Koneella ilmeni sellainen ongelma, että välillä satunnaisesti ruutuun tulee ilmoitus että minuutin päästä konee sammuu johtuen services.exen odottamattomasta sulkeutumisesta. Olen ajanut virustorjunnat jne, eikä ongelma ole korjaantunut, enkä uskokkaan että tässä on haittaohjelmasta kyse. Käyttöjärjestelmä on windows 2000, ja löysin microsoftin tukisivuilta tämmösen ohjeen: http://support.microsoft.com/default.aspx?scid=kb;en-us;318447 En kuitenkaan löydä rekisteristä tuommoista avainta, vain kansioita. Onko kenelläkään ollut vastaavanlaista ongelmaa? EDIT: Sen verran olen perehtynyt, että tälläisen ongelman pitäisi ilmestyä mikkisoftan mukaan vain vanhemmilla Service Packeillä, mutta minulla on kyllä uusin service pack ja kaikki päivitykset asennettuna.
BitDefenderillä (maksullisella). Mutta en usko että kyseessä olisi haittaohjelma, pikemminkin paha järjestelmävirhe. EDIT: on se siellä system32 kansiossa. Tämä tapaus muistuttaa sitä virusta, joka tunkeutuu juuri tuohon services.exeen, mutta prosesseissa ei näy toista services.exeä, mikä pitäisi näkyä jos olisi kyseessä tuo virus
Laita hijackthis-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe Tallenna vaikka c:\hjt-hakemistoon, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.
Windowsin uudelleenasentaminen olisi se viimeinen keino, olisi kiva saada korjattua ilman tuota raskasta toimenpidettä
Juu sori en päässy koneelle vasta kun nyt Eli tässä: Logfile of HijackThis v1.99.1 Scan saved at 13:48:16, on 30.9.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\WINNT\System32\svchost.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe C:\SMC\SMC.exe C:\Program Files\Softwin\BitDefender9\bdoesrv.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\system32\mapiicon.exe C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe C:\Program Files\Softwin\BitDefender9\vsserv.exe c:\progra~1\softwin\bitdef~1\bdmcon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Marko\Työpöytä\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=83556 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=83556 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yle.fi/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=83556 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=83556 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ADSL_A2] A2Installed O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SMC] C:\SMC\SMC.exe O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe" O4 - HKLM\..\Run: [MS Sys Security] mswin.pif O4 - HKLM\..\RunServices: [MS Sys Security] mswin.pif O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MS Sys Security] mswin.pif O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif O4 - Global Startup: ADSL Diagnostic Tools.LNK = C:\WINNT\system32\mapiicon.exe O4 - Global Startup: Digimax Viewer 2.1.lnk = C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127992564704 O17 - HKLM\System\CCS\Services\Tcpip\..\{8242D1F1-E704-4878-8592-1FD255BBDB83}: NameServer = 193.210.18.18,193.210.19.19 O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Fixaa seuraavat: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=83556 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=83556 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=83556
Ensin siirrä HjT omaan kansioon C:n juureen noin C:\HjT\HijackThis.exe Laita piilotiedostot näkyviin http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339 Kirjoita SUORITA kenttään SERVICES.MSC > OK, tuplaklikkaa riviä > Microsoft SSL (ssl) < PALVELUNTILA kohdassa klikkaa SEIS ja KÄYNNISTYSTAPA kohdassa valitse EI KÄYTÖSSÄ, sulje ikkuna. Merkka nuo HjT:ssä, sulje selain ja muut ikkunat, klikkaa FIX R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=83556 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=83556 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=83556 O4 - HKLM\..\Run: [MS Sys Security] mswin.pif O4 - HKLM\..\RunServices: [MS Sys Security] mswin.pif O4 - HKCU\..\Run: [MS Sys Security] mswin.pif O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe Poista tuo C:\WINNT\system32\===>ssl.exe<=== Käynnistä kone uudelleen, kokeile ja testaile josko toimisi kunnolla ja laita vielä uusi HjT loki. Editoista vielä mswin.pif jos se löytyy, käytä ETSI toimintoa mutta se on todennäköisesti C:\WINNT\system32 kansiossa
Juu kokeilen tuota kun pääsen koneelle (vasta maanantaina). Mutta kiitos kaikille jotka jaksoitte auttaa!