Ongelmia haittaohjelmien kanssa

Ongelman luonne: selainta (Mozilla Firefox) käyttäessäni "Käynnistä" valikko alkaa epäsäännöllisin väliajoin hyppimään esiin kuten myös eräät muut valikot ja sivut, joilla liikun, voivat sulkeutua itsestään tai muuttaa kokoaan. Samoin näkyviin saattaa tulla "sammuta tietokone" valikko.

Yritykset muuttaa tilannetta: koneessani on avast, Virusfighter, Ad-aware, Spyware, Spybot (+ äskettäin asentamani Browser Hijack Blaster sekä Spywareblaster). Kaikkia olen käyttänyt ja kaikilla olen löytänyt jotain örkkejä, jotka olen sitten poistellut mutta ylläkuvattu ongelma vain palaa aina takaisin. Välillä on jo ehtinyt luulla, että ongelma poistui mutta sitte se tulee takaisin.

Mitä siis tulisi seuraavaksi tehdä? HijackThis on asennettuna, pitäiskö se ajaa läpi vai vieläkö kannattaisi ennen sitä yrittää jotain muuta?

 

Laitahan loki ihmeteltäväksi

Niin mikä tuo Spyware??? ohjelma on?

 

Terve,
tommonen itelleni käsittämätön pläjäys sieltä sitten tuli. Joo, palomuuri on käytössä ja Spyware tarkoitti Spyware Doctor maksullista ohjelmaa (tuli eilen hätäpäissään se ostettua).

Olen oikein iloinen ja huojentunut, jos ton allaolevan pohjalta voitte jotain sellaista löytää, mikä tätä masiinaa vaivaa!

Logfile of HijackThis v1.99.1
Scan saved at 19:36:50, on 20.7.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\VIRUSfighter\Bin\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
C:\VIRUSfighter\Nvc\bin\nvcoas.exe
C:\VIRUSfighter\bin\NJEEVES.EXE
C:\VIRUSfighter\Nvc\BIN\nipsvc.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\VIRUSfighter\Bin\ZLH.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\VIRUSfighter\Nvc\BIN\NIP.EXE
C:\WINDOWS\System32\alg.exe
C:\VIRUSfighter\Nvc\bin\cclaw.exe
C:\VIRUSfighter\Nvc\BIN\NVCOD.EXE
C:\VIRUSfighter\bin\niu.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ZipGenius 5\zipgenius.exe
C:\DOCUME~1\Gigantti\LOCALS~1\Temp\ZGTemp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dnainternet.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://paivitys.dnainternet.fi/yhteys/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\atiptaxx.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\Bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: PowerReg Scheduler V3.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fi/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1094572714890
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\System32\CTsvcCDA.exe (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\VIRUSfighter\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Avast ja VIRUSFighter(Norman) käynnissä yhtäaikaa. Poista toinen käynnistyvistä. Kaksi virustorjunta ohjelmaa yhtäaikaa sekoittaa vaan turhaan konetta.

Siirrä HJT oikeaan paikkaan C:\hjt\Hijackthis.exe

Laita piilotiedostot näkyviin
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Sulje ylimääräiset ohjelmat ja ikkunat.

FIXaa:
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - Startup: PowerReg Scheduler V3.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\System32\CTsvcCDA.exe (file missing)


Voisit kokeilla myös eScannia
http://koti.mbnet.fi/pattaya1/escanmwav.htm

 

Noita 02 alkuisia ei tarvitse fixata, ne kuuluu SpywareDoctoriin. Jos kerkesit jo fixaamaan niin palauta ne HjT:stä näin > Config... > Backups > valitse ne palautettavat > Restore, ja siinäpä se.

Tuo on kai vanha Nortonin jämä
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
Kirjoita SUORITAikkunaan > services.msc > OK > tuplaklikkaa riviä Symantec Network Drivers Service > PALVELUNTILA kohdassa klikkaa SEIS > KÄYNNISTYSTAPA kohdassa valitse EI KÄYTÖSSÄ > sulje ikkuna.

Poista tuo
C:\Program Files\Common Files\===>Symantec Shared<===

Ja fixaa HJt:llä
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

Mahtoikohan näillä olla vaikutusta siihen Foxin ongelmaan.
Laita tänne se eScanin alalaatikkoon tuleva lista niin pähkäillään lisää.



V-kos!! Pikku virheistä EI sitten lannistuta, näitä sattuu kenelle tahansa

 

Jees. Tiesin että se kuuluu siihen spyware Doctoriin, mutta onko tuo BHO tarpeellinen? Ja backupithan toimii

Edit: Tuo Symantec ois kyllä pitänyt hoxata.

 

Jaa`a, ei aavistustakaan niiden "tarpeellisuudesta", pääasia etteivät ole pahoja. Voi hyvinkin olla ettei noilla ole mitään järjellistä käyttöä

Edit:Välillä noita jää huomaamatta, ei maha mittää. Vaikka olis tämmönen rivi niin aina ei huomaa.
O4 - HKLM\..\Run: [OLEN MATO] C:\POISTA MINUT\OLEN ÖRKKI\WORM.EXE

 

Kiitokset viesteistänne,

ja ok, tein noi ehdottamanne korjaukset, poistot ja fixaukset. Yks moka sattu siinä, et poistin sen Symantec network jutun ennen SUORITAikkunan kautta tehtyjä muutoksia. Toivottavasti tämä ei ollut millään tavoin ratkaisevaa. Joka tapauksessa tossa logissa ton Symantecin tilanne on muuttunut vaikka se logissa yhä onkin: loppuun on ilmestynyt teksti "file missing".

Yhtä kaikki, ongelma tuntuu kuitenkin säilyvän, sillä boottauksen jälkeen käynnistä valikko rupes taas nykimään ja hiiren osoitin lenteli siellä sun täällä. Tällä hetkellä tää on rauhallinen mutta pitää nopeesti häippästä pois netistä kun vielä ehtii.

Laitan seuraavaksi pyörimään sen escan:in ja laitan siitä sitte tietoa tulemaan.




Logfile of HijackThis v1.99.1
Scan saved at 22:28:20, on 20.7.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\VIRUSfighter\Bin\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
C:\VIRUSfighter\Nvc\bin\nvcoas.exe
C:\VIRUSfighter\bin\NJEEVES.EXE
C:\VIRUSfighter\Nvc\BIN\nipsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\VIRUSfighter\Bin\ZLH.EXE
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\VIRUSfighter\Nvc\BIN\NIP.EXE
C:\WINDOWS\System32\alg.exe
C:\VIRUSfighter\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\setup\setup.ovr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dnainternet.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://paivitys.dnainternet.fi/yhteys/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\atiptaxx.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\Bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fi/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1094572714890
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\VIRUSfighter\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Kummanko poistat Normannin(VIRUSfighter) vai Avastin molemmat on yhä siellä??

 

Virusfighterin oon ottanu pois päältä.

Escannin alaosan lista:
C:\WINDOWS\RESTORE.INS togged as not-a-virus:Net Tool.WIn32.PsKill. No Action Taken.

C:\Program Files\Mozilla Firefox\plugins\NPNd2fn.dll tagged as not-a-virus:AdWare.Toolbar.MyWebSearch.o. No Action Taken.

C:\System Volume Information\_restore{66FCF0F1-26A&-4635-939D-AFC6B17B7CE3}\RP534\A0165866.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

C:\System Volume Information\_restore{66FCF0F1-26A&-4635-939D-AFC6B17B7CE3}\RP563\A0171260.dll tagged as not-a-virus:Adware.ToolBar.RXBar.a. No Action Taken.

C:\System Volume Information\_restore{66FCF0F1-26A&-4635-939D-AFC6B17B7CE3}\RP576\A0175486.DLL tagged as not-a-virus:Adware.ToolBar.MyWebSearch.l. No Action Taken.

C:\System Volume Information\_restore{66FCF0F1-26A&-4635-939D-AFC6B17B7CE3}\RP576\A0175487.DLL tagged as not-a-virus:Adware.ToolBar.MyWebSearch.o. No Action Taken.


Tollaset siis tuli.EScann tosin lopetti pyörityksen reilun kolmen tunnin jälkeen kesken. (laitan sen vielä pyörimään uudestaan ja tsekkaan sen sitten töitten jälkeen)

Pari huomiota:
Toi System Volume Information vaikuttaa oudolta. Aukasin sen nimittäin järjestelmänhallinnasta ja kun katoin yhden (pitkän numerosarjan omaavan vrt. yllä) kansion ominaisuudet hiirellä, niin siinä kansiossa ilmoitettujen tiedostojen ja kansioiden lukumäärä alkoi yhtäkkiä kasvamaan nopealla vauhdilla ja samalla meni taas työpöytä sekasin.

Äsken aukaisin wordin ja sen aukaisu laitto kanssa työpöydän sekasin, tällä kertaa niin, että näytön alaosan harmaa palkki kasvoi noin 5 cm:n levyiseksi.

Menee mulla yli hilseen tollaset touhut. Oonko ylipäätään oikeilla jäljillä kun luulen kyseessä olevan haittaohjelmat vai onko kyse paremminkin joistain viruksista??

 

Mutta siellä se vaan on edelleen käynnissä, kannattaisko poistaa kokonaan?

Poista Lisää/Poista sovelluksesta jos löytyy
MyWebSearch tai MyWebSearchBar

Poista tuo (tarvittaessa vikasietotilassa)
C:\WINDOWS\===>RESTORE.INS<===

Tuo System Volume Information on järjestelmänpalautuksen kansio, saat sen tyhjäksi näin
http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleansystemrestore.shtml

Laita eScanin listan lisäksi vielä lista asennetuista ohjelmista, saat sen HjT:llä näin > Config.. > Misc Tools > Open Unistall Manager.

 

Tuon voit FIXata hjt:lla
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)

Laita myös tänne escannin errorit jos niitä tulee.

Tuo VIRUSFIGHTER kannattais poistaa kokonaan. Se on raskaampi kuin Avast! ja muutenki nolo ohjelma

 

No niin,
i)escannin listassa ei ollu enää kuin kaks kohtaa:

C:\Program Files\Mozilla Firefox\plugins\NPNd2fn.dll tagged as not-a-virus:AdWare.Toolbar.MyWebSearch.o. No Action Taken.
[tää oli jo viime kerralla]

C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill. No Action Taken.
[tätä ei ollu aiemmin, tän voinee poistaa myös?]

-poistin sen C:\WINDOWS\RESTORE.INS -kohdan
- Error kohtia oli (5 kappaletta), en niitä tähän hätään saanut tähän laitettu, voin laittaa ne kun seuraavaks ajan Escannin

ii) alla viimeisin HJT logi

Logfile of HijackThis v1.99.1
Scan saved at 17:30:35, on 21.7.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dnainternet.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://paivitys.dnainternet.fi/yhteys/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\atiptaxx.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fi/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1094572714890
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

-------

-kuten näkyy, toi symantec kohta edelleen on läsnä. Yritin poistaa sitä sekä normaalitilassa että viansietotilassa mutta eipä vaan poistunut.

- virusfighterin poistin kokonaan, mut siitäkin jäi tohon logiin yksi kohta (sen voi varmaan poistaa?)

- System Volume Informationiin tein suositellun muutoksen

iii) alla lista asennetuista ohjelmista

Ad-Aware SE Personal
Adobe Reader 6.0.1
ATI Catalyst Control Center
ATI Control Panel
ATI Display Driver
ATI-ohjelmiston poisto-ohjelma
avast! Antivirus
Aztech CNR2900 V.92 Modem
Browser Hijack Blaster v1.0
CloneCD
CloneDVD Full 3.0.2.5
DVD Solution
DVD X Copy Platinum 4.0.3
DVD X Rescue
DVDXCopy Platinum 4.0.3
EA.com Update
EasyCleaner
EasyCleaner
EAX Unified
FlatOut
Hattrick Buddy
Hattrick Coach Professional 2.6.20
Hattrick Forever 4.3.0.78
HijackThis 1.99.1
HP CRT Monitor INF Software 3.20
HT Ratings Calculator 2.5
HT Ratings Calculator 2.5 (C:\Program Files\HT Ratings\)
Indeo® Software
Logitech Gaming Software
Macromedia Shockwave Player
MaxBlast 3
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB886903)
Microsoft Data Access Components KB870669
Microsoft Office Professional Edition 2003
Microsoft Works 7.0
Mozilla Firefox (1.0.5)
MSXML 4.0 SP2 Parser and SDK
Music Visualizer Library 1.4.00
Nero OEM
Packard Bell InfoCentre
Paint Shop Pro 6.02 ESD
PowerDVD
Päivitys Windows XP:lle (KB898461)
SiSoftware Sandra Standard 2004 (Tweak Town Edition)
Sonic RecordNow DX
Spybot - Search & Destroy 1.3
Spyware Doctor 3.2
SpywareBlaster v3.4
Suojauspäivitys Windows XP:lle (KB883939)
Suojauspäivitys Windows XP:lle (KB890046)
Suojauspäivitys Windows XP:lle (KB896358)
Suojauspäivitys Windows XP:lle (KB896422)
Suojauspäivitys Windows XP:lle (KB896428)
Suojauspäivitys Windows XP:lle (KB901214)
Suojauspäivitys Windows XP:lle (KB903235)
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows Media Encoder 9 Series
Windows Media Encoder 9 Series
Windows Media Format 9 Series SDK
Windows Media Format Runtime
Windows Media Player 10
Windows Media Player 9:n Hotfix-korjauspäivitys [lisätietoja on artikkelissa KB885492]
Windows XP Hotfix - KB867282
Windows XP Hotfix - KB873333
Windows XP Hotfix - KB873339
Windows XP Hotfix - KB885250
Windows XP Hotfix - KB885835
Windows XP Hotfix - KB885836
Windows XP Hotfix - KB886185
Windows XP Hotfix - KB887472
Windows XP Hotfix - KB887742
Windows XP Hotfix - KB888113
Windows XP Hotfix - KB888302
Windows XP Hotfix - KB890047
Windows XP Hotfix - KB890175
Windows XP Hotfix - KB890859
Windows XP Hotfix - KB890923
Windows XP Hotfix - KB891781
Windows XP Hotfix - KB893066
Windows XP Hotfix - KB893086
Windows XP Service Pack 2
ZipGenius 5.5.1
ZoneAlarm


-------


PS. kone on ollut nyt puoli tuntia täysin normaali (monta koputusta puuhun!)

 

Allaolevat errorit escann äskettäin antoi. Noi errorit ovat aina tulleet aivan skannauksen alkuvaiheessa enkä siten nyt ruvennut odottamaan koko scannauksen läpivientiä, kun ei niitä aiemminkaan ole tuon enempää ollut.
-------

Thu Jul 21 18:10:24 2005 => ERROR!!! Invalid Entry C:\WINDOWS\System32\CTsvcCDA.exe in SYSTEM\CurrentControlSet\Services\Creative Service for CDROM Access...

Thu Jul 21 18:10:25 2005 => ERROR!!! Invalid Entry System32\DRIVERS\ctsfm2k.sys in SYSTEM\CurrentControlSet\Services\ctsfm2k...

Thu Jul 21 18:10:26 2005 => ERROR!!! Invalid Entry \??\C:\DOCUME~1\Gigantti\LOCALS~1\Temp\cusbohcn.sys in SYSTEM\CurrentControlSet\Services\cusbohcn...

Thu Jul 21 18:11:08 2005 => ERROR!!! Invalid Entry C:\VIRUSfighter\Nvc\BIN\nipsvc.exe in
SYSTEM\CurrentControlSet\Services\NipSvc...

Thu Jul 21 18:11:13 2005 => ERROR!!! Invalid Entry System32\DRIVERS\ctoss2k.sys in SYSTEM\CurrentControlSet\Services\ossrv...

Thu Jul 21 18:11:44 2005 => ERROR!!! Invalid Entry C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe in SYSTEM\CurrentControlSet\Services\SNDSrvc...

 

Heh, sehän on Winukalle jopa keskimääräistä paremmin

Kirjoita SUORITAikkunaan > services.msc > OK > tuplaklikkaa riviä Norman API-hooking helper > PALVELUNTILA kohdassa klikkaa SEIS >
KÄYNNISTYSTAPA kohdassa valitse EI KÄYTÖSSÄ > OK > sulje ikkuna.
teithän tämän jo Symantecin riville?(Oli jäänyt tuo viimeinen OK edellisestä ohjeesta pois, huomasitko?)

Fixaa sitten HjT:llä ne 023 rivit

Poista nuo kansiot kokonaan(tarvittaessa vikasiedossa)
C:\===>VIRUSfighter<===
C:\Program Files\Common Files\===>Symantec Shared<===
Sekä
C:\WINDOWS\system\===>RESTORE.INS<===
C:\Program Files\Mozilla Firefox\plugins\===>NPNd2fn.dll<===

Eipä noissa erroreissa taida mitään pahiksia olla.
Tyhjennä vielä kuitenkin tempit, nuo alemmat kaikissa käyttäjätileissä
C:\Temp
C:\Windows\Prefetch
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp

Käyttele ja testaile josko se nyt toimis

 

Ja normaali pelitys vain jatkuu...

Ok,tein noista viimeisimmässä viestissäsi laittamista kohdista kaiken minkä onnistuin tekemään. Norman API-hooking ja Symantec ovat PALVELUNTILAN kohdassa jo pysäytettyjä ts. niiden kohdalla ei voi klikata muuta kuin Käynnistä kohtaa eli en tehnyt niille sitten mitään. Yritän kuitenkin vielä myöhemmin fixata niitä sitten tuon HJT:n kautta.

Pöljänä on pakko kysyä kun en löytänyt C:\stä (Resurssienhallinta ja Etsi - ikkunoiden avulla)näitä VIRUSfighter ja Symantec Shared
(C:\===>VIRUSfighter<===
C:\Program Files\Common Files\===>Symantec Shared<===)kansioita, että mistä mä voin ne poistaa?

Temppien sisällöt tyhjensin paitsi tästä kohdasta C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp

Tuonne Tempin alle kun ylläolevasta kohdasta menin,niin sieltä löytyi vaikka mitä kansiota tyyliin Adobe, _ISTMP1.DIR, atmp, hsperfdata_Gigantti, ns_temp ja {47B59B2A-D59B-4953-8E95-FD29C5C46B49}

Voinko siis poistaa sisällön Tempin kustakin ylläolevasta alakansiosta vai poistanko myös nuo kaikki alakansiot...? (pöljänä taas on kysyttävä)

 

Niinpä tietysti ja Dou´h
eli kone meni taas sekasin sillä tavoin, että hiiren osoitinta on äärimmäisen hankala saada vieritettyä näytön oikean puolen suuntaan. Kone päästää aina yhden piippauksen kun hiiren osoitin jumittuu johonkin näytön kohdalle. Esiin nousee myös hyvin usein pikkuikkuna, joka kuuluu nousta esiin vain silloin, kun näyttöä klikataan hiiren oikealla puolella. Ongelma aktivoitui ollessani internetissä, sivustolla, jonka kohdalla ongelmat muistaakseni alunpitäinkin alkoivat mutta ongelma kyllä pysyy vaikka en olisikaan kirjoittautunut nettiin. Onko tää vain sattumaa että ongelma aktivoitui juuri ollessani nettiin kirjoittautuneena?

Outo homma, hemmetti vieköön.

 

Sitten ei Normannia eikä Symantecia enää siellä ole, eli se on kunnossa.

Ne Temp kansiot mitkä edellisessä viestissä neuvoin tyhjentämään voit huoletta tyhjentää(Kaikki pois ja vikasiedossa jos ei muuten lähde)

Boottaa kone jos se auttais, ellei niin eikun uudelleen putsaamaan.

 

Onko langaton hiiri?