ad-aware

Vapaa kuvaus

Linkit: http://forums.techguy.org/, http://www.spywareinfoforum.com/, http://www.dslreports.com/forum/security,1, http://www.virustorjunta.net/, http://www.thaiklupi.fi/foorumi/ Kotimaa: --- Koulutus: --- Ammatti: Muu Siviilisääty: --- Lapset: ---

Aloituksia

0

Kommenttia

162

  1. Moi

    Toimi ensin tämän ohjeen mukaan

    http://koti.mbnet.fi/pattaya1/hjt10.htm

    Ennenkuin teet mitään lue sieltä keskeltä se punaisella merkitty osuus.

    Kun olet poistanut ohjelmat mitkä esiintyy listassa (jos löytyy) niin buuttaa kone (sammuta,käynnistä).

    Scannaa sen jälkeen koneesi vielä Ad-Awarella ja anna sen poistaa kaikki mitä löytää.
    Käytä siihen scannaukseen noita asetuksia.
    http://koti.mbnet.fi/pattaya1/ada6.htm

    Pistä uusi logi tämän jälkeen.

    Mistähän polusta ne troijalaiset löytyivät?
    Minkä nimisiä troijalaisia?



    .
    .
  2. Moi

    Tämä rivi
    O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com

    näyttää tältä Madolta
    http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=vis&idvirus=44304

    http://uk.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=56697&VName=WORM_BEREB.B&VSect=T

    Voi olla,että se on jo poistunut koneelta jos esim. F-Secure on sen löytänyt / poistanut ?
    Ainoastaan jäänyt toi merkintä rekisteriin sinne käynnistyviin ohjelmiin.

    Kannattaisi käydä kone läpi linkeissä olevien ohjeiden avulla ja poistaa löydökset jos vielä löytyy.
    .
    .
  3. Onko meilläkin kellot samassa ajassa :)
  4. Sitä varten tuolla ylempänä on ohje kun epäilinkin ,että sitä ei löydy ehkä tuolla nimellä tai löytyykö ollenkaan...

    http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&posting=22000000005404415

    .
    .
  5. Moi

    Luit varmaan tuosta alhaalta noita viestejä.
    Voisitko kuitenkin ennen noita poistoja ladata tästä
    http://koti.mbnet.fi/pattaya1/lataus/TarkistaPoistaAsennusLista.bat

    TarkistaPoistaAsennusLista.bat nimisen tiedoston.

    Asenna / tallenna se työpöydälle.Tuplaklikkaa sitä kyseistä .bat-tiedosta. Odottele hetken kun se saa tarkistuksen suoritettua. Kun tarkistus on loppunut työpöydälle pitäisi ilmestyä seuraavan niminen tiedosto

    poistaohjelmanasennuslista.txt

    Avaa se ja kopioi kyseisen tiedoston koko sisältö ja liitä se tänne.

    .
    .
  6. Moi Juu.

    Eiköhän myös tämä poisteta sieltä lisää / poista sovelluksen kautta

    SafeguardProtect

    ja FIXata seuraavat rivit jos vielä löytyy sen jälkeen


    O2 - BHO: SafeGuard Protect PCShield - {564FFB73-9EEF-4969-92FA-5FC4A92E2C2A} - C:\WINDOWS\system32\KDP43f1.dll

    O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\KDP43f1.dll"
    O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\KDP43f1.dll"

    sillä tämä rivi
    O2 - BHO: Core Library - {F281FFC7-6C63-4bf9-83F2-AB7A6157B109} - C:\WINDOWS\system32\kdpupd.dll

    viittaa tuohon SafeguardProtectiin
    http://computercops.biz/clsid-974.html

    ja jonka siis jo poistit logista.

    Lisätietoa
    http://www.pestpatrol.com/PestInfo/s/safeguardprotect.asp

    Poistaisin myös sen Messenger Plussan koneelta.

    .
    .
  7. Moi

    Poista kyseinen tiedosto

    ginst_001_1234_4201.exe

    sieltä polusta missä se on "käsin".

    Jos se sijaitsee vielä jossain "tuntemattomassa" kansiossa niin joudut vielä poistamaan KOKO kansion.

    Koska kyseessä ei kuitenkaan ole "virus" vaan Adware.Gator niin scannaa koneesi vielä UUSIMMALLA Ad-Aware versiolla läpi..

    .
    .
  8. Näyttää olevan OK.

    >>>>>>>>>>>>>>>>
    Spy Sweeperi(Program Version 3.2.0 Build 147 Using Spyware Definitions 410
  9. Moi

    Näyttää aika hyvältä..
    Oliko mitään ongelmia noiden poistojen kanssa ?

    Poista vielä seuraavat rivit. Sulje selain ja muut ikkunat ennen FIXausta.

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.niyvbauksxg.com/wJhYKvlyL16cNT4fhSr2p6Ok3dmD vR0f5WawgkuzQMn/wCJnjHJthI1IYaNVJTW4.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files\HPQ\Quick Launch Buttons\Blank.htm

    O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/play er.virtools.com/downloads/player/Install2.5/Installer.e xe
    O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup143. cab

    Buuttaa kone (sammuta,käynnistä). Pistä uusi logi tämän jälkeen.

    Kysymys: Huomasin ,että sulla on Spy Sweeper. Eikö se löytänyt MITÄÄN ? Olethan päivittänyt myös sen. Viimeinen päivitys tuli pari / kolme päivää sitten.

    .
    .
  10. Moi

    Sulle on vastattu jo tuolla

    http://www.tietokone.fi/foorumi/keskustelu.asp?threadid=59016&areapage=1

    Sun pitää saada se Peper Trojan ensin pois. Tee ohjeiden mukaan. Kun suoritat sitä poistotyökalua niin nettiyhteys pitää olla päällä..

    Muidenkin rivien poistamiseen sulla on siellä annettu ohjeita. Toimi niiden ohjeiden mukaan,sillä sulla on myös lop-variantti koneella. Joten jos sulla on esim. Messenger Plus asennettu koneelle niin poista se vielä lisää / poista sovelluksen kautta.

    VX2-tartuntaan auttanee kun lataat / asennat siihen Ad-Awareen apuohjelman. Onhan sulla varmasti viimeinen versio Ad-Aware SE ja siinä viimeisimmät päivitykset?
    Voit ladata sen VX2 Cleanerin täältä
    http://www.lavasoft.de/software/plugins/vx2cleaner.shtml
    Siellä on ohjeet asennukseen ja ohjeet kuinka sitä käytetään. Älä välitä siitä ,että ohjeissa mainitaan Ad-Aware 6 build 181. Se ei toimi siinä.

    Sulla on siellä muitakin rivejä mitä pitää poistaa mutta kun olet tehnyt noi edelliset niin palataan niihin myöhemmin...joten pistä uusi logi kun olet noi edelliset toimenpiteet tehnyt.

    .
    .
  11. Moi

    Laitoin sulle postia tuonne Virustorjunta.net

    .
    .
  12. Moi

    Kuten Juu ilmoitti puhdas on 'örkeistä'...
    mutta...tekisitkö seuraavan..

    Buuttaa kone (sammuta,käynnistä)
    ja pistä sitten uusi logi.

    .
    .
  13. Taitaa olla turha scannata, sillä se on lop-variantti. Tullut siis sen Messenger Plussan mukana. Sehän asentelee juuri myös noita ylimääräisiä kansioita koneelle.

    C:\Documents and Settings\All Users\Application Data\BeepSettingsSupportTrust

    Noita lop-variantteja on RAJATON / ÄÄRETÖN määrä, joten niitä ei pysty mikään kaikkia tunnistamaan.

    :)

    .
    .
  14. Moi

    Yksiselitteinen vastaus on EI.

    Kerrataanpa hieman tietoja.

    Kun se HJT-analyser ensimmäisen kerran julkistettiin tuossa kesä -/ heinäkussa, niin siinä oli PALJON noita vääriä tunnistuksia. Kehittäjä yritti päivittää sitä mahdollisuuksien mukaan, mutta hänelle tuli muita tekemisiä ja se jäi taka-alalle.

    Vähitellen hän alkoi sitä päivittää ja nyt viimeinen päivitys on 23.10.2004.
    versio 8.002

    ANALYZER INFORMATION
    -------------------------------------------------
    Log created on : 26-10-2004 10:06:33
    Analyzer version : 8
    bad.dat version : 22
    good.dat version : 24
    rec.dat version : 16
    dasb.dat version : 4
    sus.dat version : 6
    -------------------------------------------------

    Logihan näyttää ainoastaan rivit mitkä on OK , epäilyttäviä tai sitten PAHOJA.
    Kun niissä sitten tulee vielä noita vääriä tunnistuksia niin ei tiedä mitkä on oikeasti niitä PAHOJA tai mitkä on OK.

    FIXaamalla pelkkiä rivejä logista EI SAADA konetta puhtaaksi kuten olet tälläkin palstalla useasti huomannut.Tarkempia poisto-ohjeitahan se logi ei anna.

    Tuolla ulkomaisilla keskustelupalstoilla asiantuntijoiden keskuudessa on päivänselvää,ettei se automaatti KOSKAAN tule korvaamaan henk.koht. asiantuntijaa joka antaa ohjeet koneen puhdistukseen.Näin ollen sen käyttöä tulee välttää.

    Esimerkkinä käy hyvin tässä viestissä tuolla alempana oleva linkki siitä analyysistä.
    Löysin kyseisen login netistä ja vaikka vastaaja oli saanut ohjeet rivien poistoon + ohjeet poistaa tiedostoja koneelta niin kun hän seuraavan kerran laittoi login näytille niin se oli muuttunut.
    Ajoin sen tuolla analyysissa. Tulos on tässä
    http://www.hijackthis.de/logfiles/128ace8378365b4c842c4f30fee99dba.html

    Kuten huomaat siellä on rivejä mitkä on luokiteltu TURVALLISEKSI vaikka ovat todellisuudessa PAHOJA...jne...
    ;)

    Vaikka kuinka FIXailisit niitä rivejä, niin et tulisi saamaan konetta puhdistettua tästä 'örkistä'!. Se on vaikeata puhdistaa jopa asiantuntijan opastuksellakin.

    .
    .
  15. Moi

    Onko sulla XP käytössä ?

    Jos on niin se luo sulle siinä palautuspisteen.

    Lue tosta alkua
    http://koti.mbnet.fi/pattaya1/spybot.htm#Poisto
    Lainaus
    >>>>>>>>>>>>>>>>
    Jos olet laittanut sieltä asetuksista ruksin kohtiin luo järjestelmän palautuspiste niin seuraavaksi ohjelma luo sulle uuden palautuspisteen.Odottele rauhassa tämän aikaa (kestää muutaman minuutin...
  16. Moi

    Luitko tämän ?
    http://www.virustorjunta.net/modules.php?name=Forums&file=viewtopic&t=852

    Notepad.exe on muistio ja sen tiedoston koko on Xp SP2:ssa sama kuin tuossa CWS.Control.4 kaapparissa.

    Tässä vielä Merijn vastauksen jatkoa...
    Lainaus
    >>>>>>>>>>>>>
    Hey, I got this warning by email as well. It seems XP SP2 updates Notepad.exe to the exact filesize that is deemed 'suspicious' because CWS.Control.4 uses it. You could say it's the most obvious f/p CWShredder has ever had. :)

    Merijn
  17. Moi

    Onko logisi otettu vikasietotilassa tai onko siitä poistettu jotain rivejä ,sillä siellä on hyvin vähän käynnissä olevia prosesseja ?
    Ei näy esim. virustorjuntaa tai palomuuria.

    Lue ensin tämä
    http://koti.mbnet.fi/pattaya1/kazaabegone.htm

    Poista sitten sieltä lisää / poista sovelluksen kautta seuraavat jos vielä löytyy.

    KaZaa Media Desktop
    P2P Networking
    Alnet/Points Manager
    SearchUpgrader

    Päivitin juuri äsken ohjeet tuonne sivulle.
    http://koti.mbnet.fi/pattaya1/hijackthis.htm#INFO
    Toimi niiden mukaan.

    Pistä sitten uusi logi.

    .
    .
  18. Moi

    Poista ensin sieltä lisää / poista sovelluksen kautta seuraava jos löytyy

    MyWebSearch

    Tee uusi scannaus ja poista seuraavat rivit jos vielä löytyy. Sulje selain ja muut ikkunat ennen tuota FIXausta.

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html

    O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
    O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL

    O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL

    O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
    O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\3.bin\MWSOEMON.EXE
    O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\3.bin\MWSOEMON.EXE

    O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN

    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Program Files\Yahoo!\Messenger\yhexbmes0411.dll (file missing)
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Program Files\Yahoo!\Messenger\yhexbmes0411.dll (file missing)
    O9 - Extra button: Palvelut - {1F890378-63A2-4C09-BE74-E0A5A0A076A7} - http://service.kolumbus.fi/ (file missing) (HKCU)
    O9 - Extra button: Tuki - {552FE095-7562-49C0-914B-BA820F63D48F} - http://tuki.kolumbus.fi/ (file missing) (HKCU)
    O9 - Extra button: SMS-viesti - {BB4BC40B-722C-4FC1-8AA7-E2911349BA3A} - http://sms.kolumbus.fi/ (file missing) (HKCU)

    O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - http://206.161.125.149/rundlg32.cab
    O16 - DPF: {1BF4BC05-53D2-2842-81D2-73776E214937} - http://66.79.169.45/1/rdgFI850.exe
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.exe
    O16 - DPF: {2F0D1DA3-F3E4-4C67-BB5C-5AFD70C1A4A5} - http://18.sharedsource.org/html/UDConn_5.2.0.8.cab
    O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://63.217.31.12/dial6/058439fi.exe
    O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
    O16 - DPF: {DBAE7000-01EC-4162-8FEB-8A27AC937CA0} - http://webpdp.gator.com/4/download/hdplugin_1019_bundle43v3d33.cab

    O21 - SSODL: System - {4A9DBBFD-C3E3-46A4-BBDA-488D8C09012D} - C:\WINDOWS\system32\system32.dll (file missing)

    Sammuta kone. Käynnistä VIKASIETOTILASSA. Etsi ja POISTA seuraava kansio koneelta jos vielä löytyy.

    C:\Program Files\MyWebSearch
  19. Moi taas.

    Tieto on siellä muodossa

    Tarkasta viitetiedosto xx päivän jälkeen

    jossa xx tarkoittaa jotain numeroa siis 0,1,2 ,5 10..mitä siihen nyt haluaa itse kukin laittaa.
    XX tarkoittaa siis päiviä....

    Siellä voi muuttaa tekstiä
    Tarkasta viitetiedosto ja
    päivän jälkeen

    Huomioitavaa on myös se ,että teksti ei saa olla liian pitkä sillä se ei näy muuten kohdasa kokonaan vaan osa jää siitä näkymättömiin.
    Muutamissa kohdissa tuolla muualla on tosi vaikeata "keksiä" lyhyt suomennos mikä "mahtuu" varattuun tilaan.

    Tämä mitä siihen ajattelin muuttaa
    Muistutus päivittää vanhentunut tunnistetiedosto
    Tarkista tunnisteet xx päivän jälkeen

    voisi tosiaan muuttaa muotoon -->
    Muistutus päivittää vanhentunut tunnistetiedosto
    Tarkista tunnisteet xx päivän kuluttua

    Sorry jos jäi vielä epäselväksi.

    .
    .
  20. Moi

    Annoin jo yhden vastauksen tässä kuukausi sitten samaan kysymykseen.
    Linkki on tässä
    http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=1500000000000007&posting=22000000004694570

    Toivottavasti siitä on apua. :)

    .
    .
    21. 7 / 9
TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt