Troijalainen edelleen koneessa?

Discussion in 'Virukset ja haittaohjelmat' started by Sulake, Jan 6, 2006.

  1. Sulake

    Sulake Member

    Joined:
    Jan 6, 2006
    Messages:
    6
    Likes Received:
    0
    Trophy Points:
    11
    Terve,

    olen yrittänyt poistaa koneeltani löytyneitä viruksia/troijalaisia Avastilla sekä Ad-Awarella, mutta poistamisesta ei näytä olevan apua, sillä uusia löytyy jatkuvasti. Ilmeisesti HJT-login korjaaminen saattaisi auttaa, mutta koska itse olen kädetön koneen kanssa, voisiko joku asiantuntija antaa vinkkiä, onko ja mitä korjattavaa:

    Logfile of HijackThis v1.99.1
    Scan saved at 23:23:24, on 6.1.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\atiptaxx.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Compaq\EAB\EabServr.exe
    C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\system32\atlyh.exe
    C:\WINDOWS\msaq.exe
    C:\Program Files\Imuroidut ohjelmat\HijackThis.exe
    C:\WINDOWS\system32\NOTEPAD.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Class - {67878067-8C35-4F5D-4D85-1A13C5E41DE1} - C:\WINDOWS\system32\ipjp32.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Class - {A967AA18-10D5-977A-8493-7B3F21F3DE9E} - C:\WINDOWS\iebw32.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
    O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
    O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [iptj32.exe] C:\WINDOWS\system32\iptj32.exe
    O4 - HKLM\..\Run: [158.tmp] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
    O4 - HKLM\..\Run: [158.tmp.exe] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [crba.exe] C:\WINDOWS\crba.exe
    O4 - HKLM\..\Run: [winiz.exe] C:\WINDOWS\system32\winiz.exe
    O4 - HKLM\..\Run: [msaq.exe] C:\WINDOWS\msaq.exe
    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\atlyh.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Program Files\Sygate\SPF\Smc.exe (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
     
    Sulake, Jan 6, 2006
    #1
  2. spertti

    spertti Active member

    Joined:
    Jun 1, 2005
    Messages:
    1,222
    Likes Received:
    0
    Trophy Points:
    66
    Nyt on kyllä koneessa örkkejä.....

    Fixaa nämä HjT:lla ( Do a system scan only ) Sulje selain ennenkuin painat fix checked.

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    O2 - BHO: Class - {67878067-8C35-4F5D-4D85-1A13C5E41DE1} - C:\WINDOWS\system32\ipjp32.dll
    O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe
    O4 - HKLM\..\Run: [iptj32.exe] C:\WINDOWS\system32\iptj32.exe
    O4 - HKLM\..\Run: [158.tmp] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
    O4 - HKLM\..\Run: [158.tmp.exe] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
    O4 - HKLM\..\Run: [crba.exe] C:\WINDOWS\crba.exe
    O4 - HKLM\..\Run: [winiz.exe] C:\WINDOWS\system32\winiz.exe
    O4 - HKLM\..\Run: [msaq.exe] C:\WINDOWS\msaq.exe
    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
    O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\atlyh.exe

    Laita piilotiedostot näkyviin, ohje ->
    http://keskustelu.afterdawn.com/thread_view.cfm/248944

    Hae Ewido > http://keskustelu.afterdawn.com/thread_view.cfm/269186 asenna ja päivitä, mutta älä aja vielä

    Hae eScan > http://koti.mbnet.fi/pattaya1/escanmwav.htm asenna ja päivitä, mutta älä aja sitäkään vielä.

    Hae smitrem täältä -> http://noahdfear.geekstogo.com/click counter/click.php?id=1
    Tallenna työpöydälle ja tuplaklikkaa sitä, jolloin se luo smitRem-kansion työpöydälle.

    Käynnistä vikasietotilaan (paina F8 käynnistyksen yhteydessä, kunnes tulee valikko. Valitse valikosta vikasietotila)

    Avaa smitRem-kansio ja tuplaklikkaa RunThis.bat. Seuraa ohjeita. Käynnistä kone uudestaan,

    Käynnistä uudelleen vikasietotilaan.

    Scannaa Ewidolla ja eScanilla vikasietotilassa

    Poista nämä vielä jos löytyy:
    C:\WINDOWS\================>dbbtn.dll<==========
    C:\WINDOWS\system32\=======>ipjp32.dll<=========
    C:\WINDOWS\================>services.exe<=======
    C:\WINDOWS\system32\=======>iptj32.exe<=========
    C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\<=========Tyhjennä tuo Temp kansio, älä siis poista koko kansiota
    C:\WINDOWS\================>crba.exe<===========
    C:\WINDOWS\system32\=======>winiz.exe<==========
    C:\WINDOWS\================>msaq.exe<===========
    C:\========================>winstall.exe<=======
    C:\WINDOWS\system32\=======>atlyh.exe<==========

    Käynnistä kone uudestaan, lähetä uusi HjT-loki ja c:\smitfiles.txt-tiedoston sisältö sekä Ewidon ja eScanin örkkitulokset.
     
    Last edited: Jan 6, 2006
    spertti, Jan 6, 2006
    #2
  3. -kemisti-

    -kemisti- Active member

    Joined:
    Jun 6, 2005
    Messages:
    6,305
    Likes Received:
    0
    Trophy Points:
    96
    @spertti: Sori, mutta toi on cws/hs eikä smitfraud :) Mä hoidan tän.
    Siellä on kyllä yks smithfraudin filu, mutta se lähtee muutenkin

    @Sulake:

    Laita piilotiedostot näkyviin -> http://keskustelu.afterdawn.com/thread_view.cfm/248944

    Hae CWShredder täältä -> http://www.intermute.com/spysubtract/cwshredder_download.html

    Päivitä, mutta älä käytä sitä vielä

    Hae aboutbuster -> http://koti.mbnet.fi/pattaya1/aboutbuster.htm , päivitä se, mutta älä käytä sitäkään vielä.

    Hae Registrar Lite -> http://www.resplendence.com/reglite/ ja asenna se hakemistoon C:\Program Files\RegLite\ .


    Lataa ja asenna Ewido -> http://www.ewido.net/en/download/
    Päivitä se, mutta älä käytä vielä.


    Käynnistä vikasietotilaan (F8 käynnistyksen yhteydessä)

    Sammuta prosessit tiedostojenhallinnasta:

    atlyh.exe
    msaq.exe

    Poista seuraavat tiedostot, jos löytyy:

    C:\WINDOWS\dbbtn.dll
    C:\WINDOWS\services.exe
    C:\WINDOWS\system32\iptj32.exe
    C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
    C:\WINDOWS\crba.exe
    C:\WINDOWS\system32\winiz.exe
    C:\WINDOWS\msaq.exe
    C:\winstall.exe
    C:\WINDOWS\system32\atlyh.exe

    Sitten sulje kaikki ohjelmat ja käynnistä hijackthis. Merkkaa nämä ja klikkaa fix checked:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dbbtn.dll/sp.html#75371%resultposition.net
    O2 - BHO: Class - {67878067-8C35-4F5D-4D85-1A13C5E41DE1} - C:\WINDOWS\system32\ipjp32.dll
    O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe
    O4 - HKLM\..\Run: [iptj32.exe] C:\WINDOWS\system32\iptj32.exe
    O4 - HKLM\..\Run: [158.tmp] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
    O4 - HKLM\..\Run: [158.tmp.exe] C:\DOCUME~1\TOMIEL~1\LOCALS~1\Temp\158.tmp.exe
    O4 - HKLM\..\Run: [crba.exe] C:\WINDOWS\crba.exe
    O4 - HKLM\..\Run: [winiz.exe] C:\WINDOWS\system32\winiz.exe
    O4 - HKLM\..\Run: [msaq.exe] C:\WINDOWS\msaq.exe
    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
    O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\atlyh.exe

    Sitten sammuta tuo cws/hs:n service: Käynnistä -> suorita -> services.msc -> ok. Etsi listalta Remote Procedure Call (RPC) Helper, tuplaklikkaa, paina seis ja valitse käynnistymistavaksi "ei käytössä".

    SULJE KAIKKI IKKUNAT paitsi CWShredder

    Aja ohjelma painamalla fix ja anna korjata kaikki mitä löytää.

    Skannaa aboutbusterilla kaks kertaa ja säästä loki.

    Skannaa ewidolla ja anna poistaa, mitä löytyy. Tallenna loki ja postita se tänne.

    Käynnistä kone normaalisti

    Postita hijackthisin, aboutbusterin ja ewidon lokit.
     
    Last edited: Jan 7, 2006
    -kemisti-, Jan 7, 2006
    #3
  4. Sulake

    Sulake Member

    Joined:
    Jan 6, 2006
    Messages:
    6
    Likes Received:
    0
    Trophy Points:
    11
    Kiitokset neuvoista. Fixasin neuvomanne rivit logista ja nyt HJT-logi näyttää tältä:

    Logfile of HijackThis v1.99.1
    Scan saved at 22:17:59, on 9.1.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\atiptaxx.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Compaq\EAB\EabServr.exe
    C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\ewido anti-malware\ewidoguard.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Imuroidut ohjelmat\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
    O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Program Files\Sygate\SPF\Smc.exe (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Valitettavasti en saanut ewidon logia, koska jostain syystä ajo keskeytyy aina muistia tutkittaessa. Kone on edelleen todella hidas ja ilmeisesti jotakin (muutakin kuin koneen vanhanaikaisuus) on edelleen pielessä.
     
    Sulake, Jan 9, 2006
    #4
  5. ratnunter

    ratnunter Regular member

    Joined:
    Jun 9, 2005
    Messages:
    131
    Likes Received:
    0
    Trophy Points:
    26
    kerroppa minkä kansion kohdalla ewido kaatuu ?

     
    ratnunter, Jan 9, 2006
    #5
  6. Sulake

    Sulake Member

    Joined:
    Jan 6, 2006
    Messages:
    6
    Likes Received:
    0
    Trophy Points:
    11
    ewido pysähtyy aina 18,1% kohdalla, jolloin scannataan muistia. Tiedosto on [524] VM_7FFE0000. Pian pysähtymisen jälkeen prosessorin käyttö on 100% eikä lakkaa ennen koneen sammuttamista. Olisiko vinkkejä?
     
    Sulake, Jan 10, 2006
    #6
  7. ratnunter

    ratnunter Regular member

    Joined:
    Jun 9, 2005
    Messages:
    131
    Likes Received:
    0
    Trophy Points:
    26
    hmm tapahtuuko toi normaalitilassa?
    jos tapahtuu niin buuttaa vikasietoon ja koita uudestaan
    avasti skannaa myös muistia, ja kaks skanneria yhtä aikaa voi olla liikaa

    toisaalta kyse voi olla örkistäkin, mut koita ensin tota vikasietoa
     
    ratnunter, Jan 10, 2006
    #7
  8. Sulake

    Sulake Member

    Joined:
    Jan 6, 2006
    Messages:
    6
    Likes Received:
    0
    Trophy Points:
    11
    Kone on edelleen erittäin hidas, mutta missäköhän on vika?

    ewidon skannaus keskeytyy muistia tutkittaessa sekä normaali- että vikasietotilassa. Muut paitsi muistin skannauksen tulos on tässä:

    + Created on: 15:58:14, 15.1.2006
    + Report-Checksum: A8FF02F8

    + Scan result:

    HKLM\SOFTWARE\Classes\CLSID\{676575DD-4D46-911D-8037-9B10D6EE8BB5} -> Spyware.CoolWebSearch : Cleaned with backup
    HKLM\SOFTWARE\Classes\CLSID\{763FC5CF-92D8-A8BE-597E-1C53C8D18D56} -> Spyware.CoolWebSearch : Cleaned with backup
    :mozilla.29:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
    :mozilla.32:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
    :mozilla.33:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
    :mozilla.39:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Adtech : Cleaned with backup
    :mozilla.40:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Adtech : Cleaned with backup
    :mozilla.51:C:\Documents and Settings\Tomi Eloluoto\Application Data\Mozilla\Firefox\Profiles\7mxncn42.default\cookies.txt -> Spyware.Cookie.Atdmt : Cleaned with backup
    C:\Program Files\SpySheriff -> Spyware.SpySheriff : Cleaned with backup
    C:\Program Files\SpySheriff\SpySheriff.exe -> Spyware.SpySheriff : Cleaned with backup
    C:\Program Files\SpySheriff\Uninstall.exe -> Spyware.SpySheriff : Cleaned with backup


    ::Report End



    Tässä on vielä viimeiset HJT-tiedot. Onkohan siinä jotain ongelmaa:


    Logfile of HijackThis v1.99.1
    Scan saved at 20:33:00, on 15.1.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\system32\atiptaxx.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Compaq\EAB\EabServr.exe
    C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Imuroidut ohjelmat\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
    O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


    Kiitoksia taas neuvoista!
     
    Sulake, Jan 15, 2006
    #8
  9. -kemisti-

    -kemisti- Active member

    Joined:
    Jun 6, 2005
    Messages:
    6,305
    Likes Received:
    0
    Trophy Points:
    96
    Fixaa:

    R3 - Default URLSearchHook is missing

    Hae eScan -> http://koti.mbnet.fi/pattaya1/escanmwav.htm .
    Asenna, päivitä, skannaa sivulla olevien ohjeiden mukaan. Lähetä sitten "örkkitulokset" tänne (ohje tuolla sivulla, alin kuva ja sen yläpuolella oleva teksti).
     
    -kemisti-, Jan 15, 2006
    #9
  10. Sulake

    Sulake Member

    Joined:
    Jan 6, 2006
    Messages:
    6
    Likes Received:
    0
    Trophy Points:
    11
    Fixasin rivin R3 - Default URLSearchHook is missing.

    eScan ei löytänyt viruksia.
     
    Sulake, Jan 15, 2006
    #10
  11. -kemisti-

    -kemisti- Active member

    Joined:
    Jun 6, 2005
    Messages:
    6,305
    Likes Received:
    0
    Trophy Points:
    96
    Nuo voit vielä fixata, jos haluat:

    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
     
    -kemisti-, Jan 15, 2006
    #11
  12. Sulake

    Sulake Member

    Joined:
    Jan 6, 2006
    Messages:
    6
    Likes Received:
    0
    Trophy Points:
    11
    Kone toimii nyt normaalisti. Suuret kiitokset kaikille avustanne!
     
    Sulake, Jan 16, 2006
    #12
  13. spertti

    spertti Active member

    Joined:
    Jun 1, 2005
    Messages:
    1,222
    Likes Received:
    0
    Trophy Points:
    66
    Poista tuo kansio vielä
    Saattaa vaatia poiston vikasietotilassa, jos ei muuten lähde.

    C:\Program Files\=======>SpySheriff<==========
     
    spertti, Jan 16, 2006
    #13
  14. oksidi

    oksidi Guest

    on siinä kyllä ilmeesesti tyypillä ollu mönkiäistä no hyvä kun sai hommat reilaan
     
    oksidi, Feb 16, 2006
    #14
  15. mawdrgn

    mawdrgn Regular member

    Joined:
    Jan 2, 2006
    Messages:
    469
    Likes Received:
    0
    Trophy Points:
    26
    Tuon eWidon kanssa sen verran, että minulla se kerran kesti kuusi tuntia(!) skannata. Se roikkui jossain 2.0 % kohdalla todella pitkään, ja eteni harppauksittain. Taisi jäädä 32% [bold]todella[/bold] pitkäksi aikaa =)

    Mutta kyllä se skannin loppuun asti veti, kun antoi rouskuttaa.
     
    mawdrgn, Feb 16, 2006
    #15

Share This Page