Joo eli tuli avattua tiedosto josta koneeseen tuli örkkejä. Ad-aware ja spybot on kahteen kertaan ajettu läpi ja virus ohjelmakin on ajettu. Örkkien poiston jälkeen käynnistin koneen ja ihmettelin kun tuulettimet huutaa täysillä ja katoin tehtävien hallintaa niin huomasin, että svchost.exe vetää prossun käytön 100%. Kokeilin lopettaa prosessin ja suorittimen käyttö tippui heti 0%. Onkohan koneessa vielä örvelöitä vai onko wintoosa jo niin sekaisin että uudelleen asennus on edessä? Eli kone on kannettava p4 2,8 ja käyttis windows xp pro sp2. tässä vielä ht loki: Logfile of HijackThis v1.99.1 Scan saved at 6:35:42, on 30.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\DATAAP~1\BEYOND~1\BRServer.exe C:\Program Files\Kerio\Personal Firewall\persfw.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fi/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fi/Default.asp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.msn.fi/Default.asp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {5BDBD95C-1E7F-4FB1-8497-20AF879F8B68} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fi/filesharingctrl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1097690692611 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002\InstBanr.ocx O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Program Files\AutoCAD 2002\InstFred.ocx O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zuma/popcaploader_v6.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: MsgPlusLoader.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: Beyond Remote Server - Data Apples Corporation - C:\PROGRA~1\DATAAP~1\BEYOND~1\BRServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-palvelu (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE (file missing) O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Ad-aware ja spybot on niin paskoja että ei ihmekkä jos sulla kone killittää xD lataa microsoft antispyware ennemmin itelles ja pidä YKS ohjelma koneessa...
Fixaa halusi mukaan, nuo käynnistyvät turhaan(hjt, do a system scan only , merkkaa, sulje muut ohjelmat,paina fix cheked ): O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime Mitään kovin pahaa en tuosta löytänyt. aja ewido -> http://www.ewido.net/en/download/ Päivitä, aja koko kone läpi, poista mitä löytää ja postita sen raportti tänne! Ad-aware ja spybot ovat kyllä turhan heikkoja. Muista kuitenkin pitää koneella 2-3 antispyware softaa. 1 antivirus ja 1 palomuuri. Spyware/Virus ohjelmilla tehty testi tuolla: http://www.virustorjunta.net/modules.php?name=Forums&file=viewtop...
Nonii ajoin ewidon ja edelleen prossunkäyttö on 100% vaikka ei mitään tee... Taitaa Wintoosa olla ihan sekasin. Nooh sais nyt jotenki toimii vähäks aikaa ku joululomalla formatoin levyn ja laitan kaikki uusiks... Löyty 10 kpl örkkejä... tossa reportti: -------------------------------------------------------- ewido security suite - Scan report --------------------------------------------------------- + Created on: 14:06:02, 1.12.2005 + Report-Checksum: B9217744 + Scan result: :mozilla.25:C:\Documents and Settings\Henry\Application Data\Mozilla\Firefox\Profiles\actaajpv.default\cookies.txt -> Spyware.Cookie.fusk-access : Cleaned with backup :mozilla.34:C:\Documents and Settings\Henry\Application Data\Mozilla\Firefox\Profiles\actaajpv.default\cookies.txt -> Spyware.Cookie.Serving-sys : Cleaned with backup :mozilla.35:C:\Documents and Settings\Henry\Application Data\Mozilla\Firefox\Profiles\actaajpv.default\cookies.txt -> Spyware.Cookie.Serving-sys : Cleaned with backup :mozilla.36:C:\Documents and Settings\Henry\Application Data\Mozilla\Firefox\Profiles\actaajpv.default\cookies.txt -> Spyware.Cookie.Serving-sys : Cleaned with backup :mozilla.37:C:\Documents and Settings\Henry\Application Data\Mozilla\Firefox\Profiles\actaajpv.default\cookies.txt -> Spyware.Cookie.Serving-sys : Cleaned with backup C:\Lataus\Anti-MSOPA.exe/Anti-MSOPA.exe -> Trojan.Agent.jh : Cleaned with backup C:\Lataus\Anti-MSOPA_1-3.zip/Anti-MSOPA.exe/Anti-MSOPA.exe -> Trojan.Agent.jh : Cleaned with backup C:\Program Files\Spybot - Search & Destroy\Includes\Hosts.sbs -> Trojan.Qhost.ew : Cleaned with backup C:\WINDOWS\Downloaded Program Files\popcaploader.dll -> Not-A-Virus.PornWare.PopCap.b : Cleaned with backup C:\WINDOWS\kl.exe -> TrojanDownloader.Small.byf : Cleaned with backup ::Report End
@Henry1979: Sulla oli qhost koneella, niin tee näin: Hae hoster -> http://www.funkytoad.com/download/hoster.zip Pura zippi ja tuplaklikkaa hoster.exe Paina "Restore original hosts" ja ok.
Joo ei auttanu hosterikaan tohon suoritin käyttöön. Ei kai tässä muuta vaihto ehtoa ole kun pistää kovo sileeks ja pränikkä käyttis tilalle. Vai laittasko linuxin... Voishan sitäki testata kun kerran uusiks kaikki. mut kiitti avusta / vinkeistä!
mahtaiskohan winukan korjausasennus olla myös ensin kokeilemisen arvoinen, aoinakin tiedostot säilyvät windowsin kompponentteja lukuunottamatta. ja hyvä ainakin hetki todella kokeilla linuxia
joo saishan tolla korjaus asennuksella ehkä vähäks aikaa käytettävän wintoosan. Mut katotaan nyt teenkö sitä... Latasin jo Mandriva 2006:sen ja viikonloppuna ois tarkotus heittää se kehiin. Saa nähä miten ukon käy kun en ole koskaan nähny linuksia ruudulta edes... : )
