kone jumissa siis todella jumissa

Tossa parisen päivää sitten koneeseeni tuli varoitus troijan hevosesta. Torjuin kaikki yritykset Antivir PE Classicilla. Luulin että kaikki toimis, mutta sitten alkoi tulla pop-uppeja noin 15minuutin välein ja ad-awere ja ewido alkoivat näyttää jotkuvasti viallisia tiedostoja. Tarkastin palomuurin ettei se ollut mennyt pois päältä ja se ei ollut mennyt pois päältä. Huom: Pop-up blockker on päällä. Eli pop-uppejen tuleminen vain jotkui koko ajan joten päätin etsiä jonkun kunnon ohjelman jolla saisin viruksen/mikä sitten onkan pois koneelta joten löysin F-secure 2006. Koitin asentaa tätä ohjelmaa ja asensinkin sen mutta siinä vaiheessa kun kone menee windowsiin niin avautuu vain F-secure internet security 2006 ohjattu aloitustoiminto ikkuna. Käyttöjärjestelmänä toimii windows xp. Kone on ollut käytössä noin puolivuotta. Voisiko joku jelppaa?

 

Mikä palomuuri sinulla on/oli? Sattuiko olemaan zone alarm?

 

Viestisi tuli nyt vähän väärälle alueelle, juuluisi tuonne "Virukset ja haittaohjelmat" puolelle. Älä mene itse kuitenkaan tekemään uutta topiccia, vaan odota että modet siirtää. Eiköhän se siitä selviä.

 

taitaa olla tuo widowsin oma. Mikä se nyt sitteb onkaan

 

No se ei ole mistään parhaasta päästä , mutta sitten se ei ole sitä mitä luulin. :/

 

ajattelin formatoida koneen kokonaan uudestaan mutta olisiko se järkevää mutta varmaan ainut mahdollisuus enään tässä vaiheessa kun kone on näin jumissa.

 

Kyllä noi fiksaajat aika sekasinki menneen koneen saa puhtaaks.

 

osaaks joku sanoo mikä on explore.exe? Task manageris on tällänen juttu koko ajan käynnis

 

No Explorer.exe on sun selainohjelmias, mutta explore.exe ei ole ja voi hyvinkin olla selaimesi kaapannut ohjelma. Oikea Explorer ei ole käynnissä, jos et tee mitään. Tietysti voi panna kaikki uusiksi mutta kun kerran olet ostanut F-Sekuren, niin aja nyt ensin se. Jos asennus ei toimi, niin poista ja asenna uudelleen. Tee asennus Safemode tilassa. Sulla on nyt ilmeisesti paha örkki koneessa, joten häiriöitä voi olla.

 

Kokeileppa sammuttaa explorer.exe ?
Xp:ssä en ole kokeillut mutta W2k:ssa aiheuttaa ei toivotun tapahtuman.

 

explorer.exe kuuluu xpeehen mulla tuolla proseisseissa pyörii eikä ole ainakaa mikään virus..

 

Explorer.exe ei ole mikään viirus, se näyttää kaikki mitä näet ruudulla, eikä se ole internet explorer (iexplore.exe). Jos sammutat sen (end process) ruudulta häviää kaikki paitsi taustakuva, mutta ne palaavat ja explorer käynnistyy uudelleen.

 

niin tekee mutta sain koneen toimimeen F8 hakkaamalle alussa. Mutta todellinen pop-up ongelma ei ole hävinnyt mihinkään. Ewidolla olen scannannut koneen moneen kertaaa ja aina löytyy jotain pskaa. Voiko tämä johtua huonosta palomuurista? Siis pop-uppeja tulee esiin aina välillä vaikka en ole netissä.

 

Laita HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.

 

Logfile of HijackThis v1.99.1
Scan saved at 16:56:26, on 20.3.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
E:\Program Files\Raptor-Gaming\RGM2\Panel.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
E:\Program Files\iTunes\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\lasse\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Raptor-Gaming M2] "E:\Program Files\Raptor-Gaming\RGM2\Panel.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe
O4 - HKLM\..\Run: [newname] C:\\newname2.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IpNetwork] C:\Program Files\Network\ipnetwork.exe
O4 - HKLM\..\Run: [NI.UERSJ_0001_N68M0902] "C:\Documents and Settings\lasse\Desktop\ErrorSafeFreeInstall_fi.exe" -nag
O4 - HKLM\..\Run: [F-Secure Manager] "E:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "E:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "E:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "E:\Program Files\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKCU\..\Run: [oqik] C:\PROGRA~1\COMMON~1\oqik\oqikm.exe
O8 - Extra context menu item: &Estä tämä kohoikkuna - E:\Program Files\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O9 - Extra button: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - E:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - E:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: IE-suojaus - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\Program Files\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-suojaus... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - E:\Program Files\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140379618506
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\kt24l7fq1.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Program Files\iTunes\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Tämäkö piti lähettää?

 

sitten tuli tällanen kansio kuin backups. Voinko poistaa kansion sisällön?

 

Se piti lähettää juu

Ja onhan siellä vaikka mitä.

Poista ohjauspaneelista(lisää/poista sovellus):

Istsvc tms.
WhenUSave

Imuroi bfu -> http://www.merijn.org/files/bfu.zip
ja pura se työpöydälle
käynnistä bfu.exe ja klikkaa nappia "web" kuten alla olevassa kuvassa


Kopioi seuraava rivi "Download script"-ikkunaan :
http://metallica.geekstogo.com/alcanshorty.bfu

Käynnistä skripti klikkaamalla Execute-nappia.

Jos bfu:n käytössä on ongelmia, löytyy seuraavasta linkistä lisää ohjeita:
http://metallica.geekstogo.com/BFUinstructions.html

Käynnistä uudestaan ja lähetä uusi HjT-loki.
Jatketaan fixiä sitten eteenpäin

EDIT: ÄLÄ poista sitä backups-kansiota ainakaan vielä, kiitos

 

oke. Kiitti nyt sit täst mutta mitä tän pitäis hyödyttää? Poistaa vai kaiken turhan?

 

Poistaa viruksia koneeltasi
Tuon ohjeen mukaan toimiessasi lähtee osa ja loput ohjeet annan tuon jälkeen.

 

no kaikki tuo on tehty. Voitko antaa nyt sitten loputkin?