ad-aware

Vapaa kuvaus

Linkit: http://forums.techguy.org/, http://www.spywareinfoforum.com/, http://www.dslreports.com/forum/security,1, http://www.virustorjunta.net/, http://www.thaiklupi.fi/foorumi/ Kotimaa: --- Koulutus: --- Ammatti: Muu Siviilisääty: --- Lapset: ---

Aloituksia

0

Kommenttia

162

  1. Tee uusi scannaus HijackThissillä ja poista seuraavat rivit jos vielä löytyy. Sulje selain ja muut ikkunat ennen FIXausta.

    eli sulla on ainoastaan se HijackThis ohjelma auki + yksi selainikkuna.

    Scannaa HijackThisillä..
    Laita seuraavien rivien eteen ruksi..

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dbfttmldfpsje.biz/ QG6EZPN4ZxiSza6uyUewT4YOc14ue__PIQqsPx9mMCx/ImxJDQzy6ug1assAXNqO.cgi

    O4 - HKLM\..\Run: [Bin film rule jump] C:\Documents and Settings\All Users\Application Data\browse mode bin film\settings great.exe

    ja sitten suljet tämän selain ikkunan jota nyt luet.
    Sitten painat siinä HijackThississä sitä
    Fix checked painiketta.

    Kokeile ensin normaatilassa etsiä ja POISTAA seuraava kansio jos vielä löytyy

    browse mode bin film

    polusta

    C:\Documents and Settings\All Users\Application Data\browse mode bin film

    Pistä uusi HijackThis logi.
    .
    .
  2. Moi

    FIXaa noi rivit mitä tuossa yläpuolella ilmoitettiin.
    Ainoastaan niihin poistettaviin tiedostoihin tehdään pieni KORJAUS.

    Pistä piilotiedostot näkyviin
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

    Poista KANSIOT seuraavista poluista

    C:\Documents and Settings\All Users\Application Data\browse mode bin film
  3. Näyttää / kuulostaa hyvältä. OK.
    Hyvää Pääsiäistä myös sinne päin. :)
    .
    .
  4. OK. Hyvä,että ne lähti pois tuosta HijackThis logista.
    Sitten..olethan saanut poistettua sen sys kansion ?

    Sitten tuohon eScan logiin.

    Noi tiedostot mitkä olivat tuolla IE:n väliaikaisissa internet tiedostoissa ovat poistettu eScannin toimesta tai viimeistään ne lähtivät siinä vaiheessa kun teit sen cleanmgr komennon jne.. teithän myös sen ? OK.

    Jos olet saanut pois sen sys kansion niin polussa
    C:\WINDOWS\system32\drivers\sys
    olevat tiedostot ovat poistettu. OK.

    Poista tässä polussa oleva tiedosto

    hiderun.exe.1

    C:\WINDOWS\system32\drivers\hiderun.exe.1 >>>
    C:\Documents and Settings\\Application Data\Mozilla\Firefox\Profiles\s23zaeh8.default\Cache\FE111631d01 infected by not-a-virus:PornWare.Dialer.Generic
  5. Siis etkö löytänyt mitään noista poistettavista... et edes sitä sys kansiota ?

    Tehdään seuraavasti.

    1. Katsotaan tarkemmin toi eScannin tulos..jospa sieltä jäi jotain tärkeitä rivejä kopioimatta... mene sinne Kaspersky kansioon ja etsit sieltä tiedoston nimeltä

    mwXface.log

    Avaa se ja kopioi koko sen sisältö ja liitä se tänne.

    2. Sitten kokeillaan sitä F-Securen BlackLightia uudelleen...mutta ennen scannausta muuta sen BlackLight tiedoston nimi fsbl.exe vaikka
    --> abcde.exe

    3. Tämän jälkeen käynnistät koneen vikasietotilaan ja sammutat / lopetat sen Ad-Awaren Ad-Whatchin ennen seuraavaa toimenpidettä.

    Tee sitten uusi scannaus HijackThissillä ja poista seuraavat rivit jos vielä löytyy.Laita ruksit rivien eteen. Sulje selain ja muut ikkunat ennen kuin painat Fix checked.

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php

    O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
    O4 - HKCU\..\Run: [Security Agent Manager] mssams.exe
    O4 - HKCU\..\Run: [Microsoft Update Machine] syslog.exe
    O4 - HKCU\..\RunServices: [Security Agent Manager] mssams.exe

    Tämän jälkeen paluu normaalitilaan.
    Pistä uusi HijackThis logi.
    .
    .
  6. Moi

    Täällä on sivuttu / vastattu samoihin ongelmiin / kysymyksiin. Lue kaiki vastaukset. Toivottavasti on apua.
    http://www.virustorjunta.net/modules.php?name=Forums&file=viewtopic&t=981&highlight=asetukset

    Sitten tuolla jostain viestissä oli maininta,että osa ohjeista koskee noita maksullisia versioita.
    Silloin kun olen noita ohjeita viimeksi päivittänyt .... myös tämän Ad-Aware SE aikaisempien versioiden aikana 1.01 , 1.02 jne noi säädöt oli voimassa tässä ilmaisessa versiossa. Versiossa 1.05 on ilmeisesti bugi tai niitä on muutettu koskemaan ainoastaan maksullisia versioita kuten ylemmässä linkissä todetaan.

    Olen pitkittänyt kyseisen sivun päivitystä sillä uuden version 1.10 piti ilmestyä jo joulukuussa. Eipä ole näkynyt vielä. Samalla olen odottanut,että siihen uuteen versioon olisi päivitetty myös toi "virallinen" suomennos. "Virallisessa" suomennoksessahan..kuten olette varmaan huomanneet..on bugeja/virheitä/puuttteita yms.

    Jos nyt teen päivityksen sivulle niin se tulee olemaan tuon "epävirallisen" suomenkieli paketin mukaan. Tekstit ja kuvat tulee olemaan siis sen mukaiset. Voisin vaikka tehdä sen Pääsiäisenä jos aikaa on..
    Tietysti tapahtuu niin,että kun olen tehnyt päivityksen..niin menee viikko tai kaksi niin Lavasoft julkaisee uuden version.
    Ja taas sivu menee päivitykseen :(

    PS.
    >>>>>
    Cleaning enginessä kohta 'During removal, unload Explorer and IE if necessary'('lopeta tarvittaessa resurssienhallinta ja IE poiston yhteydessä') ei reagoi enkä siis saa sitä vihreälle, jää harmaaksi.
  7. Ihmettelen,ettei se BlackLight löytänyt mitään..hmm...no tehdään poisto sitten seuravasti.

    Pistä piilotiedostot näkyviin.
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

    http://koti.mbnet.fi/pattaya1/kuvat/piilo.jpg

    Tee uusi scannaus HijackThissillä ja poista seuraavat rivit jos vielä löytyy. Sulje selain ja muut ikkunat ennen FIXausta.

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php

    O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
    O4 - HKCU\..\Run: [Security Agent Manager] mssams.exe
    O4 - HKCU\..\Run: [Microsoft Update Machine] syslog.exe
    O4 - HKCU\..\RunServices: [Security Agent Manager] mssams.exe

    Sammuta kone. Käynnistä vikasietotilassa.
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406

    Etsi ja poista seuraavat tiedostot ja kansiot jos vielä löytyy..

    C:\Program Files\Admilli Service
  8. Jatketaan sitten.

    Saat kokeilla F-Secure BlackLightia, jonka pitäisi löytää noi loputrootkitit. Katsotaan miten käy.

    Lue ekana tuosta vähän ennakkotietoa
    http://www.f-secure.fi/news/uutiset/news_2005030701s.shtml

    lisää luettavaa
    http://www.f-secure.com/blacklight/try.shtml

    lataus tuolta
    http://www.europe.f-secure.com/exclude/blacklight/index.shtml

    ja se ylimmäinen lataus

    Asenna se..käynnistä..paina Scan..
    kun scannaus on päättynyt ja jos se on jotain löytänyt niin valitse Select all ja sitten Rename.

    Ilmoita jos se löysi jotain.. (pitäisi kyllä löytää jotain)..kirjoita vaikka ne löydetyt rivit muistiin ja liitä ne tänne.
  9. Moi

    Valitettavasti oltaisi tarvittu myös sitä eScan logia....nyt saat tehdä hieman lisätöitä.

    Mene sinne Kaspersky-kansioon ja etsit seuraavan tiedoston

    mwaw.log

    Aukaise se..aukeaa muistiossa..valitse Muokkaa..ja sieltä Etsi..kirjoita avautuvaan ikkunaan seuraavat sanat

    infected by

    ja paina Etsi seuraava.

    Se löytää rivin joka sisältää sanat infected by.

    Kopioi rivi tiedostoineen / polkuineen mitä se löytää ja talleta ne jonnekkin.

    esim.

    File C:\Documents and Settings\Omistaja\Application Data\Opera\Opera 8 Beta\profile\cache4\opr0001Z.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

    Aina uuden löydetyt kohteen jälkeen paina Etsi seuraava.

    Liitä seuraavaan viestiin mukaan ne kaikki löydetyt rivit.
  10. Kaikki on nyt OK.
    .
    .
  11. >>>>>
    Mutta pitääkö system recorvery homma tehdä nyt uudelleen, kun kaikki osaset ovat varmasti poistettu?
  12. Niin ja vielä..älä etsi niitä millään haulla..seuraat vaan noita polkuja ja etsit ne "käsin"
    .
    .
  13. Varmista,että sulla on piilotiedostojen asetukset kuvan mukaiset ja yritä etsiä sitten.

    http://koti.mbnet.fi/pattaya1/kuvat/piilo.jpg

    Ruksia ei siis kohdissa
    -Piilota suojatut käyttöjärjestelmätiedostot(suositus)
    -Piilota tunnettujen tiedostotyyppien tunnisteet

    Jos otat ruksin pois niin tulee seuraava kuva...vastaa siihen Kyllä.
    http://koti.mbnet.fi/pattaya1/kuvat/piilo1.jpg

    Ruksi on kohdassa
    -Näytä piilotetut tiedostot ja kansiot

    .
    .
  14. HijackThis logi on OK.

    >>>>>
    Mitäs nyt pitäisi tehdä? Voiko nuo örkit poistaa manuaalisesti vikasietotilassa?
  15. Jäi pois tuosta edellisestä ohjeesta.
    Lopeta myös ensin tehtävienhallinan kautta seuraavat prosessit

    FireDaemon.exe HUOM ! 3 kappaletta
    spoolsv.exe
  16. Moi

    Ennenkuin teet tuon eScannin scannauksen niin lopeta tehtävienhallinnan kautta seuraava prosessi

    nc.exe

    sekä tee seuraava toimenpide..
    Avaa ohjauspaneeli..sieltä sitten valvontatyökalut...ja sitten palvelut.

    Etsi seuraavat palvelut

    System msserv (msserv)
    System rpcserv (rpcserv)
    System smss (smss)

    Käyt JOKA rivin erikseen läpi tällä tavalla.

    Tuplaklikkaa riviä.
    Valitse Palvelun tila kohdasta SEIS.
    Valitse Käynnistystapa kohdan alasvetovalikosta kohta Ei Käytössä.
    Sitten oikealta alhaalta Käytä.
    Sitten OK.
    .
    .
  17. Moi

    Pistä piilotiedostot näkyviin..ohje tuossa
    http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

    Tee sitten uusi scannaus HijackThissillä ja poista seuraavat rivit jos vielä löytyy. Sulje selain ja muut ikkunat ennen FIXausta.

    O4 - HKLM\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe
    O4 - HKLM\..\Run: [hostserv] wiz98.exe
    O4 - HKLM\..\Run: [Calc Microsoft Windows] wincalc.exe
    O4 - HKLM\..\RunServices: [Auto CD-ROM6 Startup] cdaccess6.exe
    O4 - HKLM\..\RunServices: [hostserv] wiz98.exe
    O4 - HKLM\..\RunServices: [Calc Microsoft Windows] wincalc.exe
    O4 - HKCU\..\Run: [Auto CD-ROM6 Startup] cdaccess6.exe

    Sitten etsi nämä jos vielä löytyy

    cdaccess6.exe
    wiz98.exe
    wincalc.exe

    löytynee kansiosta
    C:\WINDOWS\System32\ tai
    C:\WINDOWS\

    ja scannaa ne tuolla

    http://virusscan.jotti.org/ sekä tuolla
    http://www.virustotal.com/xhtml/virustotal_en.html
    Ne ovat botteja ja troijalaisia..mutta koska osalla antivirusvalmistajilla ei varmaankaan ole niistä näytteitä niin tuolla tavalla saadaan ne näytteet niille.

    Käynnistä kone sen jälkeen VIKASIETOTILAAN ja poista kyseiset tiedostot

    cdaccess6.exe
    wiz98.exe
    wincalc.exe

    Paluu normaalitilaan. Koska ne olivat siis botteja / troijalaisia niin ne ovat todennäköisesti tuoneet mukana lisää "ystäviä" joita ei tuossa logissa näy.
    Scannaa koneesi varmuuuden vuoksi tällä.
    http://koti.mbnet.fi/pattaya1/escanmwav.htm
    Muista lukea ohjeet ja päivitä se ennen scannausta.
    Pistä löydetyt "örkkitulokset" tänne jos jotain löytyy
    Pistä myös uusi HijackThis logi.
    .
    .
  18. Moi

    Katso vielä ettei sitä tosiaan löydy tuosta
    polusta

    C:\Documents and Settings\Tomppa\Käynnistä-valikko\Ohjelmat\Käynnistys

    tai jos kieli on englanti niin sitten tuosta

    C:\Documents and Settings\Tomppa\Start Menu\Programs\Startup

    Katso samalla löytyykö lisää / poista sovelluksessa seuraavia...jos löytyy niin poista

    Browser Helper
    MDS Search Booster

    Poista myös se Security iGuard jos se sulla vielä on.

    Logissa on vielä muutakin poistettavaa mutta Juu saa jatkaa tästä... :)
    .
    .
  19. Moi

    Kiitos hyvästä vinkistä. Hieman "nopeuttaa" tuota päivitystä.

    Lisäsin sivulleni kyseisen .bat latauksen.
    Löytyy sieltä päivitys Tapa nro 2 kohdasta.

    Tosin muutin nimeä sekä muokkasin sitä hieman ;)
  20. >>>>>>>>>>>
    Siis onko normaali juttu se, että siellä Windowsin lisää/poista-ohjelmalistassa on SpyBot 1.3.1TX merkintä?
    Muuta siellä ei SpyBotiin liittyen olekaan

    Ja sitten tuo vielä, että saanko tuon Beta-version suomeksi tuolta linkistä?
    Siis sillälailla tietty, että asetuksista voi vaihtaa sen kielen?
    >
    Vai tarkoititko juuri sitä, että tuolla Lisää/poista listassa tuo versiomerkintä ei siis muutukaan?
    21. 3 / 9
TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt