Sponsored message - kuka näitä oikeasti lähettelee?

Lähes joka kerta kun käynnistän koneen, käynnistyy myös automaattisesti Interenet Explorer, joka ei edes ole oletusselain, ja näytölle ilmestyy IE:n ikkunaan otsikolla "Sponsored message" seuraava viesti:
ADVERTISEMENT



> Spyware or Adware may be damaging your computer.

> If you have downloaded music online or visited adult website, Spyware may be running
in your computer. Spyware may cause slow computer speeds, unwanted pop up ads or
personal identity theft.


> Click 'OK' to scan your PC now.


[ OK ]






AS A REWARD FOR VIEWING THIS AD WE WOULD LIKE TO OFFER YOU FREE PEERPOINTS TO REDEEM FOR THOUSANDS OF GREAT MUSIC TRACKS
THIS AD IS PROVIDED COURTESY OF ALTNET THROUGH THE ALTNET PEERPOINTS MANAGER.

 

Siis aina tuo sama viesti?

Sitten tuskin on viestinvälityspalvelu.

Mutta varmistetaan sekin.

Käynnistä -> suorita -> services.msc -> ok
Etsi listalta Viestinvälityspalvelu, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi ei käytössä.

Käynnistä kone uudelleen.

Jos ei auta, tee tämä:

Laita HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.

 

Viesti on joka kerta samanlainen, se tulee noin joka toinen päivä kun käynnistän koneen. 2 viikkoa on tullut, mutta ei koskaan aikaisemmin.

Ei löydy services.msc

Tässä HjT-loki, jos siitä jotain hyötyä olisi:
Logfile of HijackThis v1.99.1
Scan saved at 16:45:52, on 9.4.2006
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\OHJELMATIEDOSTOT\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2004\PSIMSVC.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\OHJELMATIEDOSTOT\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2004\APVXDWIN.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\OHJELMATIEDOSTOT\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\PROGRAM FILES\ALTNET\POINTS MANAGER\POINTS MANAGER.EXE
C:\WINDOWS\RunDLL.exe
C:\OHJELMATIEDOSTOT\WINZIP\WZQKPICK.EXE
C:\WINDOWS\FSSCRCTL.EXE
C:\OHJELMATIEDOSTOT\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2004\WEBPROXY.EXE
C:\OHJELMATIEDOSTOT\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\TYöPöYTä\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tpointernet.net/linkit/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://elisa.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja TPO
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.koti.tpo.fi:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.koti.tpo.fi;172.31.254.254;*.tpointernet.net;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\OHJELMATIEDOSTOT\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRAM FILES\RXTOOLBAR\SFCONT.DLL
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Ohjelmatiedostot\INSTAFINK\instafink.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\OHJELMATIEDOSTOT\NEED2FIND\BAR\1.BIN\ND2FNBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\OHJELMATIEDOSTOT\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\PROGRAM FILES\RXTOOLBAR\RXTOOLBAR.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Ohjelmatiedostot\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmatiedostot\Winamp\winampa.exe
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\RunServices: [PavProc] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Panda Software\PavShld\PavPrS9x.exe"
O4 - HKLM\..\RunServices: [PSIMSVC] "C:\Ohjelmatiedostot\Panda Software\Panda Titanium Antivirus 2004\PSIMSVC.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: WinZip Quick Pick.lnk = C:\Ohjelmatiedostot\WinZip\WZQKPICK.EXE
O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe
O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRAM FILES\RXTOOLBAR\SFCONT.DLL

 

Aivan, sulla ei ollut 2000/Xp, siitä johtuu.

Onhan siellä haittaohjelmia, juu

Onkohan koneella ollut joskus Kazaa? Nuo näyttävät näet sen "syöpäläiskokoelmalta".

Poista ohjauspaneelista (lisää/poista sovellus, jos on)

RXTOOLBAR
InstaFinderK tms.
Need2Find
P2P NETWORKING
AltnetPointsManager tms.

Fixaa HjT:llä (do a system scan only, merkkaa ja paina fix checked):

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRAM FILES\RXTOOLBAR\SFCONT.DLL
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Ohjelmatiedostot\INSTAFINK\instafink.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\OHJELMATIEDOSTOT\NEED2FIND\BAR\1.BIN\ND2FNBAR.DLL
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\PROGRAM FILES\RXTOOLBAR\RXTOOLBAR.DLL
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRAM FILES\RXTOOLBAR\SFCONT.DLL

Poista, jos löytyy:

C:\PROGRAM FILES\RXTOOLBAR
C:\Ohjelmatiedostot\INSTAFINK
C:\OHJELMATIEDOSTOT\NEED2FIND
C:\WINDOWS\SYSTEM\P2P NETWORKING
C:\Program Files\Altnet
C:\WINDOWS\web\related.htm

Käynnistä uudelleen.

Hae eScan -> http://koti.mbnet.fi/pattaya1/escanmwav.htm .
Asenna, päivitä, skannaa sivulla olevien ohjeiden mukaan. Lähetä sitten "örkkitulokset" tänne (ohje tuolla sivulla, alin kuva ja sen yläpuolella oleva teksti) sekä uusi HjT-loki

 

On ollu joskus koneella Kazaa, mutta siirryin käyttämään DC++aa.

Ei onnistunut skannaus, ainakaan se ei mennyt ihan niin kuin olisi pitänyt.
Poistin kaikki mitä löytyi ja fixasin noi ja hain eScanin ja päivitin sen. Se skannasi koko yön, eli ainakin 12 tuntia, eikä ollu löytänyt mitään örkkejä. Aamulla kuin lähdin töihin, jätin sen vielä skannaamaan ja nyt kun tulin töistä, oli koko kone niin jumissa, että ei toiminut edes ctrl alt del. Pistin virrat poikki ja käynnistin koneen. Nyt kone toimii ihan normaalisti, eikä tullut sitä viestiäkään.

Tässä uusi hjt-loki:
Logfile of HijackThis v1.99.1
Scan saved at 17:21:12, on 10.4.2006
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\OHJELMATIEDOSTOT\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2004\PSIMSVC.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\OHJELMATIEDOSTOT\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2004\APVXDWIN.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\OHJELMATIEDOSTOT\WINAMP\WINAMPA.EXE
C:\WINDOWS\RunDLL.exe
C:\OHJELMATIEDOSTOT\WINZIP\WZQKPICK.EXE
C:\WINDOWS\FSSCRCTL.EXE
C:\OHJELMATIEDOSTOT\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2004\WEBPROXY.EXE
C:\OHJELMATIEDOSTOT\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\OHJELMATIEDOSTOT\K-MELEON\K-MELEON.EXE
C:\OHJELMATIEDOSTOT\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://elisa.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja TPO
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.koti.tpo.fi:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.koti.tpo.fi;172.31.254.254;*.tpointernet.net;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\OHJELMATIEDOSTOT\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\OHJELMATIEDOSTOT\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Ohjelmatiedostot\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmatiedostot\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [PavProc] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Panda Software\PavShld\PavPrS9x.exe"
O4 - HKLM\..\RunServices: [PSIMSVC] "C:\Ohjelmatiedostot\Panda Software\Panda Titanium Antivirus 2004\PSIMSVC.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: WinZip Quick Pick.lnk = C:\Ohjelmatiedostot\WinZip\WZQKPICK.EXE
O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe

 

Loki on puhdas. Onhan tuo Panda vielä ajan tasalla, kun on 2004-versio(siis virustunnisteet)?

 

On Pandaa päivitetty, vaikka onkin vanha versio.
Nyt kun vähän testailin niin huomasin, että kyllä tämä kone toimii paremmin kuin ennen, joten kiitos siitä. Vähän kyllä ihmetyttää, että mikä tuossa scannauksessa meni vikaan.

 

Kone varmasti toimii paremmin, kun haittaohjelmat eivät ole käynnissä
Skannauksen pieleen menosta vaikea sanoa mitään, se voi johtua vaikka mistä.