Moro! Tässä olis ongelma. Compaq Armada 1575d läppäri alkoi temppuilemaan ja nyt sen käyttö on ellei lähes mahdotonta vähintäänkin hyvin rasittavaa. Koneessa on käyttiksenä Windows 2000 Pro, prossuna 233mhz pena, 64 megaa muistia ja jokin aikansa elänyt integroitu 2 megan näyttis. Ja nyt vakavampiin ongelmiin ;P Ensinnäkin kone käynnistyy reippaasti yli 10 minuuttia. Toiseksi, jos netti on päällä koneen toiminta hidastuu hirveästi. Ilman nettiä kone on hidas, mutta vasta netin kanssa koneen käyttö on lähes mahdotonta. Olen yrittänyt etsiä viiruksia ja niitä löytänytkin, mutta AntiVir ei saa niitä poistettua. Sitten AntiVir valittaa koko ajan että koneelta löytyy troijalaisia, muttei suostu niillekkään tekemään mitään. C:lle on myöskin ilmestynyt kasa outoja ohjelmia joiden alkuperästä ei ole tietoa, niitäkään ei pysty poistamaan koska ne ilmestyvät aina takaisin. Ne C:n ihmeohjelmien nimet: dfndrc_2 drsmartload1 drsmartload46m MTE3NDI6ODoxNg nwnmb_2 steam Tässä HJT-logi, jos siitä vaikka löytyisi ratkaisu, jota kuitenkin epäilen: Logfile of HijackThis v1.99.1 Scan saved at 20:17:09, on 28.6.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\QWRtaW5pc3RyYXRvcg\command.exe C:\WINNT\system32\MSTask.exe C:\WINNT\services.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe c:\drsmartload1.exe C:\Documents and Settings\Administrator\Desktop\HijackThis.exe F2 - REG:system.ini: UserInit=userinit.exe O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [newname] c:\\nwnmb_2.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O20 - Winlogon Notify: Shell Extensions - C:\WINNT\system32\lhrmonui.dll (file missing) O20 - Winlogon Notify: ShellScrap - C:\WINNT\system32\guard.tmp (file missing) O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\QWRtaW5pc3RyYXRvcg\command.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe Kuten huomaatte koneella ei ole paljon tavaraa, koska läppäri on ollut serkuillani pääasiassa netti- sekä työkoneena. Toivottavasti jonkinmoinen ratkaisu löytyy ja kiitos jo etukäteen.
Fixaa seuraavat, eli do a system scan only, laita rastit seuraaviin ja fix checked: O4 - HKLM\..\Run: [newname] c:\\nwnmb_2.exe O20 - Winlogon Notify: ShellScrap - C:\WINNT\system32\guard.tmp (file missing) O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\QWRtaW5pc3RyYXRvcg\command.exe O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe Hae täältä -> http://www.ewido.net/en/download ewido, asenna, päivitä, älä skanna vielä. Laita piilotiedostot näkyviin, ohje -> http://keskustelu.afterdawn.com/thread_view.cfm/248944 Käynnistä vikasietotilaan (f8 käynnistyksen yhteydessä) Poista seuraavat, jos löytyy: c:\\nwnmb_2.exe C:\WINNT\system32\guard.tmp C:\WINNT\QWRtaW5pc3RyYXRvcg\ < kansio C:\WINNT\services.exe Aja ewido, tallenna raportti. Käynnistä normaalisti. Lähetä ewidon raportti ja uusi hjt-logi.
Tässäpä nämä nyt: Ewido ei suostunut käynnistymään vikasietotilassa, joten jouduin tekemään skannauksen ilman vikasietotilaa :< Ewido-logi: --------------------------------------------------------- ewido anti-spyware - Scan Report --------------------------------------------------------- + Created at: 19:54:52 29.6.2006 + Scan result: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\KL2FSTU3\AppWrap[2].exe -> Adware.AdURL : No action taken. C:\WINNT\Temp\bw2.com -> Adware.AdURL : No action taken. C:\WINNT\icont.exe -> Adware.AdURL : No action taken. C:\Documents and Settings\Administrator\Local Settings\Temp\temp.fr4D6E -> Adware.Look2Me : No action taken. C:\WINNT\system32\ECENTLOG.DLL -> Adware.Look2Me : No action taken. C:\WINNT\system32\chiconfg.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\dtgest.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\e820lifm182a.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\g204lcdq1f0e.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\j20slcd71f0.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\ktlql7351.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\l22s0cf7ef2.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\l2n4lc5q1f.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\l6l6lg3s16.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\mvp0l97m1.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\n02ulaf91d2.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\n44s0eh7eh4.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\o048lahu1d48.dll -> Adware.Look2Me : No action taken. C:\WINNT\system32\s8puli7918.dll -> Adware.Look2Me : No action taken. C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\89ATCDWF\c1[1].exe -> Backdoor.SdBot.ass : No action taken. C:\WINNT\services.exe -> Backdoor.SdBot.ass : No action taken. C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\WXQ7K527\de[1].exe -> Downloader.Adload.cd : No action taken. C:\steam.exe -> Downloader.Adload.cd : No action taken. C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YV0J230N\drsmartload45a[1].exe -> Downloader.Adload.ck : No action taken. C:\Program Files\Common Files\svchostsys\svchostsys.exe -> Downloader.Small : No action taken. C:\Program Files\Common Files\svchostsys\svchostupdate.exe -> Downloader.Small : No action taken. C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GBU1CJ6T\dfndrb_2[1].exe -> Downloader.VB.afv : No action taken. C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YV0J230N\defender26[1].exe -> Hijacker.VB.ly : No action taken. :mozilla.6:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\8d4855kc.default\cookies.txt -> TrackingCookie.Clickbank : No action taken. :mozilla.7:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\8d4855kc.default\cookies.txt -> TrackingCookie.Com : No action taken. :mozilla.8:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\8d4855kc.default\cookies.txt -> TrackingCookie.Cpvfeed : No action taken. :mozilla.22:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\8d4855kc.default\cookies.txt -> TrackingCookie.Statcounter : No action taken. :mozilla.23:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\8d4855kc.default\cookies.txt -> TrackingCookie.Yieldmanager : No action taken. :mozilla.24:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\8d4855kc.default\cookies.txt -> TrackingCookie.Yieldmanager : No action taken. :mozilla.25:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\8d4855kc.default\cookies.txt -> TrackingCookie.Yieldmanager : No action taken. :mozilla.26:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\8d4855kc.default\cookies.txt -> TrackingCookie.Yieldmanager : No action taken. :mozilla.27:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\8d4855kc.default\cookies.txt -> TrackingCookie.Yieldmanager : No action taken. C:\Program Files\Common Files\simtest\sysstall.exe -> Trojan.Zapchast.bl : No action taken. ::Report end HjT-logi: Logfile of HijackThis v1.99.1 Scan saved at 20:11:55, on 29.6.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Program Files\ewido anti-spyware 4.0\ewido.exe C:\Documents and Settings\Administrator\Desktop\HijackThis.exe F2 - REG:system.ini: UserInit=userinit.exe O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe (file missing)
Lataa http://www.atribune.org/ccount/click.php?id=7 Look2Me-Destroyer.exe työpöydällesi. TÄRKEÄÄ: Ennen fixin jatkamista, sinun täytyy tehdä seuraavat: * Tulosta tämä, tai tallenna tekstitiedostona sopivaan sijaintiin. * Klikkaa käynnistä -> Suorita ja kirjoita: services.msc * Klikkaa OK. * Tarkista että tämä palvelu on käynnissä tai sen käynnistymistapa on automaattinen: * Toissijainen kirjautuminen * Seuraavaksi tietokoneesi on oltava offlinessa, vedä nettipiuha seinästä jos tarpeen. * Virustorjuntasi, ja kaikkien muiden turvaohjelmistojen TÄYTYY olla suljettuja. [*]Sulje kaikki ikkunat ennen jatkamista. [*]Tuplaklikkaa Look2Me-Destroyer.exe ajaaksesi ohjelman. [*]Rastita Run this program as a task. [*]Saat viestin joka sanoo; "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Klikkaa OK [*]Kun Look2Me-Destroyer uudelleen avautuu, klikkaa Scan for L2M-valintaa, työpöytäsi pikakuvakkeet katoavat hetkeksi, tämä on normaalia. [*]Kun skannaus on valmis, klikkaa Remove L2M-valintaa. [*]Saat Done Scanning viestin, klikkaa OK. [*]Kun valmis, saat tämän viestin: Done removing infected files! Look2Me-Destroyer will now shutdown your computer, klikkaa OK. [*]Tietokoneesi sammuttaa itsensä. [*]Käynnistä koneesi uudelleen. [*]Postita C:\Look2Me-Destroyer.txt tiedoston sisältö uuden HijackThis login kera postiisi. Jos palomuurisi varoittaa nettiyhteyksistä tähän ohjelmaan - salli ne. Jos saat runtime error '339', lataa MSWINSCK.OCX seuraavasta linkistä ja sijoita se C:\Windows\System32 kansioosi. http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX Koeta uudelleen.
Heh, olisi pitänyt kertoa aikaisemmin että winukka on tässä englanniksi. Ongelma on että en löydä tälle "toissijaiselle kirjautumiselle" englanninkielistä vastinetta tuolta services.msc:stä, joten olisiko sinulla tietoa mikä se mahdollisesti on. Ja anteeksi tämä kaikki vaiva, jota aiheutan. Olisi vain mukava saada tämä kone takaisin kuntoon
Eipä tuolta sellastakaan löydy, itekkin eilen etin tuon tyylistä mutta siellä ei yksinkertasesti ole mitään mikä viittais siihen "toissijaiseen kirjautumiseen"
Tässäpä tämä Look2Me-Destroyer -logi ------------------------------------ Look2Me-Destroyer V1.0.12 Scanning for infected files..... Scan started at 6/30/2006 12:36:21 PM Attempting to delete infected files... Making registry repairs. Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{86CC1EB4-1DF4-4072-81E9-8B125CB686AE}" HKCR\Clsid\{86CC1EB4-1DF4-4072-81E9-8B125CB686AE} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B6E7A310-3B8B-4C7E-8647-332644000CB8}" HKCR\Clsid\{B6E7A310-3B8B-4C7E-8647-332644000CB8} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BAC42C38-9005-402D-B1ED-FAD1B95B5D29}" HKCR\Clsid\{BAC42C38-9005-402D-B1ED-FAD1B95B5D29} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{D49FB958-DB78-4B94-9A31-47A0F68BA821}" HKCR\Clsid\{D49FB958-DB78-4B94-9A31-47A0F68BA821} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{D44F2DA2-375C-4F39-B189-893CBA10074A}" HKCR\Clsid\{D44F2DA2-375C-4F39-B189-893CBA10074A} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BF57D325-931D-4AB0-8984-754CF46CD08F}" HKCR\Clsid\{BF57D325-931D-4AB0-8984-754CF46CD08F} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{59243779-2EBA-4425-886B-D5117EE92662}" HKCR\Clsid\{59243779-2EBA-4425-886B-D5117EE92662} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{960F35E6-72A8-460C-BD6B-4642401B3803}" HKCR\Clsid\{960F35E6-72A8-460C-BD6B-4642401B3803} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{70098558-EB81-4917-B806-D7DD7FBAE0E5}" HKCR\Clsid\{70098558-EB81-4917-B806-D7DD7FBAE0E5} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{5007DCE4-1170-4B82-B987-A68891739D6C}" HKCR\Clsid\{5007DCE4-1170-4B82-B987-A68891739D6C} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{F9A7C4B8-D90C-449D-A5BF-B7447DCA6E77}" HKCR\Clsid\{F9A7C4B8-D90C-449D-A5BF-B7447DCA6E77} Restoring Windows certificates. Replaced hosts file with default windows hosts file Restoring SeDebugPrivilege for Administrators - Succeeded HjT-logi --------------------- Logfile of HijackThis v1.99.1 Scan saved at 12:50:34, on 30.6.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Documents and Settings\Administrator\Desktop\HijackThis.exe F2 - REG:system.ini: UserInit=userinit.exe O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe (file missing)
Ei enää ainakaan mitään näkyvää ongelmaa. Nyt pitäisi vielä saada koneeseen ne kevyemmät palomuurit ja viirustutkat, että tällä pystyisi käymään netissä (mut ei se maailmanloppu olisi vaikkei pystyisikää). Kone siis toimii hyvin jos kaikki turvaohjelmat ovat kiinni mutta kun ne ovat päällä kone matelee. Mutta kiitosta silti avusta, kone pörrää taas iloisesti ;P
