Heipparallaa, ad-aware löysi sitten liudan örkkimörkkejä (vaikka IE:n käytöstä olen jo luopunut), joten varmuuden vuoksi vielä tää logi, josko jotain epäilyttävää löytyisi....
Tää pisti silmään tuolta logista: C:\WINDOWS\ALCXMNTR.EXE
Tuosta oli puhetta tuolla yhden aikaisemman login yhteydessä, mitäs sille oikein pitäisikään tehdä....?
Ja sitten tää: C:\WINDOWS\system32\Ati2evxx.exe, taitaapi olla ihan hyödyllinen prosessi, mutta osaako kukaan sanoa, miks niitä on kaksi?
Ja onkos tää kovinkin tarpeellinen, vai heivaanko hittoon käynnistyvistä? C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
Logfile of HijackThis v1.98.2
Scan saved at 19:12:52, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HJT\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://haku.soneraplaza.fi/haku/queryie5.jsp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.soneraplaza.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.soneraplaza.fi
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Sonera Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.fi;*.*.fi;*.*.*.fi;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: HP-näkymä - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Program Files\Common Files\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\Hewlett-Packard\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.soneraplaza.fi
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
logia pukkaa!
5
401
Vastaukset
Joo otetaan vakooja pois. Sammuta tuo Tehtävienhallinnassa
C:\WINDOWS\ALCXMNTR.EXE
Sulje selain ja muut ikkunat,laita merkki eteen ja paina FIX
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
Etsi ja poista
C:\WINDOWS\---tuo---ALCXMNTR.EXE
Tuo tupla Ati2evxx.exe on kyllä outo, en tiedä miksi noin. Sen kyllä pitäisi olla ihan hyödyllinen, tosin joskus saattaa käyttää aika paljon CPU:ta
Turhalta vaikuttaa tuo VS7Debug\mdm.exe http://support.microsoft.com/default.aspx?scid=kb;en-us;321410- ree
Tuo ALCXMNTR.EXE on kummitellut logissani ennenkin, eikä siitä mitään silloin sanottu, onkos vaan HJT:ltä silloin jäänyt tuo huomaamatta, vai onks tää joku uus juttu että tuo on örkki?
Tuolla siis aikaisempi logini, on se sielläkin:
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&posting=22000000004659065
Ja esim Juu ei ole ottanut mitään kantaa ko. prosessiin, viitaten vaikka seur.threadiin:
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&posting=22000000005014204
Varmistelen tässä vaan että tuo on varmasti örkki eikä mikään tarpeellinen prosessi.... kun ei sitä ennen oo poistettavaksi kehoitettu??? ree kirjoitti:
Tuo ALCXMNTR.EXE on kummitellut logissani ennenkin, eikä siitä mitään silloin sanottu, onkos vaan HJT:ltä silloin jäänyt tuo huomaamatta, vai onks tää joku uus juttu että tuo on örkki?
Tuolla siis aikaisempi logini, on se sielläkin:
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&posting=22000000004659065
Ja esim Juu ei ole ottanut mitään kantaa ko. prosessiin, viitaten vaikka seur.threadiin:
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&posting=22000000005014204
Varmistelen tässä vaan että tuo on varmasti örkki eikä mikään tarpeellinen prosessi.... kun ei sitä ennen oo poistettavaksi kehoitettu???huomio, on voinut hyvinkin jäädä huomaamatta mutta todennäköisemmin on tullut uutta tietoa. Vakoojaksi väittävät tuolla.
http://computercops.biz/startuplist-180.html- ree
ree kirjoitti:
Tuo ALCXMNTR.EXE on kummitellut logissani ennenkin, eikä siitä mitään silloin sanottu, onkos vaan HJT:ltä silloin jäänyt tuo huomaamatta, vai onks tää joku uus juttu että tuo on örkki?
Tuolla siis aikaisempi logini, on se sielläkin:
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&posting=22000000004659065
Ja esim Juu ei ole ottanut mitään kantaa ko. prosessiin, viitaten vaikka seur.threadiin:
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&posting=22000000005014204
Varmistelen tässä vaan että tuo on varmasti örkki eikä mikään tarpeellinen prosessi.... kun ei sitä ennen oo poistettavaksi kehoitettu???ALCXMNTR.EXE = Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor one's actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers
Eli ei sinänsä kai mikään pahis, mutta jos ei halua tietojaan realtekille niin sopii poistaa. Hmm... kaikkea uutta sitä oppii:) - ree
HJT kirjoitti:
huomio, on voinut hyvinkin jäädä huomaamatta mutta todennäköisemmin on tullut uutta tietoa. Vakoojaksi väittävät tuolla.
http://computercops.biz/startuplist-180.htmlSaman jutun sit löysinkin ihan ite:)
Tänks HJT! Siistiä ku on tommosia hemmoja olemassa!
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Kuolemanrangaistus
Mielestäni kuolemanrangaistus on väärin kaikissa tilanteissa. Vaikka joku olisi murhannut 10 ihmistä, hänen surmaaminen1186864Miksi persut eivät häädä mamuja pois Suomesta?
Sitä vartenhan persut äänestettiin valtaan. Nyt valta on persuilla. Mamut nostaa työttömyyskorvauksia. Persut huutaa mam474552Riikka Purra ei estä tehomaksun käyttöönottoa
Sähkön hinnoittelua koskevan määräyksen on määrä astua voimaan vuoden 2029 alusta, Energiavirastosta kerrotaan. Määräyk723702Sinä olet minun forEver
Sinä olet minun sielussain, sydämessäin, huulillain, sinä olet ain, Sinä olet vieressäin, kainalossain, sylissäin, ain,272754Sanna Marinille pedataan paluuta pääministeriksi?
Näyttäisi mylly lähteneen käyntiin nyt toden teolla. Nykyiset oikeistodemarit haukutaan vasemmistodemareiden toimesta ni282441Jos kaikki lopulta kuolevat, onko edes pahimmillakaan rikoksilla mitään väliä?
Kaikki kuolevat lopulta. Siksi ihmisten tekemillä rikoksillakaan ei lopulta ole mitään merkitystä. Joidenkin mielestä t221916Mies joka vetäytyy osoittaa teoillaan
Ettei halua olla tekemisissä. Mies joka ei vastaa viesteihin, ei halua sua. Mies joka jättää sut epätietoisuuteen, ei2001428Martinan prinsessahäät peruuntui
Seiska uutisoi Kauneus ja Terveyslehden artikkeliin perustuen mihin nämä häät kosahti.3191234Vakavasti psyykkisesti sairas on pakkohoidossa - Ja asuu silti kotona
Miten käy, kun vakavasti psyykkisesti sairas "hoidetaan" kotona? Norjassa psyykkisesti sairaiden vuodepaikkojen määrä on371032- 88888