Mul tuli koneelle tollanen Spysheriffi, ja olen yrittänyt katsoo täältä ohjeita sen poistamiseen, mutta tähän tyhmään päähän ei mee noi ohjeet. Osaisiko joku viisaampi kertoa/neuvoa selkeästi mitä pitää tehdä, että saisin kyseisen ohjelman pois... taustakuvaksi tulee warning you are danger jne... ja menee nettiin niin tulee kans joku detected spyware...
Aja ensin toi ewido http://keskustelu.afterdawn.com/thread_view.cfm/269186 <- linkki ja ohjeet tuolla. Sitten aja hjt http://koti.mbnet.fi/pattaya1/hijackthis.htm Lähetä siitä logi tänne tutkittavaksi.
Logfile of HijackThis v1.99.1 Scan saved at 3:20:51, on 30.12.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\Markus\Työpöytä\HijackThis.exe C:\Program Files\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\System32\azesearch4.ocx (file missing) O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll (file missing) O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\System32\azesearch4.ocx (file missing) O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300" O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Norton AntiVirus -ohjelman automaattinen suojaus (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
Mitäs sit seuraavaks? tarviiko nyt niitä rukseja alkaa ruksimaan sillä hijackthis ohjelmalla? ja mitä ruksaan? vielä ei poistunut mitään. Lähteekö toi pois jos laittaa windowsin uudestaan?
hanki semmonen ohjelma ku spyware doctor niin se poistaa noi sun spysheriffit....sano vaan jos haluat lisä tietoja tosta viasta
nyt on enää sellanen ongelma et en pysty laittaa taustakuvaa, nyt on valkonen taustakuva joka välkkyy välillä... vaikka yrittää vaihtaa taustakuvaa niin se ei vaan mene työpöydälle, ei tuu mitään varoitusta eikä mitään mikä sanois missä vika...
Terve. Onhan tuolla jokunen örminkäinen eksynyt =) Ensiksi siirrä HijackThis omaan kansioosa ( Esim: C:\hjt\HijackThis.exe ) Klikkaa työpöydällä oikealla hiiren nappulalla -> ominaisuudet -> työpöytä -> mukauta työpöytää -> web-välilehti. Katso, jos siellä on jotain security-juttua, niin poista se. Jos siellä näkyy jotain muuta outoa, niin kerro myös siitä. Poista ohjauspaneelin kautta: ( lisää/poista sovellus ) ZToolbar voi olla myös azesearch tai vastaava AddressBar ( voi olla sanoja perässä ) Käynnistä HijackThis > Do a system scan only ja merkkaa seuraavat: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\System32\azesearch4.ocx (file missing) O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll (file missing) O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\System32\azesearch4.ocx (file missing) O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab Sulje kaikki ylimääräiset ohjelmat, ja nettiselain, ja paina Fix Checked. Hae tuolta smitRem.exe ja tallenna se työpöydälle > http://noahdfear.geekstogo.com/click counter/click.php?id=1 Tuplaklikkaa sitä, jolloin se luo smitRem kansion työpöydälle. Laita piilotiedostot näkyviin ohje > http://keskustelu.afterdawn.com/thread_view.cfm/248944 Käynnistä vikasietotilaan ( F8 käynnistyksen yhteydessä ) Avaa smitRem kansio > tuplaklikkaa RunThis.bat ja seuraa ohjeita. Poista seuraavat vielä manuaalisesti jos löytyy: c:\>>>>>>>>>>>>>>>>>>>>>>secure32.html<<<<<<<<<<<<<<< C:\WINDOWS\System32\>>>>>azesearch4.ocx<<<<<<<<<<<<<< C:\WINDOWS\system32\>>>>>iasada.dll<<<<<<<<<<<<<<<<<< C:\Program Files\>>>>>>>>SpySheriff<<<<<<<<<<<<<<<<<< koko hakemisto tuosta SpySheriffistä. C:\>>>>>>>>>>>>>>>>>>>>>>winstall.exe<<<<<<<<<<<<<<<< Lähetä uusi loki, ja smitfiles.txt:n sisältö Jos ei taustakuva lähtenyt vieläkään, niin siihen on konsteja jäljellä =)
Joo nyt toimii taas taustakuvakin... mut sit tuli taas joku uusi ongelma. jokaisessa kansiossa mun koneelle tuli jotain ihme tiedostoja mitä ei pysty poistamaan kun yrittää poistaa niin sanoo jotain kirjoitussuojattu tai vastaavaa... ne tiedostot näkyy himmeinä ihan kuin ne olisi leikattu. ne on recycler, system volume information, mso cache tiedostoja...
Eli ne on ilmeisesti näitä piilotiedostoja äläkä missään nimessä mene poistamaan mitä ei pyydetä. Tuon ohjeen mukaan kun teet taas toisinpäin niin saat ne pois näkyvistä -> piilotiedostot näkyviin ohje > http://keskustelu.afterdawn.com/thread_view.cfm/248944 eli pistät vain pois ne näkyvistä. @LFS Ethän neuvo tietämättömänä, tuo spysheriff ei lähde ilman smitremia. Spyware Doctor onkon ihan turha tässä ohjelmana sitäpaitsi maksaa vaan. Miksi maksaa kun saa saman ilmaiseksi ja paremmin?
Nyt toimii kone taas kuin ennenkin... erittäin suuri kiitos auttajille!!!!! palailen taas asiaan kun kone taas joskus sekoaa....
Hieno homma ja vaikka toimii niin silti varmistus lokit olisi aina syytä laittaa varmuuden vuoksi =) juuri nuo hjt ja smitrem loki...
Kyllä se ihan kelpo on ei siinä mitään, parempi kuin ilman. Mutta kun ei tähän hätään ole ollenkaan soveltuva ja vinkki meni pahasti metsään. Viimesin versio onkin tehty että scannaus on ilmainen mutta kun aletaan putsamaan niin "money money" tuleepi =) Nykypäivänä tuo ewido onkin ns. valovuoden päässä tästä, että jos siittä nyt lähdetää =)
