Eli siis, koneella on trojania yms. paskaa ja paljon onkin. Mutta pitäisi päästä eroon. Monella ohjelmalla oon koittanut päästä näistä eroon mutta ei niin ei. HJT on kait ratkaisu, mutta tarvin tosiaan apua. Tässäpä logi: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {25DE4583-4C13-47A2-A6C4-CB8ADEBDA93B} - C:\WINDOWS\System32\blnb.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU) O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab O16 - DPF: {563EC66E-5A1B-51D2-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/pop03.chm::/MegaInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1098441386310 O18 - Filter: text/html - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll O18 - Filter: text/plain - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
Oho, ei tullut ihan kokonaan. Tuo alku siis on tässä: Logfile of HijackThis v1.99.1 Scan saved at 15:15:29, on 3.5.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\System32\msole32.exe C:\WINDOWS\popuper.exe C:\WINDOWS\System32\sstray.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\Wtablet\TabUserW.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\intmonp.exe C:\WINDOWS\System32\Tablet.exe C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Opera76\opera.exe C:\Program Files\Winamp\winamp.exe C:\hijackthis\HijackThis.exe Kiittelen jo heti kättelyssä
No onhan tuolla örkki poikineen, tiedätkö muuten miksi näin on päässyt käymään? Syy on örkinmentäviä reikiä täynnä oleva käyttöjärjestelmä(XP), koska siellä ei ole ainuttakaan PÄIVITYSTÄ!! Laita piilotiedostot näkyviin http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339 Laita Ad-Awaren Ad-Watch manuaalikäytölle ja anna sille lupa tehdä muutokset puhdistuksen aikana, jos se niitä kyselee. Hae RegSeeker rekisterin puhdistus ohjelma(Languages napista saat sen Suomenkieliseksi) http://www.hoverdesk.net/freeware.htm Hae se.dll fixaustyökalu ja pura se työpöydälle http://www.derbilk.de/SpSeHjfix112.zip Käynnistä ohjelma, ja kone käynnistyy uudelleen. Mene VIKASIETOTILAAN(painele F8 käynnistyksen aikana) Sammuta nuo prosessit tehtävienhallinnasta jos löytyvät(Ctrl+Alt+Delete) msole32.exe popuper.exe intmonp.exe Scannaa HjT:llä, laita merkki noiden eteen, sulje muut ikkunat ja klikkaa Fix R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {25DE4583-4C13-47A2-A6C4-CB8ADEBDA93B} - C:\WINDOWS\System32\blnb.dll O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file) O9 - Extra button: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU) O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab O16 - DPF: {563EC66E-5A1B-51D2-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/pop03.chm::/MegaInstaller.exe O18 - Filter: text/html - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll O18 - Filter: text/plain - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll Etsi ja poista nuo C:\WINDOWS\System32\===>msole32.exe<=== C:\WINDOWS\===>popuper.exe<=== C:\WINDOWS\System32\===>intmonp.exe<=== C:\WINDOWS\System32\===>blnb.dll<=== Tyhjennä temp kansiot Nuo alemmat kaikissa käyttäjätileissä C:\Temp C:\Windows\Prefetch C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5 C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp Normaali käynnistys, puhdista RegSeekerillä ja jos kaikki toimii kunnolla puhdista järjestelmän palautus. http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleansystemrestore.shtml Laita uusi loki.
Toistaiseksi hyvältä vaikuttaa. Kiitos. Tältä näyttää logi nyt: Logfile of HijackThis v1.99.1 Scan saved at 20:54:51, on 3.5.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Tablet.exe C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\System32\sstray.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\system32\Wtablet\TabUserW.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Opera76\opera.exe C:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1098441386310 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
Zerath, fixaa vielä tuo R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank Huomasin vasta nyt että siellähän on kaksi virustorjuntaa AVG ja BitDefender, sammuta toinen ja varmista että se joka jää myöskin toimii. Palomuuria ei näy, onko rautamuuri?
Poistin. Jos meinaat rautamuurilla ns. ulkoista palomuuria niin kyllä. Tuossa hubissa kuuleman mukaan pitäisi olla. Vai reititinkö tuo on. Mutta voisihan sitä jonkun muurin tähänkin hakea, ihan varmuuden vuoksi.
extralow, siirrä HjT tuonne C:\HjT\HijackThis.exe Mikähän ohjelma tuo on? C:\PROGRA~1\Ack58NT Hae remv3 http://forums.skads.org/index.php?act=Attach&type=post&id=114 Pura se C:lle Käynnistä vikasietotilaan, tuplaklikkaa remv3.bat. Anna scannata ja käynnistä sitten normaalisti. Tällä pitäis päästä eroon tuosta rivistä O17 - HKLM\System\CCS\Services\Tcpip\..\{696C5FC4-DDCC-4013-ACBD-1786471654B3}: NameServer = 223.223.223.223 Aja HjT merkkaa nuo, sulje selain ja muut ikkunat, klikkaa Fix O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab Ja katso häviskö se 017 rivi, jos se löytyy vielä niin koita lähteekö HjT fixillä.