita rekisteriarvoja: (Haitallisia kohteita ei löydetty) Saastuneita rekisterikohteita: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{78f3b87b-5fcb-4489-b68c-17bb78853c0c}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.53,85.255.112.16 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{62c821e3-cd67-432a-9499-f4745054e39a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.53,85.255.112.16 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{78f3b87b-5fcb-4489-b68c-17bb78853c0c}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.53,85.255.112.16 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{78f3b87b-5fcb-4489-b68c-17bb78853c0c}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.53,85.255.112.16 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{78f3b87b-5fcb-4489-b68c-17bb78853c0c}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.53,85.255.112.16 -> Quarantined and deleted successfully. Saastuneita hakemistoja: (Haitallisia kohteita ei löydetty) Saastuneita tiedostoja: (Haitallisia kohteita ei löydetty)
Skannataan nytten viellä f-Securen online skannerilla alla ohjeet. Tarkista koneesi F-Securen online skannerilla Huom, skanneri toimii vain Internet Explorer selaimella * Lue sivun ohjeet huolella läpi * Klikkaa Start scanning * Mikäli saat Internet Explorer -suojausvaroituksen, klikkaa Asenna * Klikkaa Accept * Klikkaa Custom Scan * Säädä asetukset seuraavasti o "Virus Scan Option" kohdasta valitse Scan whole system o "Other Scan Option" kohdasta valitse Scan All Files o Valitse Scan whole system for rootkits o Valitse Scan whole system for spyware o Laita ruksi kohtaan Scan inside archives o Varmista että Use advanced heuristics on valittuna * Klikkaa Start * Skannaus käynnistyy kun tarvittavat tiedostot/päivitykset on ladattu * Odota kärsivällisesti * Kun sakannaus on suoritettu, klikkaa Automatic cleaning * Klikkaa Show Report * Raportti aukeaa selaimessa, kopioi teksti kokonaan * Liitä kopioitu teksti esim. muistioon tai Wordiin ja tallenna työpöydälle * Voit sulkea skannerin * Lähetä raportti viestiketjuusi
Scanning Report Monday, July 14, 2008 20:32:36 - 00:09:42 Computer name: PETRI-2000 Scanning type: Scan system for malware, rootkits Target: C:\ D:\ -------------------------------------------------------------------------------- Result: 6 malware found Redirected hosts file (spyware) System Tracking Cookie (spyware) System Trojan.Win32.Qhost.ka (virus) C:\WINNT\system32\drivers\etc\hosts not-virus:Hoax.Win32.Renos (virus) System not-virus:Hoax.Win32.Renos.fk (virus) C:\WINNT\system32\z1589.exe C:\WINNT\system32\z1597.exe -------------------------------------------------------------------------------- Statistics Scanned: Files: 240182 System: 3491 Not scanned: 79 Actions: Disinfected: 0 Renamed: 0 Deleted: 0 None: 6 Submitted: 0 Files not scanned: C:\PAGEFILE.SYS C:\WINNT\TEMP\ZLT0121E.TMP C:\WINNT\TEMP\ZLT01221.TMP C:\WINNT\SYSTEM32\BIOS1.ROM C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_164.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_27C.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_280.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_284.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_290.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_294.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_29C.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2A8.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2B8.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2C0.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2C4.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2CC.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2D4.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2D8.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2E0.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2E4.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2F0.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2F4.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2F8.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_2FC.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_304.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_30C.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_310.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_314.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_31C.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_320.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_324.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_328.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_330.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_33C.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_348.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_350.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_37C.DAT C:\WINNT\SYSTEM32\PERFLIB_PERFDATA_394.DAT C:\WINNT\SYSTEM32\CONFIG\DEFAULT C:\WINNT\SYSTEM32\CONFIG\DEFAULT.LOG C:\WINNT\SYSTEM32\CONFIG\SAM C:\WINNT\SYSTEM32\CONFIG\SAM.LOG C:\WINNT\SYSTEM32\CONFIG\SECURITY C:\WINNT\SYSTEM32\CONFIG\SECURITY.LOG C:\WINNT\SYSTEM32\CONFIG\SOFTWARE C:\WINNT\SYSTEM32\CONFIG\SOFTWARE.LOG C:\WINNT\SYSTEM32\CONFIG\SYSTEM C:\WINNT\SYSTEM32\CONFIG\SYSTEM.ALT C:\WINNT\SOFTWAREDISTRIBUTION\DATASTORE\LOGS\RES1.LOG C:\WINNT\SOFTWAREDISTRIBUTION\DATASTORE\LOGS\RES2.LOG C:\WINNT\SECURITY\RES1.LOG C:\WINNT\SECURITY\RES2.LOG C:\Program Files\Zone Labs\ZoneAlarm\instmtdr.exe\FILE0020.DAT D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\ASTRONGSPICE.RAW D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\DAR MESHQ.RAW D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\FLT_13.RAW D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\FLT_14.RAW D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\FLT_15.RAW D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\FLT_18.RAW D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\FLT_19.RAW D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\SANDALMAKER.RAW D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\SUSPENSE1A.RAW D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\SUSPENSE2A.RAW D:\PELIT\STRONGHOLD CRUSADER\FX\MUSIC\TRANCEFUSION.RAW D:\PELIT\STRONGHOLD\FX\MUSIC\CASTLEJAM.RAW D:\PELIT\STRONGHOLD\FX\MUSIC\JOURNEYS.RAW D:\PELIT\STRONGHOLD\FX\MUSIC\MATTSJIG.RAW D:\PELIT\STRONGHOLD\FX\MUSIC\SADTIMESA.RAW D:\PELIT\STRONGHOLD\FX\MUSIC\SUSPENSE1A.RAW D:\PELIT\STRONGHOLD\FX\MUSIC\SUSPENSE2A.RAW D:\PELIT\STRONGHOLD\FX\MUSIC\THE MAIDENA.RAW D:\PELIT\STRONGHOLD\FX\MUSIC\THE MAIDENB.RAW D:\PELIT\STRONGHOLD\FX\MUSIC\UNDERANOLDTREE.RAW D:\OHJELMAT\EMULE\TEMP\005.PART D:\OHJELMAT\EMULE\INCOMING\KUMMELI JACKPOT - PUKAMA-POLKKA(1).MP3 -------------------------------------------------------------------------------- Options Scanning engines: F-Secure USS: 2.30.0 F-Secure Blacklight: 1.0.68 F-Secure Hydra: 2.8.8110, 2008-07-14 F-Secure Pegasus: 1.20.0, 2008-04-15 F-Secure AVP: 7.0.171, 2008-07-14 Scanning options: Scan all files Scan inside archives Use Advanced heuristics
Eipä olekkaan mikään kiva virus koneella 1. Lataa Combofix.exe työpöydällesi jommastakummasta linkistä: Combofix.exe Combofix.exe Avaa Combofix.exe ja seuraa näyttöön tulevia ohjeita Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen. Käynnistä kone uudelleen, jos niin pyydetään ja lähetä combofix.txt-tiedoston sisältö tänne. Tyhjennä roskakori ja käynnistä koneesi uudelleen. Postita tänne seuraavat lokit: * Tuore HijackThis loki (Otetaan viimeisenä ennen postitusta) * (C:\ComboFix.txt) raportti *
Jeps Fixaa seuraavat rivit hjt:llä R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm Lataa CCleaner tästä - Asennuksessa poista merkki/rasti kohdasta "asenna Yahoo! toolbar/työkalupalkki". - Asennuksen jälkeen aukaise CCleaner. - Valitse vasemmalta pystyrivistä Options. - Valitse viereisestä pystyrivistä Settings. - Language kohtaan valitse Suomi. - Käynnistä CCleaner. - Valitse Valinnat. - Paina Lisäasetukset. - Ota ruksi pois kohdasta "Poista vain yli 48 tuntia vanhat tiedostot Windowsin tilapäiskansioista". Puhdistaja - Valitse vasemmalta pystyrivistä Puhdistaja. - Paina alhaalta Tutki. Nyt CCleaner tutkii, mitä voidaan poistaa (tempit, cookiessit jne.). - Kun tutkiminen on valmis, paina Aja CCleaner. Nyt CCleaner poistaa löydetyt tempit, cookiessit jne. Rekisterin virheiden korjaus - Valitse vasemmalta pystyrivistä Rekisteri. - Paina alhaalta Etsi rekisterin virheitä. - Kun etsintä on valmis ja olet varma, että haluat korjata ne rivit jotka ovat merkattuja, niin paina Korjaa valitut rekisterin virheet. - Sinulta kysytään "haluatko varmuuskopioida muutokset rekisteriin", paina Kyllä. Tallenna varmuuskopio vaikka "Omat tiedostot" -kansioon. - Klikkaa uudesta aukeavasta ikkunasta Korjaa kaikki valitut virheet. - Saat vielä varmistus kysymyksen, paina Ok. - Kun virheet on korjattu, paina Sulje. Nyt voit suljea CCleanerin painamalla oikealta ylhäältä punaista rastia. Javan päivitys ja välimuistin tyhjennys: 1. Klikkaa Käynnistä -> Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa. 2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... ) Niissä pitäisi olla seuraava kuva vieressä: 3. Valitse kaikki entiset Java versiosi ja valitse Poista. 4. Asenna uusin Java päivitys seuraavasta linkistä.. 5. Käynnistä kone uudelleen asennuksen jälkeen: http://java.sun.com/javase/downloads/index.jsp Rullaa alas kohteeseen Java Runtime Environment (JRE) 6 Update 7 Paina Download Ruksaa Accept, ota offline installation, tallenna vaikka työpöydälle ja asenna se. 6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi). 7. General Settings -osion alla, vedä liukusäädintä (Disk Space) pienemmälle, ja klikkaa Delete Files -nappia. (Jotkut javapohjaiset ohjelmat saattavat tarvita enemmän levytilaa. Jos huomaat säädön pienentämisen jälkeen koneessa hitautta, siirrä liukusäädintä isommalle). 8. Varmista että kaikki kaksi valintaa ovat rastitettuja: *Applications and Applets *Trace and Log Files Ja paina OK -nappia 9. Klikkaa OK "Temporary Files Settings" -ikkunassasi. 10. Klikkaa OK jättääksesi Java asetusikkunasi. Niin ja suosittelen käyttämään Firefox :ia netin selaamiseen paljon parempi ja turvallisempi kuin tuo IE.
Nyt on tehty combofixsillä scannaus: ComboFix 08-07-14.2 - Petri [sukunimi] 15.07.2008 10:59:10.1 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1035.18.320 [GMT 3:00] Running from: C:\Documents and Settings\Petri [sukunimi]\Työpöytä\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((((( Muut poistot )))))))))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINNT\g32.txt C:\WINNT\gs32.txt C:\WINNT\system32\{A744DE65-243A-470D-83E2-822B1554B5DB}.exe C:\WINNT\system32\sysogg.dll C:\WINNT\trace C:\WINNT\Web\default.htt . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ASPI113210 -------\Legacy_IPRIP -------\Service_aspi113210 -------\Service_Iprip ((((( Tiedostot, jotka on luotu seuraavalla aikav„lill„: 2008-06-15 to 2008-07-15 ))))))))))))))))) . 2008-07-14 20:24 . 08-07-14 20:24 <KANSIO> d-------- C:\fsaua.data 2008-07-11 18:58 . 08-07-11 18:58 <KANSIO> d-------- C:\Program Files\Trend Micro 2008-07-11 18:51 . 08-07-11 18:51 <KANSIO> d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-07-11 18:51 . 08-07-11 18:51 <KANSIO> d-------- C:\Documents and Settings\Petri [sukunimi]\Application Data\Malwarebytes 2008-07-11 18:51 . 08-07-11 18:51 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-11 18:51 . 08-07-07 17:35 34,296 --a------ C:\WINNT\system32\drivers\mbamcatchme.sys 2008-07-11 18:51 . 08-07-07 17:35 17,144 --a------ C:\WINNT\system32\drivers\mbam.sys 2008-07-11 16:51 . 08-07-11 16:51 1,152 --a------ C:\WINNT\system32\windrv.sys 2008-07-11 16:22 . 08-07-11 16:46 <KANSIO> d-------- C:\Program Files\Exterminate It! 2008-07-11 14:48 . 08-07-11 14:49 <KANSIO> d-------- C:\Program Files\Spyware Doctor 2008-07-11 14:48 . 08-07-11 14:48 <KANSIO> d-------- C:\Documents and Settings\Petri [sukunimi]\Application Data\PC Tools 2008-07-11 14:48 . 02-05-15 15:16 462,848 --a------ C:\WINNT\system32\msaatext.dll 2008-07-11 14:48 . 02-05-15 15:16 360,448 --a------ C:\WINNT\system32\oleacc.dll 2008-07-11 14:48 . 02-05-15 15:16 360,448 --a--c--- C:\WINNT\system32\dllcache\oleacc.dll 2008-07-11 14:48 . 02-05-15 15:16 356,352 --a------ C:\WINNT\system32\oleaccrc.dll 2008-07-11 14:48 . 02-05-15 15:16 356,352 --a--c--- C:\WINNT\system32\dllcache\oleaccrc.dll 2008-07-11 14:48 . 07-12-10 13:53 81,288 --a------ C:\WINNT\system32\drivers\iksyssec.sys 2008-07-11 14:48 . 07-12-10 13:53 66,952 --a------ C:\WINNT\system32\drivers\iksysflt.sys 2008-07-11 14:48 . 08-02-01 11:55 42,376 --a------ C:\WINNT\system32\drivers\ikfilesec.sys 2008-07-11 14:48 . 07-12-10 13:53 29,576 --a------ C:\WINNT\system32\drivers\kcom.sys 2008-07-06 16:59 . 08-07-10 18:46 <KANSIO> d-------- C:\Documents and Settings\All Users\Application Data\TrackMania 2008-07-06 16:52 . 05-05-26 15:34 2,297,552 --a------ C:\WINNT\system32\d3dx9_26.dll . (((((((((((((((((((((((((((((((((((( Find3M-raportti )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-11 15:54 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2004-05-12 15:15 271 ---h--w C:\Program Files\desktop.ini 2004-05-12 15:15 22,046 ---h--w C:\Program Files\folder.htt . (((((((((((((((((((((((((((((( Rekisterin k„ynnistyskohteet ))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Huom* Tyhji„ arvoja ja laillisia oletusarvoja ei n„ytet„ [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [00-02-21 03:00 20752 C:\WINNT\system32\internat.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HTpatch"="C:\WINNT\htpatch.exe" [02-10-30 12:40 28672] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [03-09-12 21:10 335872] "NeroCheck"="C:\WINNT\system32\\NeroCheck.exe" [01-07-09 13:50 155648] "Omnipage"="C:\Program Files\ScanSoft\OmniPageSE\opware32.exe" [02-02-20 20:01 49152] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [08-05-07 16:54 262401] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [08-02-22 04:25 144784] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [08-03-13 23:11 919016] "Synchronization Manager"="mobsync.exe" [03-06-19 22:05 111376 C:\WINNT\system32\mobsync.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [00-02-21 03:00 20752 C:\WINNT\system32\internat.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 22:05 188176] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau] 06-09-01 08:49 140048 C:\WINNT\system32\NWPROVAU.DLL [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= mmdrv.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [08-05-07 16:54 ] R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [08-05-07 16:54 ] R3 openhci;Microsoft USB Open Host Controller Driver;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 22:05 ] R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 22:05 ] . 'Ajoitetut teht„v„t'-kansion sis„lt” "2006-04-26 14:37:36 C:\WINNT\Tasks\XoftSpy.job" - C:\Program Files\XoftSpy\XoftSpy.exe . - - - - ORPHANS REMOVED - - - - HKLM-Run-SNM - C:\Program Files\SpyNoMore\SNM.exe HKLM-Run-Cmaudio - cmicnfg.cpl ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-15 11:02:54 Windows 5.0.2195 Service Pack 4 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINNT\system32\winlogon.exe -> C:\WINNT\system32\Ati2evxx.dll . Completion time: 2008-07-15 11:07:07 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-15 08:06:48 Pre-Run: 535,805,952 tavua vapaana Post-Run: 1,025,355,776 tavua vapaana 108 --- E O F --- 2007-11-06 17:25:07 Ja Hijack loki: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:11:34, on 15.7.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\htpatch.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\ScanSoft\OmniPageSE\opware32.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\WINNT\system32\RunDll32.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\explorer.exe C:\WINNT\system32\notepad.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;*.*.fi;*.*.*.fi;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0F2F3121-75E2-4C60-9977-C1ADC3D5F3DC} (IFIUploader Control) - http://web03.ifi.fi/PhotoProducts/ActiveX/IfiUploader.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Program Files\Virusfighter\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe -- End of file - 5700 bytes Noitten skannauksien jälkeen kun avasin explorerin niin edelleen kyllä antivir herjasi tuota JS/Dldr.Agent.KO:ta. Edit: Eli antivir herjaa tämmöistä: C:\Documents and Settings\...\wpad[1].htm Contains Detection pattern of the java script virus JS/Dldr.Agent.KO
Jeps Fixaa seuraavat rivit hjt:llä R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm Lataa CCleaner tästä - Asennuksessa poista merkki/rasti kohdasta "asenna Yahoo! toolbar/työkalupalkki". - Asennuksen jälkeen aukaise CCleaner. - Valitse vasemmalta pystyrivistä Options. - Valitse viereisestä pystyrivistä Settings. - Language kohtaan valitse Suomi. - Käynnistä CCleaner. - Valitse Valinnat. - Paina Lisäasetukset. - Ota ruksi pois kohdasta "Poista vain yli 48 tuntia vanhat tiedostot Windowsin tilapäiskansioista". Puhdistaja - Valitse vasemmalta pystyrivistä Puhdistaja. - Paina alhaalta Tutki. Nyt CCleaner tutkii, mitä voidaan poistaa (tempit, cookiessit jne.). - Kun tutkiminen on valmis, paina Aja CCleaner. Nyt CCleaner poistaa löydetyt tempit, cookiessit jne. Rekisterin virheiden korjaus - Valitse vasemmalta pystyrivistä Rekisteri. - Paina alhaalta Etsi rekisterin virheitä. - Kun etsintä on valmis ja olet varma, että haluat korjata ne rivit jotka ovat merkattuja, niin paina Korjaa valitut rekisterin virheet. - Sinulta kysytään "haluatko varmuuskopioida muutokset rekisteriin", paina Kyllä. Tallenna varmuuskopio vaikka "Omat tiedostot" -kansioon. - Klikkaa uudesta aukeavasta ikkunasta Korjaa kaikki valitut virheet. - Saat vielä varmistus kysymyksen, paina Ok. - Kun virheet on korjattu, paina Sulje. Nyt voit suljea CCleanerin painamalla oikealta ylhäältä punaista rastia. Javan päivitys ja välimuistin tyhjennys: 1. Klikkaa Käynnistä -> Ohjauspaneeli ja tupla-klikkaa Lisää tai poista sovellus Ohjauspaneelissa. 2. Etsi listasta kaikki entiset Java versiosi. (J2SE Runtime Environment.... ) Niissä pitäisi olla seuraava kuva vieressä: 3. Valitse kaikki entiset Java versiosi ja valitse Poista. 4. Asenna uusin Java päivitys seuraavasta linkistä.. 5. Käynnistä kone uudelleen asennuksen jälkeen: http://java.sun.com/javase/downloads/index.jsp Rullaa alas kohteeseen Java Runtime Environment (JRE) 6 Update 7 Paina Download Ruksaa Accept, ota offline installation, tallenna vaikka työpöydälle ja asenna se. 6. Käynnistyksen jälkeen, mene takaisin Ohjauspaneeliin ja avaa Java asetuksesi (Muita Ohjauspaneelin asetuksia -> Java kahvikuppi). 7. General Settings -osion alla, vedä liukusäädintä (Disk Space) pienemmälle, ja klikkaa Delete Files -nappia. (Jotkut javapohjaiset ohjelmat saattavat tarvita enemmän levytilaa. Jos huomaat säädön pienentämisen jälkeen koneessa hitautta, siirrä liukusäädintä isommalle). 8. Varmista että kaikki kaksi valintaa ovat rastitettuja: *Applications and Applets *Trace and Log Files Ja paina OK -nappia 9. Klikkaa OK "Temporary Files Settings" -ikkunassasi. 10. Klikkaa OK jättääksesi Java asetusikkunasi. Niin ja suosittelen käyttämään Firefox :ia netin selaamiseen paljon parempi ja turvallisempi kuin tuo IE.
No niin, eli HJT:llä poistin nuo kaksi mainitsemaasi riviä. Sitten latasin CC-cleanerin ja tein ohjeitten mukaan. Poistin kaikki Javat lisää/poista sovelluksen kautta. Muut poistuivat normaalisti, mutta yksi java update herjasi kun yritin uninstalloida sitä. Eli valitti että "JS/Dldr.Agent.KO käyttää tätä sovellusta eikä sitä voida poistaa". Kolmannella yrittämällä tuo kyseinen update kuitenkin poistui. Tämän jälkeen huomasin että internet yhteyteni ei enää toimi, enkä voinut ladata tuota javaa koneelleni. Otin sitten toisen koneen(läppärin), mutta kas kummaa internet ei toimi silläkään koneella. Aiheuttikohan tuo viruksen poistaminen jonkun häiriön netti yhteyteeni??? Kuitenkin ajoin läpi vielä Antivirin ja Malwarebytesin Anti-Malwaren eikä mitään virusta enää löytynyt koneelta. Suuri kiitos Yaht:lle hyvistä neuvoista. Nyt kun saisi vielä netin pelaamaan niin hyvä olisi.
Elikkäs taitaa olla palvelun tarjoajan päässä ongelmia jos kerta toisellakaan koneella ei netti toimi.
Tänään sain internetyhteyden toimimaan ja vika oli palveluntarjoajan laitteissa. Mutta kun painoin Internet Explorerin auki niin Antivir sanoi taas näin: A virus or unwanted program was found C:\Documents and Settings\...\wpad[1].htm Contains Detection pattern of the java script virus JS/Dldr.Agent.KO Eli virus siis on vieläkin koneella. Mitäs sitä yrittäis seuraavaksi??
Koitas katso että mikä C:\Documents and Settings\...\wpad[1].htm koko polku on eli missä se tarkalleen sijaitsee.
Niin eli tuo antivir herjaa Agent.KO:ta jos avaan explorerin ja minulla on nettiyhteys toiminnassa. Mutta kun otan verkkopiuhan irti niin virus varoitusta ei tule kun avaan explorerin, mutta nettiinkään ei silloin pääse. Tuon varoituksen tarkka osoite on: C:\Documents and Settings\Petri *******\Local Settings\Temporary Internet Files\Content.IE5\FANMYO8D\wpad[1].htm. En löytänyt tuota "Local Settings" kansiota resurssienhallinnan kautta. Enkä myöskään wpad[1].htm tiedostoakaan koneelta. Skannasin äsken Antiviruksella koneen eikä se löytänyt mitään.
Eli tuo on tempissä eli pitäisi lähteä Ccleanerillä alla ohjeet. Lataa CCleaner tästä - Asennuksessa poista merkki/rasti kohdasta "asenna Yahoo! toolbar/työkalupalkki". - Asennuksen jälkeen aukaise CCleaner. - Valitse vasemmalta pystyrivistä Options. - Valitse viereisestä pystyrivistä Settings. - Language kohtaan valitse Suomi. - Käynnistä CCleaner. - Valitse Valinnat. - Paina Lisäasetukset. - Ota ruksi pois kohdasta "Poista vain yli 48 tuntia vanhat tiedostot Windowsin tilapäiskansioista". Puhdistaja - Valitse vasemmalta pystyrivistä Puhdistaja. - Paina alhaalta Tutki. Nyt CCleaner tutkii, mitä voidaan poistaa (tempit, cookiessit jne.). - Kun tutkiminen on valmis, paina Aja CCleaner. Nyt CCleaner poistaa löydetyt tempit, cookiessit jne. Rekisterin virheiden korjaus - Valitse vasemmalta pystyrivistä Rekisteri. - Paina alhaalta Etsi rekisterin virheitä. - Kun etsintä on valmis ja olet varma, että haluat korjata ne rivit jotka ovat merkattuja, niin paina Korjaa valitut rekisterin virheet. - Sinulta kysytään "haluatko varmuuskopioida muutokset rekisteriin", paina Kyllä. Tallenna varmuuskopio vaikka "Omat tiedostot" -kansioon. - Klikkaa uudesta aukeavasta ikkunasta Korjaa kaikki valitut virheet. - Saat vielä varmistus kysymyksen, paina Ok. - Kun virheet on korjattu, paina Sulje. Nyt voit suljea CCleanerin painamalla oikealta ylhäältä punaista rastia.
