Minulle pulpahtelee WARNING! -Microsoft Internet Explorer otsikolla ikkunoita joiden sisältö on tämän näköinen >Spyware may be damaging your computer >If you are experiencing unwanted POP UP ads, slow computer speeds, >or even computer crashes, your computer may be infected with spyware. >Click 'OK' to scan your computer, NOW. ja tässä on 'OK'-painike Vaihdoin selaimen Firefoxiin ja muuri on Kerio. Ei tunnu AdAwaresta, SpyBotista tai MS Antispywaresta löytyvän lääkettä, muurista low-prioritytkin on kielletty. Mitenkä näistä pääsee eroon?
Tässä meikäläisen loki. Que? Logfile of HijackThis v1.99.1 Scan saved at 16:46:48, on 18.7.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Norton Internet Security\ISSVC.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\MSI\Live Update 3\LMonitor.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\MSI\Core Center\CoreCenter.exe C:\Program Files\MSI\DigiCell\DigiCell.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\System32\svchost.exe C:\Hjt\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitebrd32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe O4 - Global Startup: DigiCell.lnk = C:\Program Files\MSI\DigiCell\DigiCell.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1FA2850B-A355-4AFB-B8B7-A8C82DAC7F23}: NameServer = 192.168.1.1 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
Nuo taitaa tulla viestinvälityksen kautta, tees näin Kirjoita SUORITA kohtaan SERVICES.MSC > (tuplaklikkaa)Viestinvälitys > Palveluntila kohdassa klikkaa SEIS Käynnistystapa kohdasta valitse > Ei Käytössä > OK. Sulje ikkuna. Lokissa on pari epäselvää riviä, tarkista allaoleva tiedosto tällä http://virusscan.jotti.org/ ja kerro mitä löytyi C:\windows\system32\elitebrd32.exe Ja tämä IP johtaa Hollantiin? Onko OK? O17 - HKLM\System\CCS\Services\Tcpip\..\{1FA2850B-A355-4AFB-B8B7-A8C82DAC7F23}: NameServer = 192.168.1.1
Eli nuo viestit tulee mikkisoftan piilottamasta messengeristä ja sen saa (en itse ole kokeillu) näin poies [bold]Windows Messenger kannattaa poistaa käytöstä kokonaan ja tarvittaessa tilalle voi asentaa MSN Messengerin (joka on siis täysin eri ohjelma). Windows Messengerin saa poistettua kirjoittamalla komentoriville (käynnistä - suorita) seuraavan rivin: RunDll32 advpack.dll,LaunchINFSection %windir%\inf\msmsgs.inf,BLC.Remove[/bold] ja myös sama toisella tavalla 1) Open a file named [bold]sysoc.inf[/bold] with Notepad or another text editor. This file can be found in a folder named INF, which is a subfolder of the Windows folder (or in some cases the winnt folder, depending on how your OS was installed). 2) Look for the following line: [bold]msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7 [/bold] and remove the word [bold]"hide"[/bold] while leaving the commas on place. Close and save the file. 3) Now open the Add/Remove Programs applet in the Control Panel, and you will be able to remove Windows Messenger like any other program. ja sen jälkeen pystyt poistamaan windows messengerin (ei siis MSN messenger) lisää poista valikosta. Lisäksi kannattaa käydä päivittämässä wintoosa!!! Eli itse olen poistanut windows messengerin tuolla jälkimmäisellä tavalla. Ei tule mitään ylimääräisiä poppi ruutuja koneelle ku on netissä. Pistetään vielä muutama rekisterin putsaus ohjelma http://personal.inet.fi/business/toniarts/ecleane.htm suomalainen http://home.tiscali.de/zdata/hdcleaner_e.htm saksalainen saa englanniksi ja myös poistettua windows messengerin ja muuta mikkisoftan spywarea.
Kiitoksia herroille avusta, em. toimenpiteet ovat nyt suoritetut ja jään odottamaan tuloksisa. Tosin toistaiseksi ei vielä ainuttakaan poppia toisin kuin puoli tuntia sitten---> 2min sisällä käynnistyksestä. Se IP josta Toymaatti mainitsi on turvallinen, ei mene Hollantiin.
Ja pystyt tarkistamaan jotta windows messenger on poissa päältä. Eli jotta varmasti ei tule niitä poppeja. Näin Käynnistä -> Suorita -> CMD -> OK -> ja siihen sitten postaat tän viestin [bold]net send 127.0.0.1 "test"[/bold] -> ENTER nyt pitäisi muurin reagoida (kenties), jos tulee vielä poppi ruutu niin suosittelen kokeilemaan sitä manuaalista messengerin poistoa tai hdcleaneria.
