Vähän apuja HiJackThis-login kanssa.

Zerath · May 3, 2005

Eli siis, koneella on trojania yms. paskaa ja paljon onkin. Mutta pitäisi päästä eroon. Monella ohjelmalla oon koittanut päästä näistä eroon mutta ei niin ei. HJT on kait ratkaisu, mutta tarvin tosiaan apua. Tässäpä logi:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {25DE4583-4C13-47A2-A6C4-CB8ADEBDA93B} - C:\WINDOWS\System32\blnb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {563EC66E-5A1B-51D2-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/pop03.chm::/MegaInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1098441386310
O18 - Filter: text/html - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll
O18 - Filter: text/plain - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

Zerath · May 3, 2005

Oho, ei tullut ihan kokonaan. Tuo alku siis on tässä:

Logfile of HijackThis v1.99.1
Scan saved at 15:15:29, on 3.5.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Opera76\opera.exe
C:\Program Files\Winamp\winamp.exe
C:\hijackthis\HijackThis.exe

Kiittelen jo heti kättelyssä

Toymaatti · May 3, 2005

No onhan tuolla örkki poikineen, tiedätkö muuten miksi näin on päässyt käymään?
Syy on örkinmentäviä reikiä täynnä oleva käyttöjärjestelmä(XP),
koska siellä ei ole ainuttakaan PÄIVITYSTÄ!!

Laita piilotiedostot näkyviin
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Laita Ad-Awaren Ad-Watch manuaalikäytölle ja anna sille lupa tehdä muutokset puhdistuksen aikana, jos se niitä kyselee.

Hae RegSeeker rekisterin puhdistus ohjelma(Languages napista saat sen Suomenkieliseksi)
http://www.hoverdesk.net/freeware.htm

Hae se.dll fixaustyökalu ja pura se työpöydälle
http://www.derbilk.de/SpSeHjfix112.zip
Käynnistä ohjelma, ja kone käynnistyy uudelleen. Mene VIKASIETOTILAAN(painele F8 käynnistyksen aikana)

Sammuta nuo prosessit tehtävienhallinnasta jos löytyvät(Ctrl+Alt+Delete)
msole32.exe
popuper.exe
intmonp.exe

Scannaa HjT:llä, laita merkki noiden eteen, sulje muut ikkunat ja klikkaa Fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Johtaja\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {25DE4583-4C13-47A2-A6C4-CB8ADEBDA93B} - C:\WINDOWS\System32\blnb.dll
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file)
O9 - Extra button: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6E7B112A-07A9-4714-8920-6010982B3148} - (no file) (HKCU)
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {563EC66E-5A1B-51D2-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/pop03.chm::/MegaInstaller.exe
O18 - Filter: text/html - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll
O18 - Filter: text/plain - {65EBAB0E-2C31-48DA-B4DA-4BBD930C98DA} - C:\WINDOWS\System32\blnb.dll

Etsi ja poista nuo
C:\WINDOWS\System32\===>msole32.exe<===
C:\WINDOWS\===>popuper.exe<===
C:\WINDOWS\System32\===>intmonp.exe<===
C:\WINDOWS\System32\===>blnb.dll<===

Tyhjennä temp kansiot
Nuo alemmat kaikissa käyttäjätileissä
C:\Temp
C:\Windows\Prefetch
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp

Normaali käynnistys, puhdista RegSeekerillä ja jos kaikki toimii kunnolla puhdista järjestelmän palautus.
http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleansystemrestore.shtml

Laita uusi loki.

extralow · May 3, 2005

Edit

Zerath · May 3, 2005

Toistaiseksi hyvältä vaikuttaa. Kiitos. Tältä näyttää logi nyt:

Logfile of HijackThis v1.99.1
Scan saved at 20:54:51, on 3.5.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Opera76\opera.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1098441386310
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

Toymaatti · May 3, 2005

Zerath, fixaa vielä tuo
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Huomasin vasta nyt että siellähän on kaksi virustorjuntaa AVG ja BitDefender, sammuta toinen ja varmista että se joka jää myöskin toimii. Palomuuria ei näy, onko rautamuuri?

extralow · May 3, 2005

Entäs minä?

Zerath · May 3, 2005

Poistin. Jos meinaat rautamuurilla ns. ulkoista palomuuria niin kyllä. Tuossa hubissa kuuleman mukaan pitäisi olla. Vai reititinkö tuo on. Mutta voisihan sitä jonkun muurin tähänkin hakea, ihan varmuuden vuoksi.

Toymaatti · May 3, 2005

extralow, siirrä HjT tuonne C:\HjT\HijackThis.exe

Mikähän ohjelma tuo on?
C:\PROGRA~1\Ack58NT

Hae remv3
http://forums.skads.org/index.php?act=Attach&type=post&id=114
Pura se C:lle
Käynnistä vikasietotilaan, tuplaklikkaa remv3.bat.
Anna scannata ja käynnistä sitten normaalisti.
Tällä pitäis päästä eroon tuosta rivistä
O17 - HKLM\System\CCS\Services\Tcpip\..\{696C5FC4-DDCC-4013-ACBD-1786471654B3}: NameServer = 223.223.223.223

Aja HjT merkkaa nuo, sulje selain ja muut ikkunat, klikkaa Fix
O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab

Ja katso häviskö se 017 rivi, jos se löytyy vielä niin koita lähteekö HjT fixillä.

extralow · May 3, 2005

Kiitos hommat hoitui.

Mikähän ohjelma tuo on?
C:\PROGRA~1\Ack58NT
Click to expand...

Se on multimedianäppäimistön ohjelma.
Kiitos.

Log in or Sign up

Vähän apuja HiJackThis-login kanssa.

Zerath Member

Zerath Member

Toymaatti Active member

extralow Active member

Zerath Member

Toymaatti Active member

extralow Active member

Zerath Member

Toymaatti Active member

extralow Active member

Share This Page

Log in or Sign up

Vähän apuja HiJackThis-login kanssa.

Zerath Member

Zerath Member

Toymaatti Active member

extralow Active member

Zerath Member

Toymaatti Active member

extralow Active member

Zerath Member

Toymaatti Active member

extralow Active member

Share This Page

Useful Searches