Täällä taas uusi tietotekniikan ihmelapsi kaipaa viisaampien neuvoja! Ongelma seuraava, tänään ilmeni ensimmäisen kerran: avasin koneen, prosessori huutaa viimeistä päivää, ja windowsiin kirjautuminen kesti tuhottoman kauan. Toistin tämän useita kertoja, ja aina sama homma. Aiemmin ollut kolme kertaa puolen vuoden aikana sellainen vika, että yhtäkkiä käytön aikana näyttö menee valkoiseksi, eikä muu auta kuin koneen buuttaus. Vikasietotilassa kone toimi äsken normaalisti, ja ajoin siinä viime yönä päivitetyn eScanin läpi, eikä se löytänyt mitään paitsi "total number of errors: 2", ja siitä ei logiin tullut mitään mainintoja. Ad-Aware SE personal ei myöskään löytänyt mitään, eikä Ewidon anti malwarekaan. Eilen ajoin myös koneen oman virusskannerin Normanin ilman löydöksiä. Nyt kun pääsin normaalitilassa tänne nettiin, niin prosessori lopetti täysillä kierroksilla käyntinsä vasta kun pääsin tänne AfterDawnin sivuille. Eilen yöllä kävin koneen läpi Pandan online skannerilla, joka löysi jotain. En tosin niille ole uskaltanut ilman ammattiauttajaa tehdä mitään! Samoin ystäväni suositteleman Spy Sweeperin kanssa tutkin koneen, ja sekin löysi jonkun örkkelin. Sekin jäi rauhaan, sillä ohjelma vaan tutkii koneen. Ei kai näillä online skannauksilla voi olla vaikutusta asiaan? Jostain keskustelupalstalta muistan lukeneeni, että jollain oli kone mennyt pahemman kerran sekaisin niitä käytettyään. Ohessa kuitenkin se Pandan logi, Incident Status Location Adware:adware/p2pnetworking Not disinfected C:\WINDOWS\SYSTEM32\P2P Networking v126.cpl Spyware:application/bestoffer Not disinfected C:\WINDOWS\smdat32m.sys Potentially unwanted tool:application/myway Not disinfected HKEY_CLASSES_ROOT\CLSID\{66FC8717-EFA7-4546-8C4A-E224F3A80C76} Spyware:spyware/altnet Not disinfected Windows Registry Spyware:Cookie/Microsofte Not disinfected C:\Documents and Settings\”MÄ”\Cookies\a-p@microsofteup.112.2o7[1].txt Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\”MÄ”\Application Data\Mozilla\Firefox\Profiles\wgcjwuo4.default\cookies.txt[.tradedoubler.com/] Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\”MÄ”\Application Data\Mozilla\Firefox\Profiles\wgcjwuo4.default\cookies.txt[.doubleclick.net/] Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\”MÄ”\Application Data\Mozilla\Firefox\Profiles\wgcjwuo4.default\cookies.txt[] Spyware:Cookie/Microsofte Not disinfected C:\Documents and Settings\”MÄ”\Cookies\a-p@microsofteup.112.2o7[1].txt Adware:Adware/P2PNetworking Not disinfected C:\WINDOWS\system32\P2PNetworking v126.cpl Ja sitten vielä se Spy Sweeperin löydös, HKU\WRSS_PROFILE_S-1-5-21-3445796488-2583101042-2551043353-1008\SOFTWARE\INSTAFINK Ja vielä tämän romaanin jatkeeksi sellainen loppuhuipennus, että latasin juuri Spybotin Search & Destroyn, latasin päivitykset ja käynnistin. Tämä skannaus kesti tasan sekunnin, ja ilmoitus tuli, että onnittelut puhtaasta järjestelmästä? APUVA!
Laita HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne. Tuon P2P Networkingin voit jo valmiiksi poistaa lisää/poista sovellus-kohdasta (ohjauspaneeli).
No nyt on jo sellanen tilanne, ettei Hjt:n lataus ala ollenkaan. Yritin myös sieltä fcok:n linkkilistaltakin, mutta ei onnistu. Ja toi P2P Networking sanoi ohjauspaneelissa jotain seuraavanlaista, että ei onnistu, P2P ollaan mahdollisesti jo poistettu. Lisäksi tehtäväpalkissa Normanin virusohjelman päällä villkkuu rasti punasella pohjalla, 'Ajastin' ei ole käynnissä. Mutta Tietoturvakeskus kuitenkin ilmottaa, että palomuuri, virustorjunta ja päivitykset on kunnossa. Kannattaako kuitenkaan täällä netissä enää pyöriä? Alkaa täällä päässä näyttää epätoivoselta. Mitäs vois tehä, kaveri suositteli Windowsin uudelleenasennusta.. Ja miten se sitten tapahtuu, jos vaan jotain linkkejä on aiheeseen liittyen? Nyt sain Hjt:n ladattua, miksiköhän ei aiemmin suostunu? Logfile of HijackThis v1.99.1 Scan saved at 17:30:14, on 11.1.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Documents and Settings\A-P\Työpöytä\ewido anti-malware\ewidoctrl.exe c:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\NORMAN\Npf\BIN\NPFSVICE.EXE C:\NORMAN\bin\Zanda.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\taskmgr.exe C:\NORMAN\Nvc\BIN\nipsvc.exe C:\NORMAN\Nvc\bin\nvcoas.exe C:\NORMAN\bin\NJEEVES.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\System32\alg.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe C:\Program Files\WinTasks\wintasks.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\NORMAN\bin\ZLH.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Messenger\msmsgs.exe C:\NORMAN\Nvc\BIN\NIP.EXE C:\NORMAN\Nvc\bin\cclaw.exe C:\NORMAN\Npf\BIN\npfmsg2.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\DOCUME~1\"MÄ"\LOCALS~1\Temp\Tilapäinen kansio 1 hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [WinTasks Traybar] C:\Program Files\WinTasks\wintasks.exe traybar O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\bin\ZLH.EXE /LOAD /SPLASH O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by10fd.bay10.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131807008248 O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4624/mcfscan.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\"MÄ"\Työpöytä\ewido anti-malware\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\bin\NJEEVES.EXE O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Npf\BIN\NPFSVICE.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\NORMAN\bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Loki on kyllä puhdas. Ole varmaan ajanut jo ewidon, niin aja seuraavaksi eScan. Tämän hakemiston voit poistaa ennen sitä, jos löytyy: C:\WINDOWS\SYSTEM32\==>P2P Networking<== Hae eScan -> http://koti.mbnet.fi/pattaya1/escanmwav.htm . Asenna, päivitä, skannaa sivulla olevien ohjeiden mukaan. Lähetä sitten "örkkitulokset" tänne (ohje tuolla sivulla, alin kuva ja sen yläpuolella oleva teksti).
eScanista ei tullut örkkituloksia, ainoastaan "Total number of errors: 1", mitä lie tarkoittaa? Tosiaan muistin että laitteistoni valmistajalla on puhelintuki jonne sitten soitin. Palautettiin siinä yhdessä tuumin järjestelmäni toissapäiväiseen tilanteeseen, ja ongelma hävisi ainakin toistaiseksi. Tuhannet kiitokset kuitenkin [bold]-kemistille-[/bold] nopeasta toiminnasta ja asiaan paneutumisesta! P.S. Noille Pandan ja Spy Sweeperin muille löydöksille ei siis tehdä mitään? P.P.S. eScan ilmoitti tarkastaneensa n. 50 000 tiedostoa, kun taas ewido n. 250 000 tiedostoa, onko tällä käytännön merkitystä?
Tämän hakemiston voit poistaa, jos löytyy: C:\WINDOWS\SYSTEM32\==>P2P Networking<== Ja tämän tiedoston: C:\WINDOWS\==>smdat32m.sys<== Olivatko eScanin skannausasetukset kuvan mukaiset?
Kuvan mukaiset olivat rukseja myöten. Ainoastaan Scan nappulassa luki Scan clean, joka ei varmastikaan vaikuta asiaan? Ja skannaukseen meni hiukan alle tunti. Ja nyt huomasin, että Documents and Settings kansioon on tullut kaksi uutta kansiota "Järjestelmänvalvoja" ja "Omistaja", omien käyttäjätilien lisäksi. Kyseiset tilit eivät näy Ohajuspaneelin Käyttäjätileissä. Ovatko seurausta siitä, että käytin konetta aiemmin vikasietotilassa? Niin sellainen vielä, kun Ewido ilmoittaa, että scanned objects, ja eScan, että scanned files. Näillä siis ilmeisesti joku ero - kun en ole mikään nero?
Saman minkä Pandakin eilen löysi, niin nyt Ewido siivosi: :mozilla.13:C:\Documents and Settings\"MÄ"\Application Data\Mozilla\Firefox\Profiles\wgcjwuo4.default\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup Miten sen eScanin kanssa, onkohan siinä asetukset jotenkin päin mäntyä, kun Ewido tarkastaa enemmän?
Kiitos vielä kerran! Se puhelintukimies muuten epäili, että oon ladannu koneelle jotain mikä laitto järjestelmän sekasin, ehkäpä juuri sen Pandan online skannerin takia.. Tiedä häntä, mutta nyt on ainakin loppupäivästä kone toiminu niinkuin ennenkin.
Sori mutta nyt tulee vähän mutu vastaus. Mulla oli Normannin kanssa samanlainen ongelma, että prossu huuti 100% koko ajan. Mulla vika poistui vasta kun asensin Normanin uudestaan. Normanniin tuli joku isompi päivitys ja se pisti prossun kyykkyyn. Jos vika uusiutuu niin kokeile asentaa Norman uudestaan. Jos tarviit apuja siihen niin neuvotaan sitten.
Jep! Tällä kertaa ei ilmeisesti ollu siitä kiinni. Silloin joskus kun en ymmärtäny käyttää muuta virusohjelmaa kuin valmiiksi asennettua Normania, niin jouduin kyseisen operaation tekemään, kun eräs kaunis päivä koko Normanin palomuuri oli koneelta kadonnut. Ei auttanu edes asennus cd, sillä siinä oli vanha versio, joka ei sitten ohjeista huolimatta halunnut päivittyä - tarkoitan tässä nyt niitä päivämäärien vaihtosessioita yms. kivaa. Onneksi sen sai netistä ladattua uudestaan. No mutta, en kyllä enää viitsi sillä Pandalla sutasta, tuntuu antavan mun koneelle liian jykevän tujauksen! =)
Minusta ongelma ei voi johtua pandasta ja konehan oli jo enne sitä käyttäytynyt oudosti. Itsekkin tuota pandan online scanneria pari kertaa kokeillut mitään löytämättä mutta myös mitää sekoittamatta koneessa. Tuosta ewidosta muuten tein oppaan ja saattaa olla toki tuo pikku asetuksien säätö paikallaan eli "Scan every file" asetuksista päälle. -> http://keskustelu.afterdawn.com/thread_view.cfm/269186
