HiJackThis murheita

suzzu

Alla on logia, viittiskös joku suomentaa ja kertoa
mitä pitäis siivota...=(

_________________________________

Logfile of HijackThis v1.97.7
Scan saved at 20:20:14, on 11.8.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\d3hb.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\services\msxmidi.exe
C:\WINNT\system32\msje.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~2\VPTray.exe
C:\WINNT\System32\internat.exe
C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
C:\WINNT\System32\rundll32.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\HjT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cyiqa.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\cyiqa.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
F1 - win.ini: run=C:\WINNT\system32\services\msxmidi.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {785F0D60-7C16-5BB5-675C-F986D7B70DDB} - C:\WINNT\apisj32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Video Process] sysconf.exe
O4 - HKLM\..\Run: [apivp32.exe] C:\WINNT\system32\apivp32.exe
O4 - HKLM\..\Run: [msje.exe] C:\WINNT\system32\msje.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System Update4] c:\docume~1\jÄrjes~1\applic~1\iexplore.exe
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1018.dll,InstantAccess
O4 - HKCU\..\Run: [Art] C:\Documents and Settings\Järjestelmänvalvoja\Application Data\hrrw.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Microsoft® VBScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: VBScript Terminal (HKLM)
O9 - Extra button: Microsoft® VBScript® Terminal (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/551/online.chm::/on-line.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

26

1210

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Late
      • suzzu

        tänään impattu, ja tarkistin vielä, päiväys on 22.3

        siitä vasemman reunan download nappulan takaa otin.


      • Tossa

      • suzzu

        tässä:

        ___________________________-

        Logfile of HijackThis v1.98.2
        Scan saved at 21:41:44, on 11.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\d3hb.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\system32\ZONELABS\vsmon.exe
        C:\WINNT\Explorer.exe
        C:\WINNT\system32\services\msxmidi.exe
        C:\WINNT\system32\msje.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\WINNT\System32\rundll32.exe
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\PROGRA~1\WINZIP\wzqkpick.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\HjT\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cyiqa.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
        R3 - Default URLSearchHook is missing
        F3 - REG:win.ini: run=C:\WINNT\system32\services\msxmidi.exe
        O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
        O2 - BHO: (no name) - {785F0D60-7C16-5BB5-675C-F986D7B70DDB} - C:\WINNT\apisj32.dll
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Video Process] sysconf.exe
        O4 - HKLM\..\Run: [apivp32.exe] C:\WINNT\system32\apivp32.exe
        O4 - HKLM\..\Run: [msje.exe] C:\WINNT\system32\msje.exe
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
        O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - HKCU\..\Run: [System Update4] c:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
        O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1018.dll,InstantAccess
        O4 - HKCU\..\Run: [Art] C:\Documents and Settings\Järjestelmänvalvoja\Application Data\hrrw.exe
        O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O9 - Extra button: Microsoft® VBScript® Console - {15E50285-2BF4-48F2-8D81-5B913F24CE67} - (no file)
        O9 - Extra 'Tools' menuitem: VBScript Terminal - {15E50285-2BF4-48F2-8D81-5B913F24CE67} - (no file)
        O9 - Extra button: Microsoft® VBScript® Terminal - {15E50285-2BF4-48F2-8D81-5B913F24CE67} - C:\WINNT\system32\COMDLG32.OCX (HKCU)
        O9 - Extra 'Tools' menuitem: VBScript Terminal - {15E50285-2BF4-48F2-8D81-5B913F24CE67} - C:\WINNT\system32\COMDLG32.OCX (HKCU)
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi
        O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
        O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/551/online.chm::/on-line.exe
        O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
        O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab


      • Juu
        suzzu kirjoitti:

        tässä:

        ___________________________-

        Logfile of HijackThis v1.98.2
        Scan saved at 21:41:44, on 11.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\d3hb.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\system32\ZONELABS\vsmon.exe
        C:\WINNT\Explorer.exe
        C:\WINNT\system32\services\msxmidi.exe
        C:\WINNT\system32\msje.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\WINNT\System32\rundll32.exe
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\PROGRA~1\WINZIP\wzqkpick.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\HjT\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cyiqa.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
        R3 - Default URLSearchHook is missing
        F3 - REG:win.ini: run=C:\WINNT\system32\services\msxmidi.exe
        O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
        O2 - BHO: (no name) - {785F0D60-7C16-5BB5-675C-F986D7B70DDB} - C:\WINNT\apisj32.dll
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Video Process] sysconf.exe
        O4 - HKLM\..\Run: [apivp32.exe] C:\WINNT\system32\apivp32.exe
        O4 - HKLM\..\Run: [msje.exe] C:\WINNT\system32\msje.exe
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
        O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - HKCU\..\Run: [System Update4] c:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
        O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1018.dll,InstantAccess
        O4 - HKCU\..\Run: [Art] C:\Documents and Settings\Järjestelmänvalvoja\Application Data\hrrw.exe
        O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O9 - Extra button: Microsoft® VBScript® Console - {15E50285-2BF4-48F2-8D81-5B913F24CE67} - (no file)
        O9 - Extra 'Tools' menuitem: VBScript Terminal - {15E50285-2BF4-48F2-8D81-5B913F24CE67} - (no file)
        O9 - Extra button: Microsoft® VBScript® Terminal - {15E50285-2BF4-48F2-8D81-5B913F24CE67} - C:\WINNT\system32\COMDLG32.OCX (HKCU)
        O9 - Extra 'Tools' menuitem: VBScript Terminal - {15E50285-2BF4-48F2-8D81-5B913F24CE67} - C:\WINNT\system32\COMDLG32.OCX (HKCU)
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi
        O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
        O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/551/online.chm::/on-line.exe
        O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
        O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

        Hae tuolta AboutBuster ja pura se työpöydälle kansioon.

        http://www.subratam.org/?page=removal

        Avaa se AboutBuster ja päivitä se.

        Sitte poista Lisää/Poista paneelista tuo Spyware Begone,jos se siellä näkyy.

        Käynnistä kone vikasietotilassa,merkkaa nuo ja sulje muut avoimet ikkunat ja paina FIX checked

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cyiqa.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        F3 - REG:win.ini: run=C:\WINNT\system32\services\msxmidi.exe
        O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
        O2 - BHO: (no name) - {785F0D60-7C16-5BB5-675C-F986D7B70DDB} - C:\WINNT\apisj32.dll
        O4 - HKLM\..\Run: [apivp32.exe] C:\WINNT\system32\apivp32.exe
        O4 - HKLM\..\Run: [msje.exe] C:\WINNT\system32\msje.exe
        O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
        O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
        O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
        O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1018.dll,InstantAccess
        O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
        O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
        O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/551/online.chm::/on-line.exe
        O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
        O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

        Etsi ja poista nämä jos löytyy

        cyiqa.dll
        apisj32.dll
        msxmidi.exe
        apivp32.exe
        msje.exe
        sysconf.exe
        p2esocks_1018.dll

        Edelleen vikasietotilassa käynnistä se AboutBuster ja putsaa sillä 2 kertaa.

        Kirjoita sitte suorita kohtaan cleanmgr ja Ok
        Sieltä merkkaa nuo ja putsaa ne pois

        Temporary Files
        Temporary Internet Files
        Recycle Bin

        Käynnistä sitte normaalisti ja scannaa kone tuola ja poista kaikki mitä löytyy

        http://housecall.trendmicro.com/

        Pistä sen jälkeen uus logi tänne.


      • suzzu
        Juu kirjoitti:

        Hae tuolta AboutBuster ja pura se työpöydälle kansioon.

        http://www.subratam.org/?page=removal

        Avaa se AboutBuster ja päivitä se.

        Sitte poista Lisää/Poista paneelista tuo Spyware Begone,jos se siellä näkyy.

        Käynnistä kone vikasietotilassa,merkkaa nuo ja sulje muut avoimet ikkunat ja paina FIX checked

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cyiqa.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        F3 - REG:win.ini: run=C:\WINNT\system32\services\msxmidi.exe
        O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
        O2 - BHO: (no name) - {785F0D60-7C16-5BB5-675C-F986D7B70DDB} - C:\WINNT\apisj32.dll
        O4 - HKLM\..\Run: [apivp32.exe] C:\WINNT\system32\apivp32.exe
        O4 - HKLM\..\Run: [msje.exe] C:\WINNT\system32\msje.exe
        O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
        O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
        O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
        O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1018.dll,InstantAccess
        O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
        O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
        O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/551/online.chm::/on-line.exe
        O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
        O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

        Etsi ja poista nämä jos löytyy

        cyiqa.dll
        apisj32.dll
        msxmidi.exe
        apivp32.exe
        msje.exe
        sysconf.exe
        p2esocks_1018.dll

        Edelleen vikasietotilassa käynnistä se AboutBuster ja putsaa sillä 2 kertaa.

        Kirjoita sitte suorita kohtaan cleanmgr ja Ok
        Sieltä merkkaa nuo ja putsaa ne pois

        Temporary Files
        Temporary Internet Files
        Recycle Bin

        Käynnistä sitte normaalisti ja scannaa kone tuola ja poista kaikki mitä löytyy

        http://housecall.trendmicro.com/

        Pistä sen jälkeen uus logi tänne.

        Nyt tällänen, tuo res/ yms. hommat korjaantui, mutta edelleen tyrkyttää vielä jotain BrowserHelpOptionia tms.. .

        ______________________-

        Logfile of HijackThis v1.98.2
        Scan saved at 20:51:07, on 12.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\WINNT\system32\ipmb32.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\system32\msje.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\WINNT\System32\ZoneLabs\vsmon.exe
        C:\HjT\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
        R3 - Default URLSearchHook is missing
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
        O4 - HKLM\..\Run: [msje.exe] C:\WINNT\system32\msje.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - HKCU\..\Run: [System Update4] c:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi
        O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab


      • suzzu
        Juu kirjoitti:

        Hae tuolta AboutBuster ja pura se työpöydälle kansioon.

        http://www.subratam.org/?page=removal

        Avaa se AboutBuster ja päivitä se.

        Sitte poista Lisää/Poista paneelista tuo Spyware Begone,jos se siellä näkyy.

        Käynnistä kone vikasietotilassa,merkkaa nuo ja sulje muut avoimet ikkunat ja paina FIX checked

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cyiqa.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cyiqa.dll/index.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        F3 - REG:win.ini: run=C:\WINNT\system32\services\msxmidi.exe
        O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
        O2 - BHO: (no name) - {785F0D60-7C16-5BB5-675C-F986D7B70DDB} - C:\WINNT\apisj32.dll
        O4 - HKLM\..\Run: [apivp32.exe] C:\WINNT\system32\apivp32.exe
        O4 - HKLM\..\Run: [msje.exe] C:\WINNT\system32\msje.exe
        O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
        O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
        O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
        O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1018.dll,InstantAccess
        O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
        O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
        O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/551/online.chm::/on-line.exe
        O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
        O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

        Etsi ja poista nämä jos löytyy

        cyiqa.dll
        apisj32.dll
        msxmidi.exe
        apivp32.exe
        msje.exe
        sysconf.exe
        p2esocks_1018.dll

        Edelleen vikasietotilassa käynnistä se AboutBuster ja putsaa sillä 2 kertaa.

        Kirjoita sitte suorita kohtaan cleanmgr ja Ok
        Sieltä merkkaa nuo ja putsaa ne pois

        Temporary Files
        Temporary Internet Files
        Recycle Bin

        Käynnistä sitte normaalisti ja scannaa kone tuola ja poista kaikki mitä löytyy

        http://housecall.trendmicro.com/

        Pistä sen jälkeen uus logi tänne.

        miten saan tuon msje.exe:n deletoitua, kun sanoo että käyttö estetty dos-tilassakin

        ja sit noissa BHOissa se tarjoaa semmosta dll:ää jotai ei siinä tarjotussa hakemistossa sitten mukamas ole (apikf32.dll)


      • Juu
        suzzu kirjoitti:

        Nyt tällänen, tuo res/ yms. hommat korjaantui, mutta edelleen tyrkyttää vielä jotain BrowserHelpOptionia tms.. .

        ______________________-

        Logfile of HijackThis v1.98.2
        Scan saved at 20:51:07, on 12.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\WINNT\system32\ipmb32.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\system32\msje.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\WINNT\System32\ZoneLabs\vsmon.exe
        C:\HjT\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
        R3 - Default URLSearchHook is missing
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
        O4 - HKLM\..\Run: [msje.exe] C:\WINNT\system32\msje.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - HKCU\..\Run: [System Update4] c:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi
        O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

        Kato Ctrl Alt Delete,jos nämä näkyy siellä prosesseissa,niin sammuta ne

        ipmb32.exe
        msje.exe

        Pistä sitte piilotiedostot näkyviin,ohje tuolla

        http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339?Open&src=ent&docid=2002092514302348&nsf=ent-security.nsf&view=docid&dtype=corp&prod=Symantec AntiVirus Corporate Edition&ver=8.x&osv=&osv_lvl=

        Käynnistä sitte vikasietotilassa scannaa HijackThis:llä, merkkaa nuo ja paina FIX checked

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R3 - Default URLSearchHook is missing
        O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
        O4 - HKLM\..\Run: [msje.exe] C:\WINNT\system32\msje.exe

        Etsi ja poista nämä jos löytyy

        gdk.dll
        cyiqa.dll
        msje.exe
        ipmb32.exe

        Edelleen vikasietotilassa putsaa taas sillä AboutBusterilla 2 kertaa.

        Putsaa nuo taas pois

        Temporary Files
        Temporary Internet Files
        Recycle Bin

        Käynnistä normaalisti ja pistä uus logi,joka toivottavasti on puhdas.


      • suzzu
        Juu kirjoitti:

        Kato Ctrl Alt Delete,jos nämä näkyy siellä prosesseissa,niin sammuta ne

        ipmb32.exe
        msje.exe

        Pistä sitte piilotiedostot näkyviin,ohje tuolla

        http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339?Open&src=ent&docid=2002092514302348&nsf=ent-security.nsf&view=docid&dtype=corp&prod=Symantec AntiVirus Corporate Edition&ver=8.x&osv=&osv_lvl=

        Käynnistä sitte vikasietotilassa scannaa HijackThis:llä, merkkaa nuo ja paina FIX checked

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cyiqa.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R3 - Default URLSearchHook is missing
        O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
        O4 - HKLM\..\Run: [msje.exe] C:\WINNT\system32\msje.exe

        Etsi ja poista nämä jos löytyy

        gdk.dll
        cyiqa.dll
        msje.exe
        ipmb32.exe

        Edelleen vikasietotilassa putsaa taas sillä AboutBusterilla 2 kertaa.

        Putsaa nuo taas pois

        Temporary Files
        Temporary Internet Files
        Recycle Bin

        Käynnistä normaalisti ja pistä uus logi,joka toivottavasti on puhdas.

        mutta kun sitä ei voi lopettaa: käyttö estetty

        msje:n sain pois kun käynnistin dossikorpulla ja dellasin mytta kun tuota ipmb32.exe:ä ei löydy koko koneelta??


      • Juu
        suzzu kirjoitti:

        mutta kun sitä ei voi lopettaa: käyttö estetty

        msje:n sain pois kun käynnistin dossikorpulla ja dellasin mytta kun tuota ipmb32.exe:ä ei löydy koko koneelta??

        Tee se aikasemmin mainittu operaatio ja pistä uus logi.


      • suzzu
        Juu kirjoitti:

        Tee se aikasemmin mainittu operaatio ja pistä uus logi.

        Nyt on tehtynä, nuo R0-R3 rivit tulevat vaan uudestaan, vaikka poistaisin ne.
        edelleen tulee noita BHO juttuja, eli siis koneeseen tulee joku uusi .dll tiedosto (päivätty sillä hetkellä kun BHO tulee) ja kun poistan sen niin tulee joku toisen niminen??

        Mitä on nuo VPTray ja apity ja internat.exe?

        _________________________________

        Logfile of HijackThis v1.98.2
        Scan saved at 22:50:27, on 12.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\system32\apity.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\WINNT\iqmhip.dat
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\WINNT\System32\ZoneLabs\vsmon.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\HjT\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\litqm.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\litqm.dll/sp.html#96676
        R3 - Default URLSearchHook is missing
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [apity.exe] C:\WINNT\system32\apity.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - HKCU\..\Run: [System Update4] c:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi


      • Juu
        suzzu kirjoitti:

        Nyt on tehtynä, nuo R0-R3 rivit tulevat vaan uudestaan, vaikka poistaisin ne.
        edelleen tulee noita BHO juttuja, eli siis koneeseen tulee joku uusi .dll tiedosto (päivätty sillä hetkellä kun BHO tulee) ja kun poistan sen niin tulee joku toisen niminen??

        Mitä on nuo VPTray ja apity ja internat.exe?

        _________________________________

        Logfile of HijackThis v1.98.2
        Scan saved at 22:50:27, on 12.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\system32\apity.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\WINNT\iqmhip.dat
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\WINNT\System32\ZoneLabs\vsmon.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\HjT\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\litqm.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\litqm.dll/sp.html#96676
        R3 - Default URLSearchHook is missing
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [apity.exe] C:\WINNT\system32\apity.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - HKCU\..\Run: [System Update4] c:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi

        VPTray = kuuluu Norttoniin
        apity.exe = örkki
        internat.exe = on OK kuuluu systeemiin

        Kirjoita suorita kohtaan services.msc ja Ok
        Kato sieltä,jos tuo näkyy siellä

        Network Security Service

        Jos tuosta viimeisestä logista olet itse poistannu noita 02-Bho rivejä,niin pistä uus logi äläkä poista siittä mitään.


      • norman
        suzzu kirjoitti:

        Nyt on tehtynä, nuo R0-R3 rivit tulevat vaan uudestaan, vaikka poistaisin ne.
        edelleen tulee noita BHO juttuja, eli siis koneeseen tulee joku uusi .dll tiedosto (päivätty sillä hetkellä kun BHO tulee) ja kun poistan sen niin tulee joku toisen niminen??

        Mitä on nuo VPTray ja apity ja internat.exe?

        _________________________________

        Logfile of HijackThis v1.98.2
        Scan saved at 22:50:27, on 12.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\system32\apity.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\WINNT\iqmhip.dat
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\WINNT\System32\ZoneLabs\vsmon.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\HjT\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\litqm.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\litqm.dll/sp.html#96676
        R3 - Default URLSearchHook is missing
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [apity.exe] C:\WINNT\system32\apity.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - HKCU\..\Run: [System Update4] c:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi

        voi olla saastunutkin:
        http://securityresponse.symantec.com/avcenter/venc/data/w32.ghotex.a.html

        W2000 ei tuossa listassa näy, mutta lienee lähisukulainen xp:lle!
        apity.exe oli myös löytyvinään joltain foorumilta, mutta selkeää kuvaa en siitä saanut.
        Miten sitten tämä: C:\WINNT\iqmhip.dat
        Mitä löydät sen ominaisuuksista, luomispäivämäärä, käytetty viimeksi jne. Mikä ohjelma voisi luoda tuon? Skannaa noi epäilyttävät virustorjunnalla.


      • norman
        norman kirjoitti:

        voi olla saastunutkin:
        http://securityresponse.symantec.com/avcenter/venc/data/w32.ghotex.a.html

        W2000 ei tuossa listassa näy, mutta lienee lähisukulainen xp:lle!
        apity.exe oli myös löytyvinään joltain foorumilta, mutta selkeää kuvaa en siitä saanut.
        Miten sitten tämä: C:\WINNT\iqmhip.dat
        Mitä löydät sen ominaisuuksista, luomispäivämäärä, käytetty viimeksi jne. Mikä ohjelma voisi luoda tuon? Skannaa noi epäilyttävät virustorjunnalla.

        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        ja
        C:\Program Files\Internet Explorer\iexplore.exe


      • suzzu
        Juu kirjoitti:

        VPTray = kuuluu Norttoniin
        apity.exe = örkki
        internat.exe = on OK kuuluu systeemiin

        Kirjoita suorita kohtaan services.msc ja Ok
        Kato sieltä,jos tuo näkyy siellä

        Network Security Service

        Jos tuosta viimeisestä logista olet itse poistannu noita 02-Bho rivejä,niin pistä uus logi äläkä poista siittä mitään.

        Tämmönen on nyt, tuota network security serviceä ei näkynyt, mutta voisko olla joku suomenkielinen vastike??

        BHO juttuja en ole hijackilla (kai?) poistanut mutta spywareguard ilmoittaa niistä koko ajan ja ne pitää remuuvata..

        Otin poies toisen iexploren ja apity.exen:

        ________________________________--

        Logfile of HijackThis v1.98.2
        Scan saved at 0:52:32, on 13.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\WINNT\iqmhip.dat
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\WINNT\System32\ZoneLabs\vsmon.exe
        C:\Program Files\WindUpdates\WinUpdt.exe
        C:\Program Files\WindUpdates\WinKA.exe
        C:\PROGRA~1\INTERN~1\iexplore.exe
        C:\temp\msbb.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\BullsEye Network\bin\bargains.exe
        C:\HjT\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi


      • norman
        suzzu kirjoitti:

        Tämmönen on nyt, tuota network security serviceä ei näkynyt, mutta voisko olla joku suomenkielinen vastike??

        BHO juttuja en ole hijackilla (kai?) poistanut mutta spywareguard ilmoittaa niistä koko ajan ja ne pitää remuuvata..

        Otin poies toisen iexploren ja apity.exen:

        ________________________________--

        Logfile of HijackThis v1.98.2
        Scan saved at 0:52:32, on 13.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\WINNT\iqmhip.dat
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\WINNT\System32\ZoneLabs\vsmon.exe
        C:\Program Files\WindUpdates\WinUpdt.exe
        C:\Program Files\WindUpdates\WinKA.exe
        C:\PROGRA~1\INTERN~1\iexplore.exe
        C:\temp\msbb.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\BullsEye Network\bin\bargains.exe
        C:\HjT\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi

        O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
        Tuo on W32/Rbot-FP
        http://www.sophos.com/virusinfo/analyses/w32rbotfp.html


      • norman
        suzzu kirjoitti:

        Tämmönen on nyt, tuota network security serviceä ei näkynyt, mutta voisko olla joku suomenkielinen vastike??

        BHO juttuja en ole hijackilla (kai?) poistanut mutta spywareguard ilmoittaa niistä koko ajan ja ne pitää remuuvata..

        Otin poies toisen iexploren ja apity.exen:

        ________________________________--

        Logfile of HijackThis v1.98.2
        Scan saved at 0:52:32, on 13.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\WINNT\iqmhip.dat
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\WINNT\System32\ZoneLabs\vsmon.exe
        C:\Program Files\WindUpdates\WinUpdt.exe
        C:\Program Files\WindUpdates\WinKA.exe
        C:\PROGRA~1\INTERN~1\iexplore.exe
        C:\temp\msbb.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\BullsEye Network\bin\bargains.exe
        C:\HjT\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi

        C:\Program Files\WindUpdates\WinKA.exe

        epäilyttäviä:
        C:\PROGRA~1\INTERN~1\iexplore.exe

        C:\temp\msbb.exe


      • Juu
        suzzu kirjoitti:

        Tämmönen on nyt, tuota network security serviceä ei näkynyt, mutta voisko olla joku suomenkielinen vastike??

        BHO juttuja en ole hijackilla (kai?) poistanut mutta spywareguard ilmoittaa niistä koko ajan ja ne pitää remuuvata..

        Otin poies toisen iexploren ja apity.exen:

        ________________________________--

        Logfile of HijackThis v1.98.2
        Scan saved at 0:52:32, on 13.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\WINNT\iqmhip.dat
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\WINNT\System32\ZoneLabs\vsmon.exe
        C:\Program Files\WindUpdates\WinUpdt.exe
        C:\Program Files\WindUpdates\WinKA.exe
        C:\PROGRA~1\INTERN~1\iexplore.exe
        C:\temp\msbb.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\BullsEye Network\bin\bargains.exe
        C:\HjT\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi

        Jaahas tänne on ilmestynny uus örkki

        Hae tuolta CWShredder

        http://koti.mbnet.fi/pattaya1/cwshredder.htm

        Kato Ctrl Alt Delete,jos nämä näkyy siellä prosesseissa,niin sammuta ne.

        WinUpdt.exe
        WinKA.exe
        msbb.exe

        Piilotiedostot taas näkyviin

        Merkkaa nuo ,sulje selain ja muut avoimet ikkunat ja paina FIX checked

        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe

        Käynnistä sitte vikasietotilassa etsi ja poista jos löytyy

        gdk.dll
        msbb.exe
        C:\Program Files\WindUpdates\ < tuolta tuo WindUpdates kansio

        Käynnistä sitte normaalisti ja putsaa sillä CWShredder:llä.

        Pistä sitte uus logi,niin katotaan miltä se näyttää.

        Asenna myös kaikki tärkeät päivitykset Windows Updatesta.


      • scannannut
        suzzu kirjoitti:

        Tämmönen on nyt, tuota network security serviceä ei näkynyt, mutta voisko olla joku suomenkielinen vastike??

        BHO juttuja en ole hijackilla (kai?) poistanut mutta spywareguard ilmoittaa niistä koko ajan ja ne pitää remuuvata..

        Otin poies toisen iexploren ja apity.exen:

        ________________________________--

        Logfile of HijackThis v1.98.2
        Scan saved at 0:52:32, on 13.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\System32\internat.exe
        C:\docume~1\jÄrjes~1\applic~1\iexplore.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\WINNT\iqmhip.dat
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\WINNT\System32\ZoneLabs\vsmon.exe
        C:\Program Files\WindUpdates\WinUpdt.exe
        C:\Program Files\WindUpdates\WinKA.exe
        C:\PROGRA~1\INTERN~1\iexplore.exe
        C:\temp\msbb.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\BullsEye Network\bin\bargains.exe
        C:\HjT\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\gdk.dll/sp.html (obfuscated)
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi

        esim. Ad-Awarella ja antanut sen poistaa kaikki?

        Sillä tämä rivi

        C:\Program Files\BullsEye Network\bin\bargains.exe

        on spywarea ja Ad-Awaren pitäisi sen löytää ja poistaa.

        En huomannut oliko sulle jo kukaan sanonut ,että päivitä selaimesi versioon IE6 SP1 ja hae siihen KAIKKI päivitykset windows updatesta.


      • suzzu
        scannannut kirjoitti:

        esim. Ad-Awarella ja antanut sen poistaa kaikki?

        Sillä tämä rivi

        C:\Program Files\BullsEye Network\bin\bargains.exe

        on spywarea ja Ad-Awaren pitäisi sen löytää ja poistaa.

        En huomannut oliko sulle jo kukaan sanonut ,että päivitä selaimesi versioon IE6 SP1 ja hae siihen KAIKKI päivitykset windows updatesta.

        olen scannannut, ja myös spywareguard on päällä, samoin norton, ie:tä en ole päivittänyt vielä, saako sitä ad-awarea jotenkin säädettyä poistamaan kaikki mahdolliset?


      • scannannut
        suzzu kirjoitti:

        olen scannannut, ja myös spywareguard on päällä, samoin norton, ie:tä en ole päivittänyt vielä, saako sitä ad-awarea jotenkin säädettyä poistamaan kaikki mahdolliset?

        poista se sieltä lisää poista sovelluksesta jos löytyy

        samoin tämä

        WindsUpdates

        joka jo tuolla aiemmin mainittiin.

        Etsi molempien ohjelmien kansiot koneelta ja poista ne myös.


      • suzzu
        scannannut kirjoitti:

        poista se sieltä lisää poista sovelluksesta jos löytyy

        samoin tämä

        WindsUpdates

        joka jo tuolla aiemmin mainittiin.

        Etsi molempien ohjelmien kansiot koneelta ja poista ne myös.

        msbb.exe, windsupdatesin ja jotain muuta..

        ongelmana on vielä tuolla sovelluslistassa
        home search assistan ja pari muuta search assistanttia ja joku bridge, joita ei anna poistaa, vaan ilmottaa jotain vikaa pikakuvakkeessa, ei voi avata jotain uninstall sivua jne.. saako ne pois jotain muuta kautta??


      • Juu
        suzzu kirjoitti:

        msbb.exe, windsupdatesin ja jotain muuta..

        ongelmana on vielä tuolla sovelluslistassa
        home search assistan ja pari muuta search assistanttia ja joku bridge, joita ei anna poistaa, vaan ilmottaa jotain vikaa pikakuvakkeessa, ei voi avata jotain uninstall sivua jne.. saako ne pois jotain muuta kautta??

        Liitä uus logi tänne,koska siittä on helpoin nähä mikä on tilanne.


      • suzzu
        Juu kirjoitti:

        Liitä uus logi tänne,koska siittä on helpoin nähä mikä on tilanne.

        ite epäilen noita:
        msdx32.exe
        mfclz.exe

        Logfile of HijackThis v1.98.2
        Scan saved at 23:22:58, on 13.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\system32\ZONELABS\vsmon.exe
        C:\WINNT\Explorer.exe
        C:\WINNT\system32\mfclz.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\WINNT\ahsrdr.dat
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\System32\internat.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\HjT\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vxsyp.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vxsyp.dll/sp.html#96676
        R3 - Default URLSearchHook is missing
        O2 - BHO: (no name) - {70866A23-736C-958C-593F-465714696045} - C:\WINNT\system32\msdx32.dll
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [mfclz.exe] C:\WINNT\system32\mfclz.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi


      • Juu
        suzzu kirjoitti:

        ite epäilen noita:
        msdx32.exe
        mfclz.exe

        Logfile of HijackThis v1.98.2
        Scan saved at 23:22:58, on 13.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\system32\ZONELABS\vsmon.exe
        C:\WINNT\Explorer.exe
        C:\WINNT\system32\mfclz.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\WINNT\ahsrdr.dat
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\System32\internat.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\HjT\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vxsyp.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vxsyp.dll/sp.html#96676
        R3 - Default URLSearchHook is missing
        O2 - BHO: (no name) - {70866A23-736C-958C-593F-465714696045} - C:\WINNT\system32\msdx32.dll
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKLM\..\Run: [mfclz.exe] C:\WINNT\system32\mfclz.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi

        Onpa sitkee tapaus,kyllä AboutBusterin pitäis poistaa tämän kaapparin.

        Varmista että se sun Ad-aware on päivitetty ja sen asetukset on tollaviisiin.

        http://koti.mbnet.fi/pattaya1/ada2.htm

        Pistä taas ne piilotiedostot näkyviin

        Käynnistä sitte kone vikasietotilassa ja avaa HijackThis ohjelma.
        Paina Config.. ja Misc Tools ja sieltä avaa se Process manager.
        Valitse sieltä nämä ja Kill process

        C:\WINNT\ahsrdr.dat
        C:\WINNT\system32\mfclz.exe

        Sitte scannaa sillä Hijackillä ja merkkaa nuo ja paina FIX checked

        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vxsyp.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vxsyp.dll/sp.html#96676
        R3 - Default URLSearchHook is missing
        O2 - BHO: (no name) - {70866A23-736C-958C-593F-465714696045} - C:\WINNT\system32\msdx32.dll
        O4 - HKLM\..\Run: [mfclz.exe] C:\WINNT\system32\mfclz.exe

        Sitte etsi ja poista nämä jos löytyy

        vxsyp.dll
        msdx32.dll
        mfclz.exe
        ahsrdr.dat

        Sitte putsaat taas sillä AboutBusterilla 2 kertaa

        Edelleen vikasietotilassa scannaa Ad-Awarella ja poista kaikki mitä löytyy

        Käynnistä sitte normaalisti ja liitä uus logi tänne,niin nähään miten kävi.


      • suzzu
        Juu kirjoitti:

        Onpa sitkee tapaus,kyllä AboutBusterin pitäis poistaa tämän kaapparin.

        Varmista että se sun Ad-aware on päivitetty ja sen asetukset on tollaviisiin.

        http://koti.mbnet.fi/pattaya1/ada2.htm

        Pistä taas ne piilotiedostot näkyviin

        Käynnistä sitte kone vikasietotilassa ja avaa HijackThis ohjelma.
        Paina Config.. ja Misc Tools ja sieltä avaa se Process manager.
        Valitse sieltä nämä ja Kill process

        C:\WINNT\ahsrdr.dat
        C:\WINNT\system32\mfclz.exe

        Sitte scannaa sillä Hijackillä ja merkkaa nuo ja paina FIX checked

        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vxsyp.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vxsyp.dll/sp.html#96676
        R3 - Default URLSearchHook is missing
        O2 - BHO: (no name) - {70866A23-736C-958C-593F-465714696045} - C:\WINNT\system32\msdx32.dll
        O4 - HKLM\..\Run: [mfclz.exe] C:\WINNT\system32\mfclz.exe

        Sitte etsi ja poista nämä jos löytyy

        vxsyp.dll
        msdx32.dll
        mfclz.exe
        ahsrdr.dat

        Sitte putsaat taas sillä AboutBusterilla 2 kertaa

        Edelleen vikasietotilassa scannaa Ad-Awarella ja poista kaikki mitä löytyy

        Käynnistä sitte normaalisti ja liitä uus logi tänne,niin nähään miten kävi.

        Nyt ei ole enää näkyviä häiriöitä ainakaan, tuntuisi ongelmat häipyneen!

        taisi se viimeisin örkki olla tuo mfclz.exe ja se pitää sieltä HjT prosesseista poistaa, sitten vasta häipyi.. kiitti kaikille teille!

        tässä nykyinen:

        Logfile of HijackThis v1.98.2
        Scan saved at 17:11:01, on 15.8.2004
        Platform: Windows 2000 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.00 (5.00.2920.0000)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Symantec AntiVirus\DefWatch.exe
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\Program Files\Symantec AntiVirus\Rtvscan.exe
        C:\WINNT\Explorer.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\PROGRA~1\SYMANT~2\VPTray.exe
        C:\WINNT\System32\internat.exe
        C:\Program Files\WinZip\WZQKPICK.EXE
        C:\Program Files\SpywareGuard\sgmain.exe
        C:\WINNT\system32\ZONELABS\vsmon.exe
        C:\Program Files\SpywareGuard\sgbhp.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\HjT\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [HPIJetSend] C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
        O14 - IERESET.INF: START_PAGE_URL=http://www.msn.fi
        O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.fi


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Hoitajalakko peruuntuu, tilalle joukkoirtisanoutumiset

      "Tehyn ja Superin hallitukset kokoontuivat tänään toteamaan, että tilanne edellyttää järeämpiä työtaistelutoimia." https://www.hs.fi/politiikka/art-2
      Maailman menoa
      739
      9154
    2. Johan tuli oikea aivopieru Britti Lordilta

      Emeritusprofessori Lordi Robert Skidelsky sanoi Suomen rikkovan YYA sopimusta joka on tehty Neuvostoliiton kanssaa 1948. Mitä pir
      Maailman menoa
      373
      7897
    3. Tehyn Rytkösellä tallessa tekstiviestit A-studiokohussa

      https://www.mtvuutiset.fi/artikkeli/a-studiosta-kohu-tehyn-rytkosen-mukaan-ministeri-linden-sai-paattaa-osallistujat-ohjelma-kiistaa-vaitteen/8407068
      Maailman menoa
      160
      5600
    4. William ja Sonja Aiello ERO

      Hyvä Sonja! Nyt etsit uudet kaverit ja jätät nuo huume- ja rahanpesu porukat haisemaan taaksesi!
      Kotimaiset julkkisjuorut
      54
      2341
    5. Oho! Seurapiirikaunotar, ex-missi Sabina Särkkä yllättää tällä harvinaisella kyvyllä: "Mulla on..."

      Sabina Särkkä on nähty monissa tv-reality-sarjoissa. Mutta tiesitkö, että Särkällä on valokuvamuisti? https://www.suomi24.fi/viihde/oho-seurapiirikaun
      Kotimaiset julkkisjuorut
      6
      2085
    6. Se siitä sitten

      Kirjoitan tänne kun en sulle voi. En vaivaa sua enää koskaan. En ikinä tarkoittanut olla ahdistava tai takertuva. Tunteet heräsi enkä osannut olla tyy
      Ikävä
      82
      1734
    7. Ohhoh! Rita Niemi-Manninen otti ison tatuoinnin - Herätti somekansan: "Täydellinen paikka!"

      Rita Niemi-Mannisen suuri, uusi tatuointi on saanut somekansan heräämään talvihorroksesta. Niemi-Manninen otti tatskan rakkauslomalla Aki-miehensä kan
      Kotimaiset julkkisjuorut
      19
      1673
    8. Ihastumisesta kertominen

      Olen päättänyt kertoa tunteistani ihastukseni kohteelle. Erityisen vaikeaksi tilanteeni tekee se, että kyseessä on ns. kielletty rakkaus. Olen jo toi
      Ihastuminen
      92
      1419
    9. Taas Venäjän tiedoittaja akka Varoitti Suomea ja Ruotsia liittymästä Natoon

      Juuri sopivasti julkaistu varoitus, kun Suomen eduskunta alkaa klo 13:50 käsitellä asiaa suorassa TV 1:n lähetyksessä. ILtasanomat.
      Maailman menoa
      438
      1355
    10. Harvoin julkisuudessa nähty Jari Sillanpää, 56, julkaisi uusia kuvia - Karisti Suomen pölyt jaloista

      Huumekohun jälkeen matalaa profiilia pitänyt Jari "Siltsu" Sillanpää on ollut vaitonainen elämästään. Tänä keväänä miehen some on ollut hiljainen. Nyt
      Kotimaiset julkkisjuorut
      7
      1243
    Aihe