Searchinstantly.com

Tesco

2004-10-04 17:36:41

Nyt alkaa olla omat keinot vähissä. On ajettu Ad-Awaret, CWShredderit ja viimeisimpänä fixailtu HJT:llä mutta silti aloitussivuna on www.searchinstantly.com.

Eli HJT:n viimeinen loki on seuraava. Lokin kahdeksan ylintä riviä olen ruksinut ja antanut fiksata mutta buutattuani koneen samat rivit ilmestyvät uudelleen (ja aloitussivu siis tuo yllämainittu).

Logfile of HijackThis v1.98.2
Scan saved at 17:23:51, on 4.10.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2PLXX.EXE
C:\WINDOWS\CPQALERT.EXE
C:\WINDOWS\CPQDMI.EXE
C:\ALTIRIS\ACLIENT\ACLIENT.EXE
C:\DMI98\WIN32\BIN\WIN32SL.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSMA32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSMB32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FCH32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\BACKWEB\4119343\PROGRAM\FSBWSYS.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\BACKWEB\4119343\PROGRAM\BACKWEB-4119343.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FAMEH32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\DFW\PROGRAM\FSDFWD.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSGK32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSSM32.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSAV32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\PROMON.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\EASYACCESSBUTTONS\CPQEK.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\POWERCON ENHANCEMENTS\CPQACDC.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\HOTKEY SOFTWARE\HKSS.EXE
C:\OHJELMATIEDOSTOT\COMPAQ\SECURITY\SECURE32.EXE
C:\OHJELMATIEDOSTOT\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\OHJELMATIEDOSTOT\WINAMP\WINAMPA.EXE
C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSM32.EXE
C:\WINDOWS\SYSTEM\SVEHOST.EXE
C:\WINDOWS\SYSTEM\FIND1.EXE
C:\WINDOWS\SYSTEM\FT14.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchinstantly.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchinstantly.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchinstantly.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchinstantly.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchinstantly.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchinstantly.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchinstantly.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchinstantly.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-cache:8080;gopher=www-cache:8080;http=www-cache:8080;https=www-cache:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.tu-chemnitz.de;localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: (no name) - {9CE06CC1-0462-11D9-9A00-00D03D439EC6} - C:\WINDOWS\SYSTEM\EHKPO.DLL (file missing)
O2 - BHO: Popup Blocker - {593FA054-6BFB-4ce5-B87A-0A68DB7C0F08} - C:\WINDOWS\SYSTEM\ENIROTOOLBAR\POPUPBLOCKER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Eniro - {A3C4086C-097C-46b0-AFB0-76B5CC294233} - C:\WINDOWS\SYSTEM\ENIROTOOLBAR\TOOLBAND.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Check Dock] c:\Windows\Options\Cabs\cdock.exe
O4 - HKLM\..\Run: [cpqek] C:\Ohjelmatiedostot\Compaq\EasyAccessButtons\cpqek.exe
O4 - HKLM\..\Run: [Hibernation] C:\Ohjelmatiedostot\COMPAQ\PWRCON\HIB32.EXE
O4 - HKLM\..\Run: [CPQCalib] C:\Ohjelmatiedostot\COMPAQ\PWRCON\CPQCALIB.EXE
O4 - HKLM\..\Run: [CPQAcDc] C:\Ohjelmatiedostot\Compaq\PowerCon Enhancements\CPQAcDc.Exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Ohjelmatiedostot\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Ohjelmatiedostot\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hkss] C:\Ohjelmatiedostot\Compaq\HotKey Software\hkss.Exe
O4 - HKLM\..\Run: [Compaq Computer Security] C:\OHJELM~1\COMPAQ\SECURITY\Secure32.exe
O4 - HKLM\..\Run: [MMTray] C:\Ohjelmatiedostot\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmatiedostot\Winamp\winampa.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\svehost.exe
O4 - HKLM\..\Run: [find1] C:\WINDOWS\SYSTEM\find1.exe
O4 - HKLM\..\Run: [toolbar1] C:\WINDOWS\SYSTEM\toolbar1.exe
O4 - HKLM\..\Run: [ft14] C:\WINDOWS\SYSTEM\ft14.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plxx.exe
O4 - HKLM\..\RunServices: [CPQALERT] CPQALERT.EXE
O4 - HKLM\..\RunServices: [CPQDMI] CPQDMI.EXE
O4 - HKLM\..\RunServices: [AClient] C:\ALTIRIS\ACLIENT\ACLIENT.EXE -service
O4 - HKLM\..\RunServices: [fsaa] C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\fsaa.exe
O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\FSMA32.EXE
O4 - HKLM\..\RunOnce: [tool] command.com /c del c:\command.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Elisa Tietoturvapalvelu.lnk = C:\Ohjelmatiedostot\Elisa Tietoturvapalvelu\backweb\4119343\Program\backweb-4119343.exe
O8 - Extra context menu item: Hae Eniron avulla - res://C:\WINDOWS\SYSTEM\ENIROTOOLBAR\TOOLBAND.DLL/MENUSEARCH_FI.HTM
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = saunalahti.fi
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.74.0.47,195.74.0.55
O18 - Filter: text/plain - (no CLSID) - (no file)

467

Äänestä

Vastaukset

Juu
2004-10-04 18:29:42
Scannaa nuo yksitellen

C:\WINDOWS\SYSTEM\FIND1.EXE
C:\WINDOWS\SYSTEM\FT14.EXE
C:\WINDOWS\SYSTEM\toolbar1.exe

Tuolla

http://virusscan.jotti.dhs.org/

Kerro sitte mitä se sano niistä
- Tesco
  2004-10-04 18:54:19
  Eli tämmöstä tuli.
  
  FIND1.EXE
  
  Sandbox: W32/Malware; [ General information ]
  
  * File might be compressed.
  * File length: 28672 bytes.
  
  [ Changes to registry ]
  * Modifies value "Start Page"="http://www.searchinstantly.com/" in key "HKCU\Software\Microsoft\Internet Explorer\Main".
  * Sets value "Search Page"="http://www.searchinstantly.com/search.html" in key "HKCU\Software\Microsoft\Internet Explorer\Main".
  * Sets value "Search Bar"="http://www.searchinstantly.com/search.html" in key "HKCU\Software\Microsoft\Internet Explorer\Main".
  * Modifies value "Start Page"="http://www.searchinstantly.com/" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
  * Sets value "Search Page"="http://www.searchinstantly.com/search.html" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
  * Sets value "Search Bar"="http://www.searchinstantly.com/search.html" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
  * Creates key "HKLM\Software\Microsoft\Internet Explorer\Search".
  * Sets value "CustomizeSearch"="http://www.searchinstantly.com/search.html" in key "HKLM\Software\Microsoft\Internet Explorer\Search".
  * Sets value "SearchAssistant"="http://www.searchinstantly.com/search.html" in key "HKLM\Software\Microsoft\Internet Explorer\Search". (70.79 seconds taken)
  
  FT14.EXE
  
  Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
  
  Tuota kolmatta mainitsemaasi tiedostoa en jostain syystä nyt löydä mutta laitan sen myöhemmin.
- Ad-Aware
  2004-10-04 19:07:30
  myös tämä
  
  C:\WINDOWS\SYSTEM\svehost.exe
  
  vaikka taitaa olla selvä botti.
  
  .
  .
- Tesco
  2004-10-04 19:15:02
  Ad-Aware kirjoitti:
  myös tämä
  
  C:\WINDOWS\SYSTEM\svehost.exe
  
  vaikka taitaa olla selvä botti.
  
  .
  .
  Dr.Web löysi Trojan.DownLoader.655 (4.41 seconds taken). Muut ei löytäny mitään.
Juu
2004-10-04 19:12:10
Pistä se HijackThis.exe omaan kansioon.

Piilotiedostot näkyviin,ohje tuolla

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Sammuta nuo prosessit

C:\WINDOWS\SYSTEM\SVEHOST.EXE
C:\WINDOWS\SYSTEM\FIND1.EXE
C:\WINDOWS\SYSTEM\FT14.EXE

Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchinstantly.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchinstantly.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchinstantly.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchinstantly.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchinstantly.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchinstantly.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchinstantly.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchinstantly.com/search.html
O2 - BHO: (no name) - {9CE06CC1-0462-11D9-9A00-00D03D439EC6} - C:\WINDOWS\SYSTEM\EHKPO.DLL (file missing
O4 - HKLM\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\svehost.exe
O4 - HKLM\..\Run: [find1] C:\WINDOWS\SYSTEM\find1.exe
O4 - HKLM\..\Run: [toolbar1] C:\WINDOWS\SYSTEM\toolbar1.exe
O4 - HKLM\..\Run: [ft14] C:\WINDOWS\SYSTEM\ft14.exe
O4 - HKLM\..\RunOnce: [tool] command.com /c del c:\command.exe
O18 - Filter: text/plain - (no CLSID) - (no file)

Käynnistä sitte vikasietotilassa etsi ja poista jos löytyy

EHKPO.DLL
svehost.exe < älä sekoile ton kanssa
find1.exe
ft14.exe
toolbar1.exe

Käynnistäsitte normaalisti ja uus Hijack logi tänne.
- Tesco
  2004-10-04 20:37:07
  Jo vain, ikävästä sivusta irti, kiitos!
  
  Loki noiden toimenpiteiden jälkeen. Vieläkö siellä ois jotain epäilyttävää?
  
  Logfile of HijackThis v1.98.2
  Scan saved at 20:31:22, on 4.10.2004
  Platform: Windows 98 SE (Win9x 4.10.2222A)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
  
  Running processes:
  C:\WINDOWS\SYSTEM\KERNEL32.DLL
  C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  C:\WINDOWS\SYSTEM\MPREXE.EXE
  C:\WINDOWS\SYSTEM\mmtask.tsk
  C:\WINDOWS\SYSTEM\MSTASK.EXE
  C:\WINDOWS\SYSTEM\ATI2PLXX.EXE
  C:\WINDOWS\CPQALERT.EXE
  C:\WINDOWS\CPQDMI.EXE
  C:\ALTIRIS\ACLIENT\ACLIENT.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSMA32.EXE
  C:\DMI98\WIN32\BIN\WIN32SL.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSMB32.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FCH32.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\BACKWEB\4119343\PROGRAM\FSBWSYS.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\BACKWEB\4119343\PROGRAM\BACKWEB-4119343.EXE
  C:\WINDOWS\EXPLORER.EXE
  C:\WINDOWS\SYSTEM\RPCSS.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FAMEH32.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSGK32.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\DFW\PROGRAM\FSDFWD.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSSM32.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSAV32.EXE
  C:\WINDOWS\TASKMON.EXE
  C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  C:\WINDOWS\SYSTEM\IRMON.EXE
  C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
  C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
  C:\WINDOWS\SYSTEM\PROMON.EXE
  C:\OHJELMATIEDOSTOT\COMPAQ\EASYACCESSBUTTONS\CPQEK.EXE
  C:\OHJELMATIEDOSTOT\COMPAQ\POWERCON ENHANCEMENTS\CPQACDC.EXE
  C:\OHJELMATIEDOSTOT\COMPAQ\HOTKEY SOFTWARE\HKSS.EXE
  C:\OHJELMATIEDOSTOT\COMPAQ\SECURITY\SECURE32.EXE
  C:\OHJELMATIEDOSTOT\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE
  C:\WINDOWS\LOADQM.EXE
  C:\WINDOWS\SYSTEM\QTTASK.EXE
  C:\OHJELMATIEDOSTOT\WINAMP\WINAMPA.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSM32.EXE
  C:\WINDOWS\RunDLL.exe
  C:\WINDOWS\SYSTEM\DDHELP.EXE
  C:\WINDOWS\SYSTEM\WMIEXE.EXE
  C:\HJT\HIJACKTHIS.EXE
  C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
  
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-cache:8080;gopher=www-cache:8080;http=www-cache:8080;https=www-cache:8080
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.tu-chemnitz.de;localhost
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
  O2 - BHO: Popup Blocker - {593FA054-6BFB-4ce5-B87A-0A68DB7C0F08} - C:\WINDOWS\SYSTEM\ENIROTOOLBAR\POPUPBLOCKER.DLL
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
  O3 - Toolbar: Eniro - {A3C4086C-097C-46b0-AFB0-76B5CC294233} - C:\WINDOWS\SYSTEM\ENIROTOOLBAR\TOOLBAND.DLL
  O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
  O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
  O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
  O4 - HKLM\..\Run: [IrMon] IrMon.exe
  O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
  O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
  O4 - HKLM\..\Run: [Promon.exe] Promon.exe
  O4 - HKLM\..\Run: [Check Dock] c:\Windows\Options\Cabs\cdock.exe
  O4 - HKLM\..\Run: [cpqek] C:\Ohjelmatiedostot\Compaq\EasyAccessButtons\cpqek.exe
  O4 - HKLM\..\Run: [Hibernation] C:\Ohjelmatiedostot\COMPAQ\PWRCON\HIB32.EXE
  O4 - HKLM\..\Run: [CPQCalib] C:\Ohjelmatiedostot\COMPAQ\PWRCON\CPQCALIB.EXE
  O4 - HKLM\..\Run: [CPQAcDc] C:\Ohjelmatiedostot\Compaq\PowerCon Enhancements\CPQAcDc.Exe
  O4 - HKLM\..\Run: [SynTPLpr] C:\Ohjelmatiedostot\Synaptics\SynTP\SynTPLpr.exe
  O4 - HKLM\..\Run: [SynTPEnh] C:\Ohjelmatiedostot\Synaptics\SynTP\SynTPEnh.exe
  O4 - HKLM\..\Run: [hkss] C:\Ohjelmatiedostot\Compaq\HotKey Software\hkss.Exe
  O4 - HKLM\..\Run: [Compaq Computer Security] C:\OHJELM~1\COMPAQ\SECURITY\Secure32.exe
  O4 - HKLM\..\Run: [MMTray] C:\Ohjelmatiedostot\MusicMatch\MusicMatch Jukebox\mm_tray.exe
  O4 - HKLM\..\Run: [LoadQM] loadqm.exe
  O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
  O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmatiedostot\Winamp\winampa.exe
  O4 - HKLM\..\Run: [F-Secure Manager] "C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\FSM32.EXE" /splash
  O4 - HKLM\..\Run: [F-Secure TNB] "C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\TNB\TNBUtil.exe" /CHECKALL
  O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
  O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plxx.exe
  O4 - HKLM\..\RunServices: [CPQALERT] CPQALERT.EXE
  O4 - HKLM\..\RunServices: [CPQDMI] CPQDMI.EXE
  O4 - HKLM\..\RunServices: [AClient] C:\ALTIRIS\ACLIENT\ACLIENT.EXE -service
  O4 - HKLM\..\RunServices: [fsaa] C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\fsaa.exe
  O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\FSMA32.EXE
  O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
  O4 - Startup: Microsoft Office.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office10\OSA.EXE
  O4 - Global Startup: Elisa Tietoturvapalvelu.lnk = C:\Ohjelmatiedostot\Elisa Tietoturvapalvelu\backweb\4119343\Program\backweb-4119343.exe
  O8 - Extra context menu item: Hae Eniron avulla - res://C:\WINDOWS\SYSTEM\ENIROTOOLBAR\TOOLBAND.DLL/MENUSEARCH_FI.HTM
  O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = saunalahti.fi
  O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.74.0.47,195.74.0.55
- Juu
  2004-10-05 11:09:16
  Tesco kirjoitti:
  Jo vain, ikävästä sivusta irti, kiitos!
  
  Loki noiden toimenpiteiden jälkeen. Vieläkö siellä ois jotain epäilyttävää?
  
  Logfile of HijackThis v1.98.2
  Scan saved at 20:31:22, on 4.10.2004
  Platform: Windows 98 SE (Win9x 4.10.2222A)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
  
  Running processes:
  C:\WINDOWS\SYSTEM\KERNEL32.DLL
  C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  C:\WINDOWS\SYSTEM\MPREXE.EXE
  C:\WINDOWS\SYSTEM\mmtask.tsk
  C:\WINDOWS\SYSTEM\MSTASK.EXE
  C:\WINDOWS\SYSTEM\ATI2PLXX.EXE
  C:\WINDOWS\CPQALERT.EXE
  C:\WINDOWS\CPQDMI.EXE
  C:\ALTIRIS\ACLIENT\ACLIENT.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSMA32.EXE
  C:\DMI98\WIN32\BIN\WIN32SL.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSMB32.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FCH32.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\BACKWEB\4119343\PROGRAM\FSBWSYS.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\BACKWEB\4119343\PROGRAM\BACKWEB-4119343.EXE
  C:\WINDOWS\EXPLORER.EXE
  C:\WINDOWS\SYSTEM\RPCSS.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FAMEH32.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSGK32.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\DFW\PROGRAM\FSDFWD.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSSM32.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\ANTI-VIRUS\FSAV32.EXE
  C:\WINDOWS\TASKMON.EXE
  C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  C:\WINDOWS\SYSTEM\IRMON.EXE
  C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
  C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
  C:\WINDOWS\SYSTEM\PROMON.EXE
  C:\OHJELMATIEDOSTOT\COMPAQ\EASYACCESSBUTTONS\CPQEK.EXE
  C:\OHJELMATIEDOSTOT\COMPAQ\POWERCON ENHANCEMENTS\CPQACDC.EXE
  C:\OHJELMATIEDOSTOT\COMPAQ\HOTKEY SOFTWARE\HKSS.EXE
  C:\OHJELMATIEDOSTOT\COMPAQ\SECURITY\SECURE32.EXE
  C:\OHJELMATIEDOSTOT\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE
  C:\WINDOWS\LOADQM.EXE
  C:\WINDOWS\SYSTEM\QTTASK.EXE
  C:\OHJELMATIEDOSTOT\WINAMP\WINAMPA.EXE
  C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\COMMON\FSM32.EXE
  C:\WINDOWS\RunDLL.exe
  C:\WINDOWS\SYSTEM\DDHELP.EXE
  C:\WINDOWS\SYSTEM\WMIEXE.EXE
  C:\HJT\HIJACKTHIS.EXE
  C:\OHJELMATIEDOSTOT\INTERNET EXPLORER\IEXPLORE.EXE
  
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-cache:8080;gopher=www-cache:8080;http=www-cache:8080;https=www-cache:8080
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.tu-chemnitz.de;localhost
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
  O2 - BHO: Popup Blocker - {593FA054-6BFB-4ce5-B87A-0A68DB7C0F08} - C:\WINDOWS\SYSTEM\ENIROTOOLBAR\POPUPBLOCKER.DLL
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
  O3 - Toolbar: Eniro - {A3C4086C-097C-46b0-AFB0-76B5CC294233} - C:\WINDOWS\SYSTEM\ENIROTOOLBAR\TOOLBAND.DLL
  O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
  O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
  O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
  O4 - HKLM\..\Run: [IrMon] IrMon.exe
  O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
  O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
  O4 - HKLM\..\Run: [Promon.exe] Promon.exe
  O4 - HKLM\..\Run: [Check Dock] c:\Windows\Options\Cabs\cdock.exe
  O4 - HKLM\..\Run: [cpqek] C:\Ohjelmatiedostot\Compaq\EasyAccessButtons\cpqek.exe
  O4 - HKLM\..\Run: [Hibernation] C:\Ohjelmatiedostot\COMPAQ\PWRCON\HIB32.EXE
  O4 - HKLM\..\Run: [CPQCalib] C:\Ohjelmatiedostot\COMPAQ\PWRCON\CPQCALIB.EXE
  O4 - HKLM\..\Run: [CPQAcDc] C:\Ohjelmatiedostot\Compaq\PowerCon Enhancements\CPQAcDc.Exe
  O4 - HKLM\..\Run: [SynTPLpr] C:\Ohjelmatiedostot\Synaptics\SynTP\SynTPLpr.exe
  O4 - HKLM\..\Run: [SynTPEnh] C:\Ohjelmatiedostot\Synaptics\SynTP\SynTPEnh.exe
  O4 - HKLM\..\Run: [hkss] C:\Ohjelmatiedostot\Compaq\HotKey Software\hkss.Exe
  O4 - HKLM\..\Run: [Compaq Computer Security] C:\OHJELM~1\COMPAQ\SECURITY\Secure32.exe
  O4 - HKLM\..\Run: [MMTray] C:\Ohjelmatiedostot\MusicMatch\MusicMatch Jukebox\mm_tray.exe
  O4 - HKLM\..\Run: [LoadQM] loadqm.exe
  O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
  O4 - HKLM\..\Run: [WinampAgent] C:\Ohjelmatiedostot\Winamp\winampa.exe
  O4 - HKLM\..\Run: [F-Secure Manager] "C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\FSM32.EXE" /splash
  O4 - HKLM\..\Run: [F-Secure TNB] "C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\TNB\TNBUtil.exe" /CHECKALL
  O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
  O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plxx.exe
  O4 - HKLM\..\RunServices: [CPQALERT] CPQALERT.EXE
  O4 - HKLM\..\RunServices: [CPQDMI] CPQDMI.EXE
  O4 - HKLM\..\RunServices: [AClient] C:\ALTIRIS\ACLIENT\ACLIENT.EXE -service
  O4 - HKLM\..\RunServices: [fsaa] C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\fsaa.exe
  O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\OHJELMATIEDOSTOT\ELISA TIETOTURVAPALVELU\Common\FSMA32.EXE
  O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
  O4 - Startup: Microsoft Office.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office10\OSA.EXE
  O4 - Global Startup: Elisa Tietoturvapalvelu.lnk = C:\Ohjelmatiedostot\Elisa Tietoturvapalvelu\backweb\4119343\Program\backweb-4119343.exe
  O8 - Extra context menu item: Hae Eniron avulla - res://C:\WINDOWS\SYSTEM\ENIROTOOLBAR\TOOLBAND.DLL/MENUSEARCH_FI.HTM
  O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = saunalahti.fi
  O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.74.0.47,195.74.0.55
  Nyt on ok.
- Tesco
  2004-10-05 19:34:28
  Juu kirjoitti:
  Nyt on ok.
  .. vielä kerran!

Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

Takaisin ylös

Luetuimmat keskustelut

Mistä puhuitte viimeksi kun näitte
Kerro yksi aiheista
02.06.2025 12:33Ikävä
66
4500
Olenko saanut sinut koukkuun?
Hyvä. Rakastan sua.
02.06.2025 15:27Ikävä
105
3505
ROTAT VALTAAVAT ALUEITA
Asukkaat nyt loukkuja tekemään ja kiireellä, jätehuolto kuntoon, jätteet niille kuuluville paikoille, huomioikaa yrittäj
01.06.2025 17:35Äänekoski
37
3208
Miten minusta tuntuu että kaikki tietää sun tunteista mua kohtaan
Paitsi suoraan minä itse, vai mitä hlvettiä täällä tapahtuu ja miksi ihmiset susta kyselee minulta 🤔❤️
01.06.2025 14:55Ikävä
26
2628
Se on hyvästi
Toivottavasti ei tavata.
02.06.2025 22:42Ikävä
47
2523
Alavuden sairaala
Säästääkö Alavuden sairaala sähkössä. Kävin Sunnuntaina vast. otolla. Odotushuone ja käytävä jolla lääkäri otti vastaan
02.06.2025 09:23Ähtäri
5
2139
Sisäsiittosuus
Tämän kevään ylioppilaista 90% oli sama sukunimi?
02.06.2025 07:44Suomussalmi
22
2014
Kerro todelliset motiivit
kaivattuasi kohtaan?
01.06.2025 18:36Ikävä
197
1913
Reuters: Ukraina on iskenyt Venäjän strategisia pommikoneita vastaan. Jopa 40 konetta vahingoittunut
Ukrainan turvallisuuspalvelu SBU on iskenyt Venäjän strategisia pommikoneita vastaan, kertoo Reuters. Uutistoimiston läh
01.06.2025 14:41NATO
395
1552
Huomenta kulta
En mä halunnut sulle ilkeillä,päinvastoin. Miks mä niin tekisin ku rakastan sua ❤️ mut anteeksi jos ilmaisin itseäni huo
02.06.2025 07:45Ikävä
9
1418

Searchinstantly.com

Vastaukset

Ad-Aware kirjoitti:

Tesco kirjoitti:

Juu kirjoitti:

Luetuimmat keskustelut

Mistä puhuitte viimeksi kun näitte

Olenko saanut sinut koukkuun?

ROTAT VALTAAVAT ALUEITA

Miten minusta tuntuu että kaikki tietää sun tunteista mua kohtaan

Se on hyvästi

Alavuden sairaala

Sisäsiittosuus

Kerro todelliset motiivit

Reuters: Ukraina on iskenyt Venäjän strategisia pommikoneita vastaan. Jopa 40 konetta vahingoittunut

Huomenta kulta

Paperimiehestä näyttelijäksi - Mikko Töyssy ja epätavallinen tarina

Miksi ihmiset eivät pysty laihtumaan?

Ex-mäkikotka Janne Ahonen ohjeistaa yllättäen Farmi Suomi -kisaajia: "Siellä ei..."

Reuters: Ukraina on iskenyt Venäjän strategisia pommikoneita vastaan. Jopa 40 konetta vahingoittunut

TV-VINKKI: Brittisarjojen ystäville taattua laatua tarjolla - Suojelijat-rikossarja tv:ssä

Miksi nuori ottaa hatkat? Rajut seuraukset: seksuaalinen hyväksikäyttö, väkivalta, huumeet...

Kansainvälinen perunapäivä

Shokki! Suuri seikkailu -kisassa todellinen jättiyllätys - Tämä muutos järkyttää varmasti monia!

Mitä muistat 1990-luvusta? Tule pelaamaan Testeri-tietovisaa!

Kannattaako suomalaisen nuoren lähteä Thaimaahan au pairiksi? Mitä olet mieltä?