Logfile of HijackThis v1.99.1
Scan saved at 17:47:55, on 24.7.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\DNANET~1\backweb\4653381\Program\SERVIC~1.EXE
C:\Program Files\dna Nettiturva\Anti-Virus\fsgk32st.exe
C:\Program Files\dna Nettiturva\Anti-Virus\FSGK32.EXE
C:\Program Files\dna Nettiturva\backweb\4653381\program\fsbwsys.exe
C:\Program Files\dna Nettiturva\Anti-Virus\fssm32.exe
C:\Program Files\dna Nettiturva\backweb\4653381\Program\BackWeb-4653381.exe
C:\Program Files\dna Nettiturva\fswsclds.exe
C:\Program Files\dna Nettiturva\Common\FSMA32.EXE
C:\Program Files\dna Nettiturva\Common\FSMB32.EXE
C:\Program Files\dna Nettiturva\Common\FCH32.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\dna Nettiturva\Common\FAMEH32.EXE
C:\Program Files\dna Nettiturva\Anti-Virus\fsav32.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\LManager.EXE
C:\Program Files\dna Nettiturva\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\dna Nettiturva\DFW\Program\fsdfwd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dnainternet.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dnainternet.fi/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = dna Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://paivitys.dnainternet.fi/yhteys/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\dna Nettiturva\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\dna Nettiturva\TNB\TNBUtil.exe" /CHECKALL
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: dna Nettiturva (BackWeb Client - 4653381) - Unknown owner - C:\PROGRA~1\DNANET~1\backweb\4653381\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\dna Nettiturva\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\dna Nettiturva\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\dna Nettiturva\backweb\4653381\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\dna Nettiturva\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\dna Nettiturva\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\dna Nettiturva\fswsclds.exe
20 Vastausta
12 421 Lukukertaa
Lataa koneelle
http://koti.mbnet.fi/pattaya1/escanmwav.htmKatso ohjeet tarkkaan. Muista myös päivittää ennen kuin scannaat.
Tarkista että ruksit on oikeen.
Virukset ikkunasta login tallenat esim: WordPad
Jos siihen virukset ikkunaan tulee jotain.
mhhhm
ei tosa mitään näy. onko siis jotain ropleemia? kerro tarkemmin?nää:
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
useimmiten noi on tuki officen kiinalaisille fonteille.. tarvitko niitä ?
Hei
En kai minä noita tarvitse. Ne siis pois?:oOlen aloittelija vasta näissä..
F-Secure siis on ilmoittanut että on virus tai jokin vastaava. Kuten ensimmäisessä viestissä sanoin. Scannaan nyt tuolla eScanilla.
Löytyi jotain
eScanilla löytyi :File C:\System Volume Information\_restore{8305B594-08DC-4ABB-9727-EA7FD88B359B}\RP13\A0001396.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
File C:\System Volume Information\_restore{8305B594-08DC-4ABB-9727-EA7FD88B359B}\RP13\A0001956.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
File C:\System Volume Information\_restore{8305B594-08DC-4ABB-9727-EA7FD88B359B}\RP13\A0001957.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
File C:\System Volume Information\_restore{8305B594-08DC-4ABB-9727-EA7FD88B359B}\RP13\A0001958.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Mites noita viruksia pois saa? o_O
okei
Pöpöt on järjestelmän palautus pisteissä.sammuta järjestelmän palautus, ohjeet:
Oma Tietokone >
- Muuta asetusta >
- järjestelmä >
- järjestelmän palautus-välilehti >
- ruksi ruutuun "poista järjestelmän palauttaminen kaikista asemista >
- Käytä >
- Ok
Käynnistä kone uudelleen ja laita järjestelmän palautus takaisin päälle.
Hmh
Ei siitä ollut hyötyä...Tein noin kuten käskit. Vai pitäisikö jotain muutakin tehdä? :o
kyllä
Se tuolla konstilla pitäisi lähteä.Koita uusiksi sammuttaa järjestelmän palautus.
Sammuta kone ja käynnistä uudelleen.
Noniin
Lähti. Mutta miten tuon f-securen saa toitottamasta sitä samaa virus löytö viesti juttua?Hmm
eScanilla kun scannasin niin ne oli lähtenyt, mutta f-secure ilmoittaa vielä että olisi.Mitä
secure herjaa? Kopioi teksti tänne, niin katsotaan mitä sillee voidaan.Tätä sanoo
f-secure ilmoittaa vain että "objektia ei voi puhdistaa/poistaa/uudelleennimetä"Ja myös : "Could be infected with an unknown virus"?
jep
Kyllä. Eikö se ilmoita mitä objektia? Laita hakemistopolku missä tiedosto on ja mikä örkki se on f-securen mielestäHmh
"Vahingollinen koodi on löytynyt aseman MBR (0x80) pääkäynnistyslohkosta. Virustartunta: Could be infected with an unknown virus." Tms.okei
Toi voi lähteä F-prot:la. Tuola on monta linkkiä, Ylin on itse ohjelma ja muut ovat päivityksiä. Pura ja asenna ohjelma. Siirrä päivitykset samaan hakemistoon ohjelman kanssa.Sitte sulla pitää olla windowsin asennuslevy. käynnistä kone asennuslevyltä ja mene DOS-tilaan. Scannaa F-protilla Dos-tilassa.
http://support.f-secure.com/enu/home/virusproblem/howtoclean/howtousefprotfordos.shtml
*huokaus*
Ei tullut windowsin asennuscdtä...koneen mukana. o_Oahaa
Odotellaan jos nimerkillä "juu" olis joku konsti.Tuollaista F-securen sivuilta:
http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleanmbr.shtml
Toinen vaihtoehto oli:
Irrota koneesi kovalevy ja mene esim kaverisi luo.
Lataa noi jutut kaverisi koneelle ja asenna koneesi kovalevy kaverisi koneeseen. Suorita F-protilla scannaus kovalevyllesi.
Eipä
muuta konstia ku tuo securen linkki.Tuola yhellä ruotsalaisella foorumilla oli sama homma ja uhri otti yhteyttä F-secureen ja siellä sanovat että luultavasti väärä hälytys,tiiä sitte.
Sama vika
Kyselin samasta ongelmasta F-Securelta. Eivät tienneet neuvoa. F-Securen ohjelma on peräisin Welhon tietoturvasta, käskivät kysyä apua sieltä. Vielä ei vastausta. Toivottavasti joku tietää pian onko siitä muuta kuin kosmeettista haitaa...sama vika
yep, acer 3000 oem xp home ja welho tuottaa mulle nuo samat ongelmatratkaisu
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=1500000000000007&posting=22000000006182728