Kone Kaappaus...Mitä Tehdä?

SP2 = Windowsin Service Pack 2, P2P = peer-to-peer, P2P-ohjelma = vertaisverkko-ohjelma, mm. DC++, eMule, BitTorrent jne.

 

Hihhuli kai sulla nyt on palomuuri koneella?

 

On tietenkin...mut tuntuu siltä että se ei auta mitään.
Onko hyvä joku Sygate Personal Firefall Pro

 

HÄH?! Mun IP oso??!!
Miten sait selville?
kokeileppa toisen kerran...

 

sygaten firewall on omasta mielestäni todella hyvä, harmi vaan kun formatoinnin jälkeen ei suostunut enää päästämään nettiin niin piti vaihtaa tohon zonealarmin roskaan..

 

okei...siinä on aika selvät ne mitä ohjelmia on päällä ja mitkä on torjuttu jne.
koneella tapahtuu aina jotain outoo?...menin meseen ja sitte tuli joku Windows installer homma ja sen jälkeen tuli jotain Advansed Display picture tai joku sellane ja se latas siinä jotain ja sitte vasta meni meseen?

 

Tässä on nyt tää uus:

Logfile of HijackThis v1.99.1
Scan saved at 19:09:14, on 11.8.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Documents and Settings\Riitta\Työpöytä\Matti\MsgPlus.exe
D:\Winamp\winampa.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Riitta\Työpöytä\Matti\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [gcasServ] C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
O4 - HKLM\..\Run: [gcasDtServ] gcasDtServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Program Files\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] "C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe" -k
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Riitta\Työpöytä\Matti\MsgPlus.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [PrevxHome] D:\Prevx\SAGUI.exe
O4 - HKLM\..\Run: [STARTRIGHT] "C:\DOCUME~1\Riitta\LOCALS~1\Temp\Rar$EX00.065\StartRight.exe" -go
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://gfoto.com/ImageUploader3.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\system32\lll.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Prevx Agent (PrevxAgent) - Prevx Ltd. - D:\Prevx\PXAgent.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\VNC4\WinVNC4.exe" -service (file missing)

 

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)

mää laitoin kaikkiin etäproseduuri kutsuihin hylkää, siitäkö toi?
Pitäskö laittaa entiselleen?

 

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\system32\lll.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\VNC4\WinVNC4.exe" -service (file missing)

Nämä voi vielä poistaa, muuten näyttää olevan ok. Toimiiko nyt ok?

Ja tämä -> O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)
tarkoittaa, että tiedostoa ole (file missing).

 

Hmm...mää en osaa viel käyttää sitä ohjelmaa...laitanks mää Fix vai meenks mää poistaan ne käsin?

vähä varmaan kaikkia alkaa ottaan päähän nää mun ongelmat

 

Kyllä tuo sp2 ihan mukisematta menee piraattiin. Asennettu sekä sp2 cd:ltä, että mikkisoftan sivuilta ladatulla sp2:lla. Ei tarvitse p2p versioita. Hyvin toimii. Kylältä kuulin.

 

Laita fix hijackthisissä. Käsin et voi poistaa, kun noita tiedostoja ei ole (file missing). Toimiiko kone nyt niin kuin ennen ongelmia?

 

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\VNC4\WinVNC4.exe" -service (file missing)

tää ei lähde.

Kone toimii nyt normaalisti.

Kiitos

 

Hyvä homma Ei haittaa, vaikkei poistunutkaan. Pöpöt lähti ja se on pääasia

 

Voinks mää lähettää sulle joskus yksityis viestejä jos on jotain ongelmii?

 

Laita niitä vaan tänne foorumille, jos tulee ongelmia, niin muutkin voivat auttaa En aina ole itse paikalla ja täällä on paljon pätevämpiäkin auttajia kuin minä (Toymaatti, V-kos esim.).

 

ok...jaahas jotain ongelmia GIANT AntiSpywaren kaa...se kysyy kokoajan samaa hommaa...siinä lukee:

GIANT AntiSpyware has detected a change to your Internet Security Zone 'Internet'. Web-sivustot, jotka eivät kuulu muihin vyöhykkeisiin..

WARNING, this change has set your Zone to below the minimum security level.

Advise: Your Internet Security settings should never be changed without your permission. If you have not made this change it is recommend

What would you like to do?

ALLOW Tai Block

mulla on päällä Memember this action

mut silti se kysyy kokoajan samaa?

 

Hehe. näyttää tosiaan siltä, että joku n00bi scriptkiddie on tosiaan päässyt vähän leikkimään sun koneella. Luultavasti lähettäny sulle jonkinlaisen backdoorin\trojalaisen\ (esim avoimen levyjaon,mesen kautta, RPC haavoittuvuuden tms. kautta) ja sitten pistänyt tuon VNC:n
jota käytetään etähallinnoinointiin sun koneelle.

Varmaan sun kannatais skannailla se kone kunnon virustentorjuntaohjelmalla & pistää siihen se SP2 (asennus onnistuu ongelmitta myös piratti windowsiin) ja tämän jälkeen myös uusimmat paikkkaukset.

 

oon kuullu että pelit ei toimi kun asentaa sen SP2:n
onko totta?

 

Tuostakin virheilmoituksesta näkee, että joku on RPC- aukkojen avulla ottanut sun koneen omaan hallintaansa, el kannattais vrmaan hankkia ne päivitykset.

kattele tolla onko avoimia portteja
https://www.grc.com/x/ne.dll?bh0bkyd2