Windows 2000 -ongelma

Moi!

Mitä tehdä kun useissa Windows 2000 koneissa, joita olen "rassannut", on ilmennyt pahoja ongelmia. Kyseiset koneet muuttavat itsestään Windowsin käyttäjäprofiileja niin, että kun perinteisellä käyttäjäprofiililla kirjautuu koneeseen, on koneessa hävinnyt työpöydän pikakuvakkeet, sähköpostitiedot, Internetin etusivu, omat tiedostot. Nämä saa kyllä takaisin kun kopioi Documents and settings -tiedoston alta tavittavat jutut, mutta nyt tämä sama asia tuntuu "työllistävän" minua jatkuvasti eri koneissa....apuaa...mitä tehdä? Onkohan tämä jonkin haittaohjelman tekosia, vai mitä...Windowsin update -päivitykset ajantasalla, sekä F-secure myös ajantasalla tietokannoissaan.

 

Tee seuraava toimenpide kun törmäät tälläiseen koneseen!

Laita HjT-loki, ohjelman saat täältä
-> http://koti.mbnet.fi/pattaya1/HijackThis.exe
-> Tallenna hakemistoon c:\hjt\
-> Käynnistä HJT
-> Klikkaa do a system scan and save a logfile
-> Lähetä loki tänne.

Tutkimme sen puolestasi ja mitään lokista ei saa muuttaa mikäli olet epävarma rivistä.

 

Sen teen...kiitos avustasi!

 

Haittaako muuten jos koneelle on kirjauduttu uusilla tunnuksilla
(ei siis niillä, joita käytettiin ongelman ilmaantuessa)?

 

Enpä usko, että haittaa kunhan tunnareilla on riittävästi oikeuksia.

 

Tässä se loki. Onkohan kaikki ihan OK?


Logfile of HijackThis v1.99.1
Scan saved at 8:54:14, on 24.2.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\Common Files\Lanovation\PrismXL\PRISMXL.SYS
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fsrw.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\system32\Promon.exe
C:\WINNT\system32\igfxtray.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Program Files\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
C:\PROGRA~1\F-Secure\ANTI-S~1\fsaw.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\WINNT\System32\SCardSvr.exe
C:\Program Files\Outlook Express\msimn.exe
C:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pohjolanmatkatoimisto.fi/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\CwbSvStr.Exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Program Files\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
O8 - Extra context menu item: &Block this popup - C:\Program Files\F-Secure\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\Anti-Spyware\ieshield.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll
O16 - DPF: {556DDE35-E955-11D0-A707-000000521958} - http://www.anitetravel.net/client/spv3rdp.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17c3bf20c5a97e49f905/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129103913734
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129029570355
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {EA5276F1-F0E5-11D2-8CB7-00105AA1B80E} (PASSPORT Document) - http://62.119.80.90/pec/Passweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B30096AB-6253-40E6-82C1-8357496585FD}: NameServer = 157.200.99.100,193.229.0.40,193.229.0.42
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development - C:\WINNT\SYSTEM32\DNTUS26.EXE
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: PrismXL - Lanovation - C:\Program Files\Common Files\Lanovation\PrismXL\PRISMXL.SYS

 

Muutamaa kohtaa lukuun ottamatta näyttää hyvältä. Käynnistä hjt, klikkaa do a system scan only, merkkaa:
O16 - DPF: {556DDE35-E955-11D0-A707-000000521958} - http://www.anitetravel.net/client/spv3rdp.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17c3bf20c5a97e49f905/netzip/RdxIE601.cab

Sulje muut ikkunat, klikkaa fix checked.

 

Tää on ärsyttävä ongelma, itelle sattunut XP:n kanssa myös kerran. Profiili on siis jotenkin tuhoutunut, enkä silloin saanut edes korjattua
Haluaisin kyllä tietää mistä johtuu, parissakin koneessa esiintynyt samaa juttua. Onneksi ei voisi itteä enää nykyisin haitata kun pidän C:-asemalla ainoastaan Windowsia enkä mitään muuta

 

No niin...nyt on käskemäsi toiminnot tehty. Nämä tekivät ilmeisesti jotain korjauksia rekisteriin?! Olikohan nyt kone sitten kaapattu, vai mistä tässä oli kysymys, ja miksi tällainen korjaus täytyi tehdä? Voisiko siis Windowsin profiiliongelmat johtua tällaisesta virheestä ja jos samanlainen kone tulee vielä "eteeni", niin samanlaisella korjauksella saisin koneen kuntoon, vai?

 

Nuo oli kaksi pahaa activex-komponenttia. Ei liity profiiliongelmaan.

 

No onkos kellään apuja, miten profiiliongelman voisi estää/vältää?

 

Valitettavasti en tuossa ongelmassa pysty auttamaan.