Auttakee

Siinä toisessa logissa oli vaan semmosia neliöitä ja muutama kirjain. Ja mitä tarkotti et
valitse alapuolelta kaikki fiilut???

* DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\tgbrfv_5.dll Fri 29 Oct 2004 16.23.28 A..H. 73 728 72,00 K
________________________________________________

1 198 items found: 1 198 files (1 H/S), 0 directories.
Total of file sizes: 234 238 728 bytes 223,39 M

Administrator Account = True

--------------------End log-------------------

Fuji kirjoitti:

Siinä toisessa logissa oli vaan semmosia neliöitä ja muutama kirjain. Ja mitä tarkotti et
valitse alapuolelta kaikki fiilut???

* DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\tgbrfv_5.dll Fri 29 Oct 2004 16.23.28 A..H. 73 728 72,00 K
________________________________________________

1 198 items found: 1 198 files (1 H/S), 0 directories.
Total of file sizes: 234 238 728 bytes 223,39 M

Administrator Account = True

--------------------End log-------------------

Lue lisää

Kun sää säästät sen nimellä Appinit.bat
niin sitte siinä alapuolella,en tiedä millä nimellä se on suomenkielisessä XP:ssä,koska mulla itellä on ruotsinkielinen XP.
Mutta mulla lukee Filformat ja siittä valitsee kaikki fiilut.


>Siinä toisessa logissa oli vaan semmosia neliöitä ja muutama kirjain<

Joo niin pitääki olla ja kato alemmas sitä logia,niin siellä on enempi koukeroita.
Kopioi tänne ne koukerot.

Juu kirjoitti:

Kun sää säästät sen nimellä Appinit.bat
niin sitte siinä alapuolella,en tiedä millä nimellä se on suomenkielisessä XP:ssä,koska mulla itellä on ruotsinkielinen XP.
Mutta mulla lukee Filformat ja siittä valitsee kaikki fiilut.


>Siinä toisessa logissa oli vaan semmosia neliöitä ja muutama kirjain<

Joo niin pitääki olla ja kato alemmas sitä logia,niin siellä on enempi koukeroita.
Kopioi tänne ne koukerot.

Lue lisää

Vaikka kopioi ne kaikki koukerot ja sit liittää ne tänne ni tähän ei tuu ku tuon verran:

regf


En kyllä ymmärtäny sitä fiilu-juttua vieläkään. Se on siis tossa työpöydällä ja kun sitä klikkaa ni välähtää semmonen musta ruutu ja sit sen alapuolelle tulee lehtiön kuva ja sen alla lukee windows. Sieltä tuo logikin löyty. Oonkohan nyt ihan hukassa???

Fuji kirjoitti:

Vaikka kopioi ne kaikki koukerot ja sit liittää ne tänne ni tähän ei tuu ku tuon verran:

regf


En kyllä ymmärtäny sitä fiilu-juttua vieläkään. Se on siis tossa työpöydällä ja kun sitä klikkaa ni välähtää semmonen musta ruutu ja sit sen alapuolelle tulee lehtiön kuva ja sen alla lukee windows. Sieltä tuo logikin löyty. Oonkohan nyt ihan hukassa???

Lue lisää

No kun sää säästät sen nimellä Appinit.bat ja kirjoitat sen Appinit.bat sinne,niin sitte siittä alapuolelta onko se nyt suomeks sitte jotain Tallennusmuoto,niin siittä valitset kaikki tiedostot.

Kun sää avaat sitte sen login,niin vedä sitä palkkia alaspäin vasemmalla,niin sieltä löytyy lisää tavaraa.
Kopioi tänne ne.

Juu kirjoitti:

No kun sää säästät sen nimellä Appinit.bat ja kirjoitat sen Appinit.bat sinne,niin sitte siittä alapuolelta onko se nyt suomeks sitte jotain Tallennusmuoto,niin siittä valitset kaikki tiedostot.

Kun sää avaat sitte sen login,niin vedä sitä palkkia alaspäin vasemmalla,niin sieltä löytyy lisää tavaraa.
Kopioi tänne ne.

Lue lisää

Siis se palkki on oikeella puolella

Juu kirjoitti:

No kun sää säästät sen nimellä Appinit.bat ja kirjoitat sen Appinit.bat sinne,niin sitte siittä alapuolelta onko se nyt suomeks sitte jotain Tallennusmuoto,niin siittä valitset kaikki tiedostot.

Kun sää avaat sitte sen login,niin vedä sitä palkkia alaspäin vasemmalla,niin sieltä löytyy lisää tavaraa.
Kopioi tänne ne.

Lue lisää

Siis se palkki on oikeella puolella

Juu kirjoitti:

No kun sää säästät sen nimellä Appinit.bat ja kirjoitat sen Appinit.bat sinne,niin sitte siittä alapuolelta onko se nyt suomeks sitte jotain Tallennusmuoto,niin siittä valitset kaikki tiedostot.

Kun sää avaat sitte sen login,niin vedä sitä palkkia alaspäin vasemmalla,niin sieltä löytyy lisää tavaraa.
Kopioi tänne ne.

Lue lisää

Tein nyt tuon ohjeen mukaan mut vaikka sieltä kopioi kaikki niin sit ku ne liittää ni tulee vaan tuon verran

regf


Pitikö mun avata sen appinit.bat alapuolella oleva windows kuva ja se kopioida tänne. Niin mä ainakin oon tehny???

Fuji kirjoitti:

Tein nyt tuon ohjeen mukaan mut vaikka sieltä kopioi kaikki niin sit ku ne liittää ni tulee vaan tuon verran

regf


Pitikö mun avata sen appinit.bat alapuolella oleva windows kuva ja se kopioida tänne. Niin mä ainakin oon tehny???

Lue lisää

Lataa tosta FINDnFIX

http://downloads.subratam.org/FINDnFIX.exe

Tuplaklikkaa sitä FINDnFIX.exe:tä,niin se asentaa koneelle kansion nimeltä FINDnFIX.
Avaa se FINDnFIX kansio ja tuplaklikkaa !LOG!.bat kohtaa ja anna sen rauhassa etsiä.
Kun se on valmis niin tulee LOG.txt esiin,liitä se logi tänne.

Juu kirjoitti:

Lataa tosta FINDnFIX

http://downloads.subratam.org/FINDnFIX.exe

Tuplaklikkaa sitä FINDnFIX.exe:tä,niin se asentaa koneelle kansion nimeltä FINDnFIX.
Avaa se FINDnFIX kansio ja tuplaklikkaa !LOG!.bat kohtaa ja anna sen rauhassa etsiä.
Kun se on valmis niin tulee LOG.txt esiin,liitä se logi tänne.

Lue lisää

Sat 30 Oct 04 15:29:08

»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»

*System:
Microsoft Windows XP Home Edition 5.1 Service Pack 1 (Build 2600)
*IE version:
6.0.2800.1106 SP1-Q330994-Q822925



MS-DOSin versio 5.00.500

*command.com test passed!

__________________________________
!!*Creating backups...!!
(*Backup already exist!)
15:29:08,34 la 30.10.2004
__________________________________

*Local time:
30. lokakuuta 2004 (30.10.2004)
15:29, Kesäaika
*Uptime:
15:29:09 up 0 days, 0:05:55

*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon group match required!)

User is a member of group KALA\Ei mitään.
User is a member of group \Kaikki.
User is a member of group BUILTIN\Järjestelmänvalvojat.
User is a member of group BUILTIN\Käyttäjät.
User is a member of group \PAIKALLINEN.
User is a member of group NT-HALLINTA\VUOROVAIKUTTEINEN.
User is a member of group NT-HALLINTA\Vahvistetut käyttäjät.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

User: [KALA\Tomppa], is a member of:

KALA\Ei mitään
\Everyone

Running in WORKSTATION MODE.

SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is KALA
Administrator's Name is Tomppa
Computer Name is KALA
LOGON SERVER is \\KALA

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder

______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________

......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»»» (*1*) »»»»» .........
»»Read access error(s)...


»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

C:\WINDOWS\SYSTEM32\
tgbrfv_5.dll Sat 30 Oct 2004 15.23.36 A..H. 73 728 72,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 73 728 bytes 72,00 K

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\TGBRFV_5.DLL
SNiF 1.34 statistics

Matching files : 1 Amount in bytes : 73728
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL


____________________________________________________________________________
*By size and date...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search and other files...

**File C:\WINDOWS\SYSTEM32\ELK.DLL
000057AB: 22 68 74 74 70 3A 2F 2F . 2F 78 6E 72 6D 2E 70 68 "http:// /xnrm.ph
**File C:\WINDOWS\SYSTEM32\HGEG.DLL
000020E8: 25 25 25 30 32 78 00 00 . 00 00 00 00 C0 82 05 B3 %%%02x.. ....À‚.³
**File C:\WINDOWS\SYSTEM32\KBHJCCA.DLL
000020E4: 25 25 25 30 32 78 00 00 . 00 00 00 00 C0 82 05 B3 %%%02x.. ....À‚.³
**File C:\WINDOWS\SYSTEM32\KDJ.DLL
000020E8: 25 25 25 30 32 78 00 00 . 00 00 00 00 C0 82 05 B3 %%%02x.. ....À‚.³
**File C:\WINDOWS\SYSTEM32\PAFBNAA.DLL
000020E8: 25 25 25 30 32 78 00 00 . 00 00 00 00 C0 82 05 B3 %%%02x.. ....À‚.³


No matches found.

"C:\WINDOWS\system32\"
hgeg.dll 30 Oct 2004 31744 "hgeg.dll"
kbhjcca.dll 29 Oct 2004 31744 "kbhjcca.dll"
kdj.dll 30 Oct 2004 31744 "kdj.dll"
pafbnaa.dll 30 Oct 2004 31744 "pafbnaa.dll"

4 items found: 4 files, 0 directories.
Total of file sizes: 126 976 bytes 124,00 K

*sp.html found in temp folder:
--a-- - - - - - 7,978 10-30-2004 sp.html
File: CRC-32 : 52133398 MD5 : 948F223D D7D74955 9293BB79 E02FF782
*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value Matches
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

No differences found.

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs   SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout   SZ   15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota   DWORD   00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler   SZ   yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk   SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout   SZ   90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota   DWORD   00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs =
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read    BUILTIN\K„ytt„j„t
(ID-IO) ALLOW Read    BUILTIN\K„ytt„j„t
(ID-NI) ALLOW Full access    BUILTIN\J„rjestelm„nvalvojat
(ID-IO) ALLOW Full access    BUILTIN\J„rjestelm„nvalvojat
(ID-NI) ALLOW Full access    NT-HALLINTA\SYSTEM
(ID-IO) ALLOW Full access    NT-HALLINTA\SYSTEM
(ID-IO) ALLOW Full access    LUOJA-OMISTAJA

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read    BUILTIN\K„ytt„j„t
Full access    BUILTIN\J„rjestelm„nvalvojat
Full access    NT-HALLINTA\SYSTEM



»»Performing string scan....
00001150: vk f AppInit_DLLs G
00001190: h vk UDeviceNotSelectedTimeout 1 5
000011D0: f O 9 0 =t vk ' zGDIProcessHandle
00001210:Quota" vk 8 Spooler2 y e s _ h
00001250: ` vk 5swapdisk vk
00001290: . TransmissionRetryTimeout h `
000012D0: vk ' ` USERProcessHandleQuota
00001310:
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
fùAppInit_DLLsÖ?æG
--------------
--------------
$01180: AppInit_DLLs
$011AF: UDeviceNotSelectedTimeout
$011FF: zGDIProcessHandleQuota
$01298: TransmissionRetryTimeout
$012E8: USERProcessHandleQuota
--------------
--------------
No strings found.

--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : ""
0000 00 00 | ..
-----------------------

»»»»»»Backups list...»»»»»»
15:30:28 up 0 days, 0:07:14
-----------------------
Sat 30 Oct 04 15:30:28


C:\FINDNFIX\
keyback.hiv Fri 17 Sep 2004 15.56.50 A.... 8 192 8,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8 192 bytes 8,00 K

C:\FINDNFIX\KEYS1\
winkey.reg Sat 30 Oct 2004 15.29.10 A.... 287 0,28 K

1 item found: 1 file, 0 directories.
Total of file sizes: 287 bytes 0,28 K

*Temp backups...

"C:\Documents and Settings\Tomppa\Local Settings\Temp\Backs2\"
keyback2.hi_ 17 Sep 2004 8192 "keyback2.hi_"
winkey2.re_ 17 Sep 2004 287 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8 479 bytes 8,28 K
-D---- JUNKXXX 00000000 15:29.10 30/10/2004
A----- STARTIT .BAT 00000060 15:29.10 30/10/2004

________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»
-----END------
Sat 30 Oct 04 15:30:29


Logfile of HijackThis v1.98.2
Scan saved at 17:27:34, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\windows\services.exe
C:\WINDOWS\svchost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINDOWS\System32\rinfom.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Tomppa\Työpöytä\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [rinfom] C:\WINDOWS\System32\rinfom.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Fuji kirjoitti:

Logfile of HijackThis v1.98.2
Scan saved at 17:27:34, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\windows\services.exe
C:\WINDOWS\svchost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINDOWS\System32\rinfom.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Tomppa\Työpöytä\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [rinfom] C:\WINDOWS\System32\rinfom.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Lue lisää

Siirrä se HijackThis.exe omaan kansioon tonne
C:/HjT/HijackThis.exe

Piilotiedostot näkyviin,ohje tuolla

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339


Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [rinfom] C:\WINDOWS\System32\rinfom.exe



Käynnistä sitte vikasietotilassa etsi ja poista jos löytyy

rinfom.exe

C:\WINDOWS\System32\windows\services.exe
- tuolta pois windows kansio

C:\WINDOWS\svchost.exe
- tuolta pois svchost.exe


Käynnistä sitte normaalisti ja uus Hijack logi tänne.

Juu kirjoitti:

Siirrä se HijackThis.exe omaan kansioon tonne
C:/HjT/HijackThis.exe

Piilotiedostot näkyviin,ohje tuolla

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339


Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [rinfom] C:\WINDOWS\System32\rinfom.exe



Käynnistä sitte vikasietotilassa etsi ja poista jos löytyy

rinfom.exe

C:\WINDOWS\System32\windows\services.exe
- tuolta pois windows kansio

C:\WINDOWS\svchost.exe
- tuolta pois svchost.exe


Käynnistä sitte normaalisti ja uus Hijack logi tänne.

Lue lisää

Logfile of HijackThis v1.98.2
Scan saved at 18:57:50, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Fuji kirjoitti:

Logfile of HijackThis v1.98.2
Scan saved at 18:57:50, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Lue lisää

Nyt on ok.

Juu kirjoitti:

Nyt on ok.

Ei ihan kaikki taida vielä olla kunnossa, sitä aloitussivua ei voi vaihtaa vieläkään. Mitäs nyt pitäis tehdä?

Fuji kirjoitti:

Ei ihan kaikki taida vielä olla kunnossa, sitä aloitussivua ei voi vaihtaa vieläkään. Mitäs nyt pitäis tehdä?

Pistä uus Hijack logi tänne.

Logfile of HijackThis v1.98.2
Scan saved at 12:28:26, on 1.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe
C:\NORMAN\Nvc\Bin\niu.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Fuji kirjoitti:

Logfile of HijackThis v1.98.2
Scan saved at 12:28:26, on 1.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe
C:\NORMAN\Nvc\Bin\niu.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Lue lisää

Piilotiedostot näkyviin,ohje tuolla

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Sammuta tuo prosessi

C:\WINDOWS\svchost.exe



Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe


Käynnistä sitte vikasietotilassa ,etsi ja poista jos löytyy

C:\WINDOWS\svchost.exe
- tuolta pois svchost.exe

Juu kirjoitti:

Piilotiedostot näkyviin,ohje tuolla

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Sammuta tuo prosessi

C:\WINDOWS\svchost.exe



Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe


Käynnistä sitte vikasietotilassa ,etsi ja poista jos löytyy

C:\WINDOWS\svchost.exe
- tuolta pois svchost.exe

Lue lisää

Ei vieläkään toimi aloitussivu. Ei löytynyt sitä svchost.exe:ä. Tossa logi nyt:

Logfile of HijackThis v1.98.2
Scan saved at 15:00:08, on 1.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\HjT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Fuji kirjoitti:

Ei vieläkään toimi aloitussivu. Ei löytynyt sitä svchost.exe:ä. Tossa logi nyt:

Logfile of HijackThis v1.98.2
Scan saved at 15:00:08, on 1.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\HjT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Lue lisää

No ei tässä logissa ainakaan näy mitään.
Mikä sivu sinne änkee aloitssivuksi?

Juu kirjoitti:

No ei tässä logissa ainakaan näy mitään.
Mikä sivu sinne änkee aloitssivuksi?

http://a-search.biz/

Fuji kirjoitti:

http://a-search.biz/

Tää voi näköjään olla pikkasen monimutkasempi poistaa.

Kirjoita Suorita kohtaan services.msc ja ok
Kato jos löydät sieltä servicen nimeltään


Plug and Play svc service

Siis se nimi pitää olla tarkalleen niinku tossa yläpuolella.

Juu kirjoitti:

Tää voi näköjään olla pikkasen monimutkasempi poistaa.

Kirjoita Suorita kohtaan services.msc ja ok
Kato jos löydät sieltä servicen nimeltään


Plug and Play svc service

Siis se nimi pitää olla tarkalleen niinku tossa yläpuolella.

Lue lisää

Siellä oli plug and play

Fuji kirjoitti:

Siellä oli plug and play

No mikähän siellä vänkää?

Ookko koittannu putsata Ad-Awarella ja Cwshredderillä.

Tyhjennä myös kaikki Temp kansiot.

Juu kirjoitti:

No mikähän siellä vänkää?

Ookko koittannu putsata Ad-Awarella ja Cwshredderillä.

Tyhjennä myös kaikki Temp kansiot.

Shredderillä oon kokeillu mut se ei auta. Ad-Aware se ei päivitä sitä, viimeisin päivitys 13.9. se kysyy et päivitykset 50 päivää vanhoja, haluatko päivittää ne. Siihen kyllä ja sit seuraavaks connect ni siihen tulee lukee et "Error retrieving update". Ja siitä kun menee eteenpäin ni siellä yläällä lukee et "Definitions file SE1R8 13.9.2004 loaded". Eikös siihen pitäis saada uudempi päivitys??

Fuji kirjoitti:

Shredderillä oon kokeillu mut se ei auta. Ad-Aware se ei päivitä sitä, viimeisin päivitys 13.9. se kysyy et päivitykset 50 päivää vanhoja, haluatko päivittää ne. Siihen kyllä ja sit seuraavaks connect ni siihen tulee lukee et "Error retrieving update". Ja siitä kun menee eteenpäin ni siellä yläällä lukee et "Definitions file SE1R8 13.9.2004 loaded". Eikös siihen pitäis saada uudempi päivitys??

Lue lisää

Joo uudempi päivitys löytyy.
Eikai palomuuri estä sitä päivitystä.

Juu kirjoitti:

Joo uudempi päivitys löytyy.
Eikai palomuuri estä sitä päivitystä.

tein kolme kertaa sen scannauksen niinkuin siinä neuvottiin ja kyllähän sieltä löyty niitä örkkejä. Poistin ne ja kokeilin vielä shredderiä mut se aloitussivu ei suostu vaihtumaan.

Fuji kirjoitti:

tein kolme kertaa sen scannauksen niinkuin siinä neuvottiin ja kyllähän sieltä löyty niitä örkkejä. Poistin ne ja kokeilin vielä shredderiä mut se aloitussivu ei suostu vaihtumaan.

Lue lisää

Mulla loppuu konstit,pistäs vielä Hijack logi tänne.

Juu kirjoitti:

Mulla loppuu konstit,pistäs vielä Hijack logi tänne.

Mulla on loppunut konstit jo ajat sitten. Tossa toi logi:

Logfile of HijackThis v1.98.2
Scan saved at 18:25:41, on 2.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\HjT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Fuji kirjoitti:

Mulla on loppunut konstit jo ajat sitten. Tossa toi logi:

Logfile of HijackThis v1.98.2
Scan saved at 18:25:41, on 2.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\HjT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Lue lisää

Haes tuolta tuo scanneri

http://www.mwti.net/antivirus/free_utilities.asp


Pistä sitte asetuksista,että se scannaa kaikki fiilut ja scannaa sillä koko kone.

Ilmoita sitte mitä se löytää,jos löytää.

Juu kirjoitti:

Piilotiedostot näkyviin,ohje tuolla

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Sammuta tuo prosessi

C:\WINDOWS\svchost.exe



Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe


Käynnistä sitte vikasietotilassa ,etsi ja poista jos löytyy

C:\WINDOWS\svchost.exe
- tuolta pois svchost.exe

Lue lisää

Mitenköhän tuo rivi, vaikka onkin tyhjä?
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

HJT kirjoitti:

Mitenköhän tuo rivi, vaikka onkin tyhjä?
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

Voihan sen poistaa,mutta tuskin sillä kaapparilla on sen kans mitään yhteistä.
Ihme tapaus ku ei löydy mitään millään.

Juu kirjoitti:

Voihan sen poistaa,mutta tuskin sillä kaapparilla on sen kans mitään yhteistä.
Ihme tapaus ku ei löydy mitään millään.

Outo on kyllä... jos ottas tuon vielä pois. Niin onhan Fuji varmaankin asettanut sen oman aloitussivun IE:asetuksista OK:ineen kaikkineen.

Juu kirjoitti:

Haes tuolta tuo scanneri

http://www.mwti.net/antivirus/free_utilities.asp


Pistä sitte asetuksista,että se scannaa kaikki fiilut ja scannaa sillä koko kone.

Ilmoita sitte mitä se löytää,jos löytää.

Lue lisää

Oon sieltä asetuksista kyllä kokeillu muuttaa sitä sivua, mut sitte ku avaa netin uudestaan ni se on taas vaihtunut. Scannasin koneen ja sieltä löyty tuonnäköistä. Otin vielä Hjt:n login koska se näytti taas erilaiselta kun viimeks.


File C:\WINDOWS\svchost.exe infected by "Trojan.Win32.StartPage.gs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TGBRFV_5.dll infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\svchost.exe infected by "Trojan.Win32.StartPage.gs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Hot_Kiss.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Sherlol" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msxmidi.exe infected by "TrojanDownloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\precontrol.exe infected by "TrojanClicker.Win32.Nex" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\svchost.exe infected by "Trojan.Win32.StartPage.gs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\zaebalinah.exe infected by "TrojanDownloader.Win32.Small.dk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\deinst_qfe002.exe infected by "TrojanDownloader.Win32.Small.it" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\eqkferja.dll infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\gigabit.exe infected by "I-Worm.Bagle.s" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\hgeg.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\kdj.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\msconfd.exe infected by "TrojanDropper.Win32.Small.en" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\notepad.exe infected by "Trojan.Win32.StartPage.gs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\pafbnaa.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TGBRFV_5.dll infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\wcpsvit.exe tagged as not-a-virus:AdWare.PurityScan.j. No Action Taken.
File C:\WINDOWS\System32\wmscrop.exe infected by "TrojanDownloader.Win32.Agent.dd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\_huytam_java.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.


Logfile of HijackThis v1.98.2
Scan saved at 11:13:14, on 3.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Fuji kirjoitti:

Oon sieltä asetuksista kyllä kokeillu muuttaa sitä sivua, mut sitte ku avaa netin uudestaan ni se on taas vaihtunut. Scannasin koneen ja sieltä löyty tuonnäköistä. Otin vielä Hjt:n login koska se näytti taas erilaiselta kun viimeks.


File C:\WINDOWS\svchost.exe infected by "Trojan.Win32.StartPage.gs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TGBRFV_5.dll infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\svchost.exe infected by "Trojan.Win32.StartPage.gs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Hot_Kiss.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Sherlol" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msxmidi.exe infected by "TrojanDownloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\precontrol.exe infected by "TrojanClicker.Win32.Nex" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\svchost.exe infected by "Trojan.Win32.StartPage.gs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\zaebalinah.exe infected by "TrojanDownloader.Win32.Small.dk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\deinst_qfe002.exe infected by "TrojanDownloader.Win32.Small.it" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\eqkferja.dll infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\gigabit.exe infected by "I-Worm.Bagle.s" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\hgeg.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\kdj.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\msconfd.exe infected by "TrojanDropper.Win32.Small.en" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\notepad.exe infected by "Trojan.Win32.StartPage.gs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\pafbnaa.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TGBRFV_5.dll infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\wcpsvit.exe tagged as not-a-virus:AdWare.PurityScan.j. No Action Taken.
File C:\WINDOWS\System32\wmscrop.exe infected by "TrojanDownloader.Win32.Agent.dd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\_huytam_java.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.


Logfile of HijackThis v1.98.2
Scan saved at 11:13:14, on 3.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Lue lisää

Olipas komee kokoelma,ei enää mikään ihme että se aloitussivu ei pysy haluttuna.
Tuo on hyvä scanneri mutta tuo ilmaisversio ei poista mitään.
Tuolla näkyy myös fiiluja mitä ollaan jo aikasemmin kaivettu esiin.
Nyt nuo pitäs myös saada pois.


Sammuta tuo prosessi

C:\WINDOWS\svchost.exe


Scannaa kone tuolla ja poista kaikki mitä löytyy

http://housecall.trendmicro.com/

Kerro sitte löysikö se mitään.

Juu kirjoitti:

Olipas komee kokoelma,ei enää mikään ihme että se aloitussivu ei pysy haluttuna.
Tuo on hyvä scanneri mutta tuo ilmaisversio ei poista mitään.
Tuolla näkyy myös fiiluja mitä ollaan jo aikasemmin kaivettu esiin.
Nyt nuo pitäs myös saada pois.


Sammuta tuo prosessi

C:\WINDOWS\svchost.exe


Scannaa kone tuolla ja poista kaikki mitä löytyy

http://housecall.trendmicro.com/

Kerro sitte löysikö se mitään.

Lue lisää

En kai oikein osannu käyttää tota scanneria.
Ensin valitsin maan ja sen jälkeen siellä oikeassa reunassa oli "download" mut se sivu ei ollu nyt käytössä.

C:\WINDOWS\svchost.exe < ei löydy tuommosta, ainoastaa nämä:

C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf

C:\WINDOWS\system32\svchost.exe

Pitikö sieltä löytyä jotain tällaista???
Nyt se ei enää kysy maat eikä mitään muutakaan. Scannaako se itestään?? En oo löytänyt ainakaan mitään scan-nappia.


WORM_AGOBOT.AAN Low Nov 3

WORM_BAGZ.F Low Nov 2 2.230.00

ELF_FAKEPATCH.A Low Nov 1 2.227.08 (CPR)

WORM_RBOT.VP Low Oct 29 2.228.00

WORM_BAGLE.AN Low Oct 29 2.227.02 (CPR)

WORM_BAGLE.AU Medium Oct 29 2.226.00

WORM_BAGLE.AT Medium Oct 29 2.226.00

WORM_ZAFI.C Low Oct 28 2.222.00

WORM_BAGZ.E Low Oct 27 2.225.01 (CPR)

MAC_RENEPO.B Low Oct 26 2.218.00

WORM_VOTE.L Low Oct 25 2.217.03 (CPR)

WORM_MYDOOM.AG Low Oct 25 2.222.00

WORM_TURON.B Low Oct 23 2.215.04 (CPR)

WORM_BAGZ.D Low Oct 22 2.213.02 (CPR)

WORM_BUCHON.B Low Oct 21 2.214.00

WORM_BAGZ.C Low Oct 20 2.209.04 (CPR)

WORM_MYDOOM.AA Low Oct 19 2.207.04 (CPR)

WORM_WOOTBOT.BJ Low Oct 19 2.206.00

WORM_NETSKY.AF Low Oct 13 2.199.08 (CPR)

MS_VULNERABILITIES_OCT2004 High Oct 12



WORM_FUNNER.A Low Oct 10 2.194.00

WORM_FILI.A Low Oct 11 2.193.14 (CPR)

WORM_EVAMAN.C Low Sep 19 2.175.11 (CPR)

WORM_BUCHON.B Low Oct 21 2.214.00

WORM_BLUEWORM.F Low Sep 8 2.180.00

WORM_BLUEWORM.C Low Sep 6 2.221.02 (CPR)

WORM_BAGZ.F Low Nov 2 2.230.00

WORM_BAGZ.E Low Oct 27 2.225.01 (CPR)

WORM_BAGZ.D Low Oct 22 2.213.02 (CPR)

WORM_BAGZ.C Low Oct 20 2.209.04 (CPR)

WORM_BAGZ.B Low Oct 12 2.227.04 (CPR)

WORM_BAGZ.A Low Oct 7 2.189.04 (CPR)

WORM_BAGLE.AU Medium Oct 29 2.226.00

WORM_BAGLE.AT Medium Oct 29 2.226.00

WORM_BAGLE.AN Low Oct 29 2.227.02 (CPR)

WORM_BAGLE.AM Low Sep 28 2.185.02 (CPR)

WORM_BAGLE.AL Low Aug 31 2.197.02 (CPR)

WORM_BAGLE.AJ Low Aug 17 2.163.35 (CPR)

WORM_BAGLE.AI Medium Aug 31 2.171.13 (CPR)

WORM_BAGLE.AC Medium Aug 9 1.953.00



WORM_ATAK.C Low Aug 17 1.959.05 (CPR)

WORM_AMUS.A Low Aug 5 1.952.09 (CPR)

WORM_AGOBOT.XJ Low Sep 22 2.178.00

WORM_AGOBOT.XI Low Sep 21 2.178.00

WORM_AGOBOT.AAN Low Nov 3

WINCE_BRADOR.A Low Aug 5 1.952.09 (CPR)

W64_SHRUGGLE.A Low Aug 24 2.163.06 (CPR)

TROJ_BAGLE.AC Low Aug 10 2.161.06 (CPR)

SYMBOS_QDIAL.A Low Aug 12 1.954.12 (CPR)

PE_LOVGATE.E Low Aug 11 1.956.10 (CPR)

PE_BUGBEAR.K Low Aug 21 2.161.09 (CPR)

MS04-028_JPEG_GDI High Sep 14

MS_VULNERABILITIES_OCT2004 High Oct 12

MAC_RENEPO.B Low Oct 26 2.218.00

HTML_MHTREDIR.V Low Aug 20 2.161.01 (CPR)

HTML_BAGLE.AI Low Aug 31 2.165.03 (CPR)

HTML_BAGLE.AC Low Aug 9 1.953.00

HKTL_JPGDOWN.A Low Sep 24 2.180.00

EXPL_JPGDOWN.C Low Oct 10 2.195.01 (CPR)

EXPL_JPGDOWN.B Low Oct 10 2.195.01 (CPR)
EXPL_JPGDOWN.A Low Sep 24 2.180.00

ELF_FAKEPATCH.A Low Nov 1 2.227.08 (CPR)

CHM_PSYME.N Low Aug 29 2.163.14 (CPR)

BKDR_SURILA.G Low Aug 16 2.163.28 (CPR)

Fuji kirjoitti:

Pitikö sieltä löytyä jotain tällaista???
Nyt se ei enää kysy maat eikä mitään muutakaan. Scannaako se itestään?? En oo löytänyt ainakaan mitään scan-nappia.


WORM_AGOBOT.AAN Low Nov 3

WORM_BAGZ.F Low Nov 2 2.230.00

ELF_FAKEPATCH.A Low Nov 1 2.227.08 (CPR)

WORM_RBOT.VP Low Oct 29 2.228.00

WORM_BAGLE.AN Low Oct 29 2.227.02 (CPR)

WORM_BAGLE.AU Medium Oct 29 2.226.00

WORM_BAGLE.AT Medium Oct 29 2.226.00

WORM_ZAFI.C Low Oct 28 2.222.00

WORM_BAGZ.E Low Oct 27 2.225.01 (CPR)

MAC_RENEPO.B Low Oct 26 2.218.00

WORM_VOTE.L Low Oct 25 2.217.03 (CPR)

WORM_MYDOOM.AG Low Oct 25 2.222.00

WORM_TURON.B Low Oct 23 2.215.04 (CPR)

WORM_BAGZ.D Low Oct 22 2.213.02 (CPR)

WORM_BUCHON.B Low Oct 21 2.214.00

WORM_BAGZ.C Low Oct 20 2.209.04 (CPR)

WORM_MYDOOM.AA Low Oct 19 2.207.04 (CPR)

WORM_WOOTBOT.BJ Low Oct 19 2.206.00

WORM_NETSKY.AF Low Oct 13 2.199.08 (CPR)

MS_VULNERABILITIES_OCT2004 High Oct 12



WORM_FUNNER.A Low Oct 10 2.194.00

WORM_FILI.A Low Oct 11 2.193.14 (CPR)

WORM_EVAMAN.C Low Sep 19 2.175.11 (CPR)

WORM_BUCHON.B Low Oct 21 2.214.00

WORM_BLUEWORM.F Low Sep 8 2.180.00

WORM_BLUEWORM.C Low Sep 6 2.221.02 (CPR)

WORM_BAGZ.F Low Nov 2 2.230.00

WORM_BAGZ.E Low Oct 27 2.225.01 (CPR)

WORM_BAGZ.D Low Oct 22 2.213.02 (CPR)

WORM_BAGZ.C Low Oct 20 2.209.04 (CPR)

WORM_BAGZ.B Low Oct 12 2.227.04 (CPR)

WORM_BAGZ.A Low Oct 7 2.189.04 (CPR)

WORM_BAGLE.AU Medium Oct 29 2.226.00

WORM_BAGLE.AT Medium Oct 29 2.226.00

WORM_BAGLE.AN Low Oct 29 2.227.02 (CPR)

WORM_BAGLE.AM Low Sep 28 2.185.02 (CPR)

WORM_BAGLE.AL Low Aug 31 2.197.02 (CPR)

WORM_BAGLE.AJ Low Aug 17 2.163.35 (CPR)

WORM_BAGLE.AI Medium Aug 31 2.171.13 (CPR)

WORM_BAGLE.AC Medium Aug 9 1.953.00



WORM_ATAK.C Low Aug 17 1.959.05 (CPR)

WORM_AMUS.A Low Aug 5 1.952.09 (CPR)

WORM_AGOBOT.XJ Low Sep 22 2.178.00

WORM_AGOBOT.XI Low Sep 21 2.178.00

WORM_AGOBOT.AAN Low Nov 3

WINCE_BRADOR.A Low Aug 5 1.952.09 (CPR)

W64_SHRUGGLE.A Low Aug 24 2.163.06 (CPR)

TROJ_BAGLE.AC Low Aug 10 2.161.06 (CPR)

SYMBOS_QDIAL.A Low Aug 12 1.954.12 (CPR)

PE_LOVGATE.E Low Aug 11 1.956.10 (CPR)

PE_BUGBEAR.K Low Aug 21 2.161.09 (CPR)

MS04-028_JPEG_GDI High Sep 14

MS_VULNERABILITIES_OCT2004 High Oct 12

MAC_RENEPO.B Low Oct 26 2.218.00

HTML_MHTREDIR.V Low Aug 20 2.161.01 (CPR)

HTML_BAGLE.AI Low Aug 31 2.165.03 (CPR)

HTML_BAGLE.AC Low Aug 9 1.953.00

HKTL_JPGDOWN.A Low Sep 24 2.180.00

EXPL_JPGDOWN.C Low Oct 10 2.195.01 (CPR)

EXPL_JPGDOWN.B Low Oct 10 2.195.01 (CPR)
EXPL_JPGDOWN.A Low Sep 24 2.180.00

ELF_FAKEPATCH.A Low Nov 1 2.227.08 (CPR)

CHM_PSYME.N Low Aug 29 2.163.14 (CPR)

BKDR_SURILA.G Low Aug 16 2.163.28 (CPR)

Lue lisää

Mee tonne

http://housecall.trendmicro.com/

Sitte siittä ylhäältä klikkaa kohtaa

Scan Now.It´s Free

Sitte tulee kysely ja vastaa Yes tai Ok.

Sitte se lataa pikkasen aikaa fiilua koneelle.
Kun se on valmiiks ladannu,niin esiin tulee ikkuna ja pistä täppi ruutuun Auto Clean.
Sitte pistät täpin sinne,että se scannaa koko koneen ja sitte paina Scan nappia.

Ilmota sitte mitä se löysi ja posti ja mitä se ei voinnu poistaa,jos semmosia löytyy.

Juu kirjoitti:

Mee tonne

http://housecall.trendmicro.com/

Sitte siittä ylhäältä klikkaa kohtaa

Scan Now.It´s Free

Sitte tulee kysely ja vastaa Yes tai Ok.

Sitte se lataa pikkasen aikaa fiilua koneelle.
Kun se on valmiiks ladannu,niin esiin tulee ikkuna ja pistä täppi ruutuun Auto Clean.
Sitte pistät täpin sinne,että se scannaa koko koneen ja sitte paina Scan nappia.

Ilmota sitte mitä se löysi ja posti ja mitä se ei voinnu poistaa,jos semmosia löytyy.

Lue lisää

Löysi viisi jutskaa ja poisti niistä 4.
Tämmöstä se ei poistanut:

TROJ STARTPGE.AP

Se oli siellä C\WINDOWS\svchost.exe

Fuji kirjoitti:

Löysi viisi jutskaa ja poisti niistä 4.
Tämmöstä se ei poistanut:

TROJ STARTPGE.AP

Se oli siellä C\WINDOWS\svchost.exe

No pistä uus Hijack logi,niin putsataan se taas kerran.

Juu kirjoitti:

No pistä uus Hijack logi,niin putsataan se taas kerran.

Logfile of HijackThis v1.98.2
Scan saved at 17:22:36, on 3.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Fuji kirjoitti:

Logfile of HijackThis v1.98.2
Scan saved at 17:22:36, on 3.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Lue lisää

Piilotiedostot näkyviin,ohje tuolla

http://www.xtra.co.nz/help/0,,4155-1916458,00.html


Paina Ctrl Alt Delete ja sieltä sammuta tuo prosessi

C:\WINDOWS\svchost.exe



Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe


Käynnistä sitte vikasietotilassa etsi ja poista

C:\WINDOWS\svchost.exe
- tuolta pois tuo svchost.exe

Käynnistä sitte normaalisti ja jos se aloitussivu vieläki temppuilee,niin scannaa uudestaan sillä scannerilla,jonka hait tuolta ja pistä se logi tänne.

http://www.mwti.net/antivirus/free_utilities.asp

Juu kirjoitti:

Piilotiedostot näkyviin,ohje tuolla

http://www.xtra.co.nz/help/0,,4155-1916458,00.html


Paina Ctrl Alt Delete ja sieltä sammuta tuo prosessi

C:\WINDOWS\svchost.exe



Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe


Käynnistä sitte vikasietotilassa etsi ja poista

C:\WINDOWS\svchost.exe
- tuolta pois tuo svchost.exe

Käynnistä sitte normaalisti ja jos se aloitussivu vieläki temppuilee,niin scannaa uudestaan sillä scannerilla,jonka hait tuolta ja pistä se logi tänne.

http://www.mwti.net/antivirus/free_utilities.asp

Lue lisää

Siellä on viisi niitä svchost.exe:ä

Mikä niistä pitää sammuttaa??
Niitten perässä on "käyttajänimi" kohta, ja niissä lukee "paikallinen palve", "Verkkopalve", "tomppa" ja kahdessa et "system". Eli mikä näistä pitää sammuttaa vai kaikki??

Fuji kirjoitti:

Siellä on viisi niitä svchost.exe:ä

Mikä niistä pitää sammuttaa??
Niitten perässä on "käyttajänimi" kohta, ja niissä lukee "paikallinen palve", "Verkkopalve", "tomppa" ja kahdessa et "system". Eli mikä näistä pitää sammuttaa vai kaikki??

Lue lisää

Siis sammutat vaan tämän,jos se siellä näkyy

C:\WINDOWS\svchost.exe


Sama sitte kun poistat tuon vikasietotilassa

svchost.exe

Niin poista se vaan tuolta ei mistään muualta

C:\WINDOWS\svchost.exe

Juu kirjoitti:

Siis sammutat vaan tämän,jos se siellä näkyy

C:\WINDOWS\svchost.exe


Sama sitte kun poistat tuon vikasietotilassa

svchost.exe

Niin poista se vaan tuolta ei mistään muualta

C:\WINDOWS\svchost.exe

Lue lisää

ei siinä näy kun vedoksen nimi eli se svchost.exe
ja niitä on ne viis samanlaista. Ei niitten edessä oo tota C:\WINDOWS tai mitään muutakaan

Fuji kirjoitti:

ei siinä näy kun vedoksen nimi eli se svchost.exe
ja niitä on ne viis samanlaista. Ei niitten edessä oo tota C:\WINDOWS tai mitään muutakaan

Avaa Hijackki
Paina Config..
Paina Misc Tools
Paina Open Process Manager


Sieltä klikkaa tota

C:\WINDOWS\svchost.exe

ja sitte Kill process

Sitte vaan jatkat aikasempien ohjeiden mukaan.

Juu kirjoitti:

Piilotiedostot näkyviin,ohje tuolla

http://www.xtra.co.nz/help/0,,4155-1916458,00.html


Paina Ctrl Alt Delete ja sieltä sammuta tuo prosessi

C:\WINDOWS\svchost.exe



Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe


Käynnistä sitte vikasietotilassa etsi ja poista

C:\WINDOWS\svchost.exe
- tuolta pois tuo svchost.exe

Käynnistä sitte normaalisti ja jos se aloitussivu vieläki temppuilee,niin scannaa uudestaan sillä scannerilla,jonka hait tuolta ja pistä se logi tänne.

http://www.mwti.net/antivirus/free_utilities.asp

Lue lisää

Ei pysy vieläkään sivu, tossa logi:

File C:\WINDOWS\System32\TGBRFV_5.dll infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Hot_Kiss.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Sherlol" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msxmidi.exe infected by "TrojanDownloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\precontrol.exe infected by "TrojanClicker.Win32.Nex" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\deinst_qfe002.exe infected by "TrojanDownloader.Win32.Small.it" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\eqkferja.dll infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\hgeg.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\kdj.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\pafbnaa.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TGBRFV_5.dll infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\wcpsvit.exe tagged as not-a-virus:AdWare.PurityScan.j. No Action Taken.
File C:\WINDOWS\System32\wmscrop.exe infected by "TrojanDownloader.Win32.Agent.dd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\_huytam_java.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.

Fuji kirjoitti:

Ei pysy vieläkään sivu, tossa logi:

File C:\WINDOWS\System32\TGBRFV_5.dll infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Hot_Kiss.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Sherlol" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msxmidi.exe infected by "TrojanDownloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\precontrol.exe infected by "TrojanClicker.Win32.Nex" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\deinst_qfe002.exe infected by "TrojanDownloader.Win32.Small.it" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\eqkferja.dll infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\hgeg.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\kdj.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\pafbnaa.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TGBRFV_5.dll infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\wcpsvit.exe tagged as not-a-virus:AdWare.PurityScan.j. No Action Taken.
File C:\WINDOWS\System32\wmscrop.exe infected by "TrojanDownloader.Win32.Agent.dd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\_huytam_java.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.

Lue lisää

Määpä pistän listan niistä tohon alapulelle.

C:\WINDOWS\System32\TGBRFV_5.dll
C:\WINDOWS\system32\TGBRFV_.exe
C:\WINDOWS\Hot_Kiss.exe
C:\WINDOWS\loadnew.exe
C:\WINDOWS\msxmidi.exe
C:\WINDOWS\precontrol.exe
C:\WINDOWS\System32\deinst_qfe002.exe
C:\WINDOWS\System32\eqkferja.dll
C:\WINDOWS\System32\hgeg.dll
C:\WINDOWS\System32\kdj.dll
C:\WINDOWS\System32\pafbnaa.dll
C:\WINDOWS\System32\wcpsvit.exe
C:\WINDOWS\System32\wmscrop.exe
C:\WINDOWS\System32\_huytam_java.exe


Pistä piilotiedostot näkyviin ja käynnistä kone vikasietotilassa.
Sitte järjestään etsit ja poistat noita tiedostoja.
Kattele sitte mitkä lähtee pois.
Ilmoita sitte mitkä ei lähtenny pois tosta listasta.

Juu kirjoitti:

Määpä pistän listan niistä tohon alapulelle.

C:\WINDOWS\System32\TGBRFV_5.dll
C:\WINDOWS\system32\TGBRFV_.exe
C:\WINDOWS\Hot_Kiss.exe
C:\WINDOWS\loadnew.exe
C:\WINDOWS\msxmidi.exe
C:\WINDOWS\precontrol.exe
C:\WINDOWS\System32\deinst_qfe002.exe
C:\WINDOWS\System32\eqkferja.dll
C:\WINDOWS\System32\hgeg.dll
C:\WINDOWS\System32\kdj.dll
C:\WINDOWS\System32\pafbnaa.dll
C:\WINDOWS\System32\wcpsvit.exe
C:\WINDOWS\System32\wmscrop.exe
C:\WINDOWS\System32\_huytam_java.exe


Pistä piilotiedostot näkyviin ja käynnistä kone vikasietotilassa.
Sitte järjestään etsit ja poistat noita tiedostoja.
Kattele sitte mitkä lähtee pois.
Ilmoita sitte mitkä ei lähtenny pois tosta listasta.

Lue lisää

Muut lähti pois paitsi näitä kahta ei löytynyt ollenkaan:

C:\WINDOWS\System32\TGBRFV_5.dll
C:\WINDOWS\system32\TGBRFV_.exe

Fuji kirjoitti:

Muut lähti pois paitsi näitä kahta ei löytynyt ollenkaan:

C:\WINDOWS\System32\TGBRFV_5.dll
C:\WINDOWS\system32\TGBRFV_.exe

No joo mää arvelin itekseni,että tuo ei lähe

TGBRFV_5.dll

Koska se näky siellä DLLCompare Logissa ja FINDnFIX logissa.

Koitas tätä:


Tän seuraavan operaation aikana kone käynnistyy uudestaan.
Jos sulla on jotain extraa siinä auki,niin sammuta jo valmiiks.

Aukase FINDnFIX kansio
Sitte aukaset sen KEYS1 kansion
Tuplaklikkaa FIX.bat kohtaa ja kone käynnistyy uudestaan.

Kun kone on käynnistynny uudestaan,niin etsi tuo TGBRFV_5.dll ja jos se löytyy,niin klikkaa sitä ja valitse valikosta LEIKKAA.
Sen jälkeen meet sinne FINDnFIX kansioon ja avaat sen junkxxx kansion ja liität sen fiilun sinne ja jos kysyy jotain niin vastaa Ok.

Sen jälken klikkaat sitä RESTORE.bat kohtaa ja sieltä tulee log2.txt logi.

Liitä se logi sitte tänne.

Juu kirjoitti:

No joo mää arvelin itekseni,että tuo ei lähe

TGBRFV_5.dll

Koska se näky siellä DLLCompare Logissa ja FINDnFIX logissa.

Koitas tätä:


Tän seuraavan operaation aikana kone käynnistyy uudestaan.
Jos sulla on jotain extraa siinä auki,niin sammuta jo valmiiks.

Aukase FINDnFIX kansio
Sitte aukaset sen KEYS1 kansion
Tuplaklikkaa FIX.bat kohtaa ja kone käynnistyy uudestaan.

Kun kone on käynnistynny uudestaan,niin etsi tuo TGBRFV_5.dll ja jos se löytyy,niin klikkaa sitä ja valitse valikosta LEIKKAA.
Sen jälkeen meet sinne FINDnFIX kansioon ja avaat sen junkxxx kansion ja liität sen fiilun sinne ja jos kysyy jotain niin vastaa Ok.

Sen jälken klikkaat sitä RESTORE.bat kohtaa ja sieltä tulee log2.txt logi.

Liitä se logi sitte tänne.

Lue lisää

Ku painaa sitä kohtaa FIX.bat ni siihen tulee teksti "Sovelluksen alustus epäonnistui (0xc0000017). Lopeta tämä sovellus valitsemalla OK". Nii ja siinä ylempänä lukee "msgbox.exe - Sovellusvirhe". Johtuukohan jostain näistä jutuista ku tää kone sammuilee vähän väliä, tulee semmonen sininen tausta ja siinä tekstiä esim. jostain BIOSista ja varjoalueista.

Fuji kirjoitti:

Ku painaa sitä kohtaa FIX.bat ni siihen tulee teksti "Sovelluksen alustus epäonnistui (0xc0000017). Lopeta tämä sovellus valitsemalla OK". Nii ja siinä ylempänä lukee "msgbox.exe - Sovellusvirhe". Johtuukohan jostain näistä jutuista ku tää kone sammuilee vähän väliä, tulee semmonen sininen tausta ja siinä tekstiä esim. jostain BIOSista ja varjoalueista.

Lue lisää

>Johtuukohan jostain näistä jutuista ku tää kone sammuilee vähän väliä, tulee semmonen sininen tausta ja siinä tekstiä esim. jostain BIOSista ja varjoalueista. <

No ei mitään tietoo mistä moinen johtuu.
Onko tuo vika ollu pitempään vai alkoiko se äsken.
Mitä tekstiä siinä on,katos tarkemmin.

Juu kirjoitti:

>Johtuukohan jostain näistä jutuista ku tää kone sammuilee vähän väliä, tulee semmonen sininen tausta ja siinä tekstiä esim. jostain BIOSista ja varjoalueista. <

No ei mitään tietoo mistä moinen johtuu.
Onko tuo vika ollu pitempään vai alkoiko se äsken.
Mitä tekstiä siinä on,katos tarkemmin.

Lue lisää

On ollut jo pidempään, pitää oottaa millon taas sammuu ni katon sit enemmän mitä siinä lukee.Mites sen edellisen homman kans tehdään??

Fuji kirjoitti:

On ollut jo pidempään, pitää oottaa millon taas sammuu ni katon sit enemmän mitä siinä lukee.Mites sen edellisen homman kans tehdään??

Avaa Hijackki
paina Misc Tools
paina Delete a file on reboot

Sitte kopioit ja liität ton rivin sinne

C:\WINDOWS\System32\TGBRFV_5.dll

Aukase se sinne ja käynnistä kone uudestaan.

En ole varma jos se lähtee tollaviisiin mutta koita.

Juu kirjoitti:

Avaa Hijackki
paina Misc Tools
paina Delete a file on reboot

Sitte kopioit ja liität ton rivin sinne

C:\WINDOWS\System32\TGBRFV_5.dll

Aukase se sinne ja käynnistä kone uudestaan.

En ole varma jos se lähtee tollaviisiin mutta koita.

Lue lisää

Ei löydy tollasta:
C:\WINDOWS\System32\TGBRFV_5.dll

joo äsken sammu taas kone, oiskohan sen tilan nimi ollu joku "pysätysvirhenäyttö" tai jotain sinnepäin. Siinä sanottiim et pitäis poistaa tai tarkastaa jotain uusia asennuksia. Siinä tais olla et jotain BIOSin asennuksia tai varjoalueita pitäis poistaa tai tehdä jotain muuta niille.

Fuji kirjoitti:

Ei löydy tollasta:
C:\WINDOWS\System32\TGBRFV_5.dll

joo äsken sammu taas kone, oiskohan sen tilan nimi ollu joku "pysätysvirhenäyttö" tai jotain sinnepäin. Siinä sanottiim et pitäis poistaa tai tarkastaa jotain uusia asennuksia. Siinä tais olla et jotain BIOSin asennuksia tai varjoalueita pitäis poistaa tai tehdä jotain muuta niille.

Lue lisää

Ilmoittiko Hijackki,että tota ei löydy vai?

:\WINDOWS\System32\TGBRFV_5.dll

Juu kirjoitti:

Ilmoittiko Hijackki,että tota ei löydy vai?

:\WINDOWS\System32\TGBRFV_5.dll

ku painan sitä delete..., sit aukee toinen sivu ja sit ku meen tonne C:\WINDOWS\system32 ni ei siellä oo semmosta tiedostoo. Oon kokeillu myös sillä etsi-ohjelmalla mut ei sitä löydy. Ja kyllä mulla on kaikki ne piilotiedostotkin näkyvillä.

Juu kirjoitti:

Ilmoittiko Hijackki,että tota ei löydy vai?

:\WINDOWS\System32\TGBRFV_5.dll

ku painan sitä delete..., sit aukee toinen sivu ja sit ku meen tonne C:\WINDOWS\system32 ni ei siellä oo semmosta tiedostoo. Oon kokeillu myös sillä etsi-ohjelmalla mut ei sitä löydy. Ja kyllä mulla on kaikki ne piilotiedostotkin näkyvillä.

oon pikkusen pihalla... joo tein sen jutskan, mitäs seuraavaks??

Fuji kirjoitti:

oon pikkusen pihalla... joo tein sen jutskan, mitäs seuraavaks??

Kai sää sitte käynnistit myös koneen uudestaan.

Lähetä uus DllCompare logi ,niin nähään lähtikö se pois.

Juu kirjoitti:

Kai sää sitte käynnistit myös koneen uudestaan.

Lähetä uus DllCompare logi ,niin nähään lähtikö se pois.

No joo, tossa toi logi, cei tainnut lähtee vai?

C:\WINDOWS\SYSTEM32\tgbrfv_5.dll Sat 6 Nov 2004 12.47.16 A..H. 73 728 72,00 K

Fuji kirjoitti:

No joo, tossa toi logi, cei tainnut lähtee vai?

C:\WINDOWS\SYSTEM32\tgbrfv_5.dll Sat 6 Nov 2004 12.47.16 A..H. 73 728 72,00 K

No ei niin lähtenny.

Haes ja asenna tuo

http://www.neuber.com/taskmanager/


Sitte avaa se ja oota että kaikki ne rivit tulee esiin.
Kato sitte tarkasti jos tuo näkyy siellä

tgbrfv_5.dll

Juu kirjoitti:

No ei niin lähtenny.

Haes ja asenna tuo

http://www.neuber.com/taskmanager/


Sitte avaa se ja oota että kaikki ne rivit tulee esiin.
Kato sitte tarkasti jos tuo näkyy siellä

tgbrfv_5.dll

Lue lisää

Ei löytynyt ku semmonen
userinit.exe,TGBRFV_

Fuji kirjoitti:

Ei löytynyt ku semmonen
userinit.exe,TGBRFV_

Joo klikkaa sitä ja poista se sieltä, jos ei voi poistaa,niin pistä se karanteeniin käynnistä kone uudestaan ja pistä uus Hijack logi tänne.

Juu kirjoitti:

Joo klikkaa sitä ja poista se sieltä, jos ei voi poistaa,niin pistä se karanteeniin käynnistä kone uudestaan ja pistä uus Hijack logi tänne.

Logfile of HijackThis v1.98.2
Scan saved at 14:22:59, on 6.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\HjT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Fuji kirjoitti:

Logfile of HijackThis v1.98.2
Scan saved at 14:22:59, on 6.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\HjT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Lue lisää

Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=



Mites sen toisen jutun kans kävi?
Pystykö sen poistaa vai pistikkö karanteeniin?

Juu kirjoitti:

Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=



Mites sen toisen jutun kans kävi?
Pystykö sen poistaa vai pistikkö karanteeniin?

Lue lisää

Joo kyllä se poisti sen, tässä uus logi jos tarvii:

Logfile of HijackThis v1.98.2
Scan saved at 14:59:33, on 6.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Juu kirjoitti:

Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.51/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=



Mites sen toisen jutun kans kävi?
Pystykö sen poistaa vai pistikkö karanteeniin?

Lue lisää

Joo kyllä se poisti sen, tässä uus logi jos tarvii:

Logfile of HijackThis v1.98.2
Scan saved at 14:59:33, on 6.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Fuji kirjoitti:

Joo kyllä se poisti sen, tässä uus logi jos tarvii:

Logfile of HijackThis v1.98.2
Scan saved at 14:59:33, on 6.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HjT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Lue lisää

No tuo logi on taas puhas.
Onko se aloitussivu kans kunnossa.........pliiiis sano,että on...heh.

Juu kirjoitti:

No tuo logi on taas puhas.
Onko se aloitussivu kans kunnossa.........pliiiis sano,että on...heh.

Eihän se oo. Mitäköhän sitä pitäis nyt tehdä. Onko vielä ideoita??

Fuji kirjoitti:

Eihän se oo. Mitäköhän sitä pitäis nyt tehdä. Onko vielä ideoita??

Nyt rupee meneen sormi suuhun tai johonki mualle.
Mikähän tapaus tää oikeen on?

Mees rekisteriin ja seuraa tota polkua

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows.


Sitte kun avaat ton viimeisen Windows kansion,niin näkyykö tuo tgbrfv_5.dll siinä oikealla puolella?

Juu kirjoitti:

Nyt rupee meneen sormi suuhun tai johonki mualle.
Mikähän tapaus tää oikeen on?

Mees rekisteriin ja seuraa tota polkua

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows.


Sitte kun avaat ton viimeisen Windows kansion,niin näkyykö tuo tgbrfv_5.dll siinä oikealla puolella?

Lue lisää

Mihis rekisteriin mun oikein pitäis mennä?? Ei ymmärrä..

Fuji kirjoitti:

Mihis rekisteriin mun oikein pitäis mennä?? Ei ymmärrä..

Kirjoita Suorita kohtaan regedit ja klikkaa Ok.

Avautuvasta ikkunasta vasemmalta klikkaa kaikki miinus merkit plussaksi.


Sitte vaan seuraat tota polkua ja avaat niitä kansioita

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows.


Sitte kun avaat ton viimeisen Windows kansion,niin näkyykö tuo tgbrfv_5.dll
siinä oikealla puolella.

Juu kirjoitti:

Kirjoita Suorita kohtaan regedit ja klikkaa Ok.

Avautuvasta ikkunasta vasemmalta klikkaa kaikki miinus merkit plussaksi.


Sitte vaan seuraat tota polkua ja avaat niitä kansioita

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows.


Sitte kun avaat ton viimeisen Windows kansion,niin näkyykö tuo tgbrfv_5.dll
siinä oikealla puolella.

Lue lisää

Elikkä ei sitä näy. Mitäs sitten??? Oisko sen pitänyt näkyä

Fuji kirjoitti:

Elikkä ei sitä näy. Mitäs sitten??? Oisko sen pitänyt näkyä

No ois ollu hyvä jos ois näkynny,niin ois voinnu poistaa sen.

Mulla loppu konstit nyt,mutta kyselin apua viisaammalta mieheltä ja palaan asiaan jos saan vastauksen ja neuvoa miten jatketaan.
Joten vilase tänne sillon tällön.

Juu kirjoitti:

No ois ollu hyvä jos ois näkynny,niin ois voinnu poistaa sen.

Mulla loppu konstit nyt,mutta kyselin apua viisaammalta mieheltä ja palaan asiaan jos saan vastauksen ja neuvoa miten jatketaan.
Joten vilase tänne sillon tällön.

Lue lisää

En ole vielä saannut vastausta,mutta voitais kokeilla yhtä juttua,jos oot paikalla.

Tollaviisiin sen pitäs kyllä lähtee

Ota tosta KillBox ja pura se omaan kansioon

http://www.bleepingcomputer.com/files/spyware/KillBox.z ip

Sitte avaa se ja pistä täppi ruutuun
Delete on Reboot

Sitte tähän kohtaan

Full Path of File to Delete

Kopioi tuo rivi siihen

C:\Windows\system32\TGBRFV_5.dll

ja paina sitä punasta ympyrää jossa on valakonen X ja vastaa Yes.
Sitte kone vissiin käynnistyy uudestaan.

Sitte ku kone on käynnistynny uudestaan,niin kopioi tuo rivi sinne ja teet samalla lailla ku aikasemmin.

C:\WINDOWS\System32\TGBRFV_.exe

Kun kone on taas käynnistynny uudestaan,niin pistä uus Hijack logi tänne.

Juu kirjoitti:

Tollaviisiin sen pitäs kyllä lähtee

Ota tosta KillBox ja pura se omaan kansioon

http://www.bleepingcomputer.com/files/spyware/KillBox.z ip

Sitte avaa se ja pistä täppi ruutuun
Delete on Reboot

Sitte tähän kohtaan

Full Path of File to Delete

Kopioi tuo rivi siihen

C:\Windows\system32\TGBRFV_5.dll

ja paina sitä punasta ympyrää jossa on valakonen X ja vastaa Yes.
Sitte kone vissiin käynnistyy uudestaan.

Sitte ku kone on käynnistynny uudestaan,niin kopioi tuo rivi sinne ja teet samalla lailla ku aikasemmin.

C:\WINDOWS\System32\TGBRFV_.exe

Kun kone on taas käynnistynny uudestaan,niin pistä uus Hijack logi tänne.

Lue lisää

Logfile of HijackThis v1.98.2
Scan saved at 18:42:41, on 9.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Documents and Settings\Tomppa\Omat tiedostot\Geims\Daemon tools\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\HjT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://a-search.biz?wmid=1010
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Documents and Settings\Tomppa\Omat tiedostot\Geims\Daemon tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Juu kirjoitti:

Tollaviisiin sen pitäs kyllä lähtee

Ota tosta KillBox ja pura se omaan kansioon

http://www.bleepingcomputer.com/files/spyware/KillBox.z ip

Sitte avaa se ja pistä täppi ruutuun
Delete on Reboot

Sitte tähän kohtaan

Full Path of File to Delete

Kopioi tuo rivi siihen

C:\Windows\system32\TGBRFV_5.dll

ja paina sitä punasta ympyrää jossa on valakonen X ja vastaa Yes.
Sitte kone vissiin käynnistyy uudestaan.

Sitte ku kone on käynnistynny uudestaan,niin kopioi tuo rivi sinne ja teet samalla lailla ku aikasemmin.

C:\WINDOWS\System32\TGBRFV_.exe

Kun kone on taas käynnistynny uudestaan,niin pistä uus Hijack logi tänne.

Lue lisää

Tässä ois logi:

Logfile of HijackThis v1.98.2
Scan saved at 18:50:43, on 9.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Documents and Settings\Tomppa\Omat tiedostot\Geims\Daemon tools\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\HjT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://a-search.biz?wmid=1010
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Documents and Settings\Tomppa\Omat tiedostot\Geims\Daemon tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Fuji kirjoitti:

Tässä ois logi:

Logfile of HijackThis v1.98.2
Scan saved at 18:50:43, on 9.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Documents and Settings\Tomppa\Omat tiedostot\Geims\Daemon tools\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\HjT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://a-search.biz?wmid=1010
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Documents and Settings\Tomppa\Omat tiedostot\Geims\Daemon tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Lue lisää

Se onnistu näköjään.

Merkkaa nuo sulje selain ja muut avoimet ikkunat ja paina FIX checked

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://a-search.biz?wmid=1010
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.51/hp.php
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_


Tän jälkeen pitäs se alotusivu asettua,mää peukutan.

Fuji kirjoitti:

Tässä ois logi:

Logfile of HijackThis v1.98.2
Scan saved at 18:50:43, on 9.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Documents and Settings\Tomppa\Omat tiedostot\Geims\Daemon tools\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\HjT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://a-search.biz?wmid=1010
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.51/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\TeleWell\TW-EA100B ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Documents and Settings\Tomppa\Omat tiedostot\Geims\Daemon tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Lue lisää

....

....... kirjoitti:

....

No helkkari, nyt se näytti asettuvan, eikä menny kovin kauan. Kiitoksia!!

Fuji kirjoitti:

No helkkari, nyt se näytti asettuvan, eikä menny kovin kauan. Kiitoksia!!

Hyvä jos tuli kuntoon ja eihän tossa kauaa menny,pikku juttu.....heh.

Juu kirjoitti:

Hyvä jos tuli kuntoon ja eihän tossa kauaa menny,pikku juttu.....heh.

Melkein 90viestin maratoni päättyi työvoittoon, JEEE