HijackThis logi ja rivit miten niitä tulkitaan.

Ennenkuin aloitetaan niin olethan ajanut Ad-Awaren ja Spybotin ja poistanut niillä kaiken ylimääräisen roskan.

Näin säästät kaikkien aikaa niin login tulkitsijoiden kuin omaasi kun saat ne ohjeet nopeammin miten koneesi puhdistetaan

Sen lisäksi tarkista vielä jollain ilmaisella Online virusscannerilla kone läpi.Käytä ainakin kahta näistä ja anna niiden poistaa kaikki mitä löytävät.
TrendMicro HouseCall Scan Now
Panda ActiveScan
BitDefender Free Online Virus Scan

Esimerkki

  • R0, R1, R2, R3 - Internet Explorer Koti- / Haku sivujen osoitteet
  • F0, F1 - Automaattisesti latautuvat ohjelmat INI-tiedostoista
  • N1, N2, N3, N4 - Netscape/Mozilla Koti- / Haku sivujen osoitteet
  • O1 - Hosts tiedoston uudelleenohjaus
  • O2 - Browser Helper Objects
  • O3 - Internet Explorer työkalurivit
  • O4 - Automaattisesti latautuvat ohjelmat Rekisteristä
  • O5 - IE:n Internet asetukset ikoni ei näkyvissä Ohjauspaneelissa
  • O6 - IE:n Internet asetuksiin pääsy rajoitettu Järjestelmänvalvojan toimesta
  • O7 - Rekisterinmuokkaukseen pääsy rajoitettu Järjestelmänvalvojan toimesta
  • O8 - Ylimääräiset rivit siellä IE:n oikean näppäimen valikossa
  • O9 - Ylimääräiset painikkeet IE:n työkalurivillä vakiopainikkeiden vieressä
  • O10 - Winsock kaappari
  • O11 - Extra group in IE 'Advanced Options' window
  • O12 - IE plugins
  • O13 - IE OletusPrefix kaapattu
  • O14 - 'Reset Web Settings' kaapattu
  • O15 - Ei toivottuja sivuja Luotetuissa sivustoissa
  • O16 - ActiveX Objektit , ladatut ohjelmatiedostot
  • O17 - Lop.com domain kaappari
  • O18 - Extra protocols and protocol kaapparit
  • O19 - User style sheet kaappari
  • O20 - AppInit_DLLs autorun Registry value
  • O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
  • O22 - SharedTaskScheduler autorun Registry key
  • O23 - NT Palveluiden luetteleminen

        

------------------------------------------------------------------------------------------------------------------

Missä / Miten niitä tulkitaan -

Olen laittanut esimerkkirivejä joissa mustalla värillä olevat ovat ihan OK ja punaisella värillä ne jotka ovat pahoja (viruksia , troijalaisia, kotisivu - / selainkaappareita, adwarea, spywarea, dialereita yms..)
Aina kun löydät rivejä jotka näyttävät / täyttävät tunnusmerkki viittaukset niihin punaisiin riveihin niin se merkitsee ,että siellä logissa on jotain ylimääräistä mikä sinne ei kuulu ja niiden poistamiseksi (Älä yritä itse poistaa) liitä se koko logi johonkin foorumiin ,sillä siellä saat parhaan mahdollisen avun.

------------------------------------------------------------------------------------------------------------------

Esimerkkejä :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.soneraplaza.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yle.fi/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Sonera Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://your-searcher.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res:// C:\WINDOWS\System32\kmjbea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50029
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINNT\system32\searchbar.html
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
R3 - Default URLSearchHook is missing

Ellet tunnista osoitetta joka on koti- / hakusivusi kohdalla niin se on sitten kaapattu jonkun toimesta.
Käytä myös apuna sen tunnistamiseen tuota http://www.systemlookup.com/lists.php?list=1
R3 - rivit ovat yleensä kaikki pahoja.Varsinkaan jos et tunnista rivillä olevaa nimeä / ohjelmaa.

------------------------------------------------------------------------------------------------------------------

Esimerkkejä :

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E3C75ADD-28CA-1552-C53A-CB5117FD483C} - C:\WINDOWS\winei.dll
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\MXTARGET.DLL
O2 - BHO: (no name) - {01F44A8A-8C97-4325-A378-76E68DC4AB2E} - C:\WINNT\systb.dll (file missing)
O2 - BHO: (no name) - {000E7270-CC7A-0786-8E7A-DA09B51938A6} - C:\WINDOWS\System32\n3tpa1.dll

Etsikää kyseisestä rivistä lisätietoja CLSID -sarjan perusteella tai rivin viimeisenä olevan tiedostonimen (tummennettu) perusteella. Hakuja voitte suorittaa monessa paikassa.Tässä niissä muutama.

sysinfo.org/bholist
castlecops.com/CLSID
systemlookup.com/CLSID List Uusi
sekä tietysti aina Google

esim. 0000607D-D204-42C7-8E46-216055BF9918 antaa seuraavan tuloksen

Kohdassa Status

X tarkoittaa spywarea / foistwarea, tai muuta haittaohjelmaa  
L asiallinen on siis OK  
O vielä avoin jatkotutkimuksia varten
? ei vielä tunneta merkitystä

Kohdassa Description
selostetaan löydösten tarkempi kuvaus ja mahdollisia lisälinkkejä.

Ylläolevassa esimerkkikuvassa siellä status kohdassa on merkki X ja tämä on siis PAHA rivi.

O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\MXTARGET.DLL

esim. E3C75ADD-28CA-1552-C53A-CB5117FD483C tai winei.dll ei löydä yhtään tulosta. Ei edes Google
---> joten siitä voi jo päätellä, että tämä kyseinen rivi ei sinne kuulu ja on siis PAHA..

O2 - BHO: (no name) - {E3C75ADD-28CA-1552-C53A-CB5117FD483C} - C:\WINDOWS\winei.dll


Mielestäni KAIKKI muut status merkinnät mitkä ei ole L ovat epäilyttäviä ja vaativat siten jatkotutkimuksia.

Lisätietoa myös tuossa http://www.sysinfo.org/bhoinfo.html ja tietoa miksi kaikista riveistä ei löydy tietoa.

------------------------------------------------------------------------------------------------------------------

Esimerkkejä :

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Program Files\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
O3 - Toolbar: 2020 Search - {4E1075F4-EEC4-4a86-ADD7-CD5F52858C31} - C:\WINDOWS\2020SE~1.DLL
O3 - Toolbar: & ZestyFind toolbar - {5CF8A355-F8C6-4883-9C25-49D01A7D25BE} - C:\WINDOWS\zestyfind.dll
O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\PROGRAM FILES\MYSEARCH\BAR\1.BIN\S4BAR.DLL

Etsikää kyseisestä rivistä lisätietoja CLSID -sarjan perusteella tai rivin viimeisenä olevan tiedostonimen (tummennettu) perusteella. Hakuja voitte suorittaa monessa paikassa.Tässä niissä muutama.

castlecops.com/CLSID
sysinfo.org/bholist
systemlookup.com/CLSID List Uusi
sekä tietysti aina Google

esim. 8F05B1A8-9D77-4B8F-AF54-6B2202066F95 antaa seuraavan tuloksen

Kohdassa Status

X tarkoittaa spywarea / foistwarea, tai muuta haittaohjelmaa  
L asiallinen on siis OK  
O vielä avoin jatkotutkimuksia varten
? ei vielä tunneta merkitystä

Kohdassa Description
selostetaan löydösten tarkempi kuvaus ja mahdollisia lisälinkkejä.

Ylläolevassa esimerkkikuvassa siellä status kohdassa on merkki L ja tämä on siis asiallinen rivi siis OK.

O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Program Files\Panicware\Pop-Up Stopper Companion\popupus.dll

esim. 5CF8A355-F8C6-4883-9C25-49D01A7D25BE antaa seuraavan tuloksen



Ylläolevassa esimerkkikuvassa siinä status kohdassa on merkki X ja tämä on siis PAHA rivi.

O3 - Toolbar: & ZestyFind toolbar - {5CF8A355-F8C6-4883-9C25-49D01A7D25BE} - C:\WINDOWS\zestyfind.dll

Mielestäni KAIKKI muut status merkinnät mitkä ei ole L ovat epäilyttäviä ja vaativat siten jatkotutkimuksia.

Varoituksen sana vielä kerran
Älkää siis missään tapauksessa alkako niitä itse poistamaan

------------------------------------------------------------------------------------------------------------------

Oletko todella varma ,että ne kaikki ovat tarpeellisia siellä koneen käynnistyksen yhteydessä. Mitä enemmän siellä on käynnistyviä ohjelmia / tiedostoja sitä hitaammin kone käynnistyy. Osa on siis ihan turhia ja sitten siellä voi olla erittäin haitallisia tiedostoja käynnissä (viruksia,troijalaisia yms..) sekä tietysti selainkaappari- ,adware-,spyware- tiedostoja. Tässä esimerkissä mustalla olevat rivit eivät kaikki todellakaan ole siellä välttämättömiä, punaiset rivit ovat KAIKKI pahoja.

Esimerkkejä :

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [2N85L533MR#GJT] C:\WINDOWS\System32\LegMSCZ.exe
O4 - HKLM\..\Run: [GJQWDKQ] C:\WINDOWS\GJQWDKQ.exe
O4 - HKLM\..\Run: [TB_setup] C:\DOCUME~1\Owner\LOCALS~1\Temp\tb_setup.exe /dcheck
O4 - HKLM\..\Run: [Configuration Loader] syscfg32.exe
O4 - HKLM\..\Run: [skynetave.exe] C:\WINNT\skynetave.exe
O4 - HKLM\..\Run: [avserve.exe] C:\WINNT\avserve.exe

Etsikää kyseisestä rivistä lisätietoja [hakasulkeiden] sisällä olevan nimen perusteella tai rivin viimeisenä olevaa .exe-pääteistä tiedostoa (tummennettu) ilman .exe päätettä tai sen kanssa..

esimerkkejä..hakuja samasta rivistä eri tavalla...
qttask.exe , qttask , QuickTime Task , QuickTime

Hakuja voitte suorittaa monessa paikassa.Tässä niissä muutama

sysinfo.org/startuplist
http://www.systemlookup.com Startup List Uusi
windowsstartup.com
sekä tietysti aina Google

esim.QuickTime Task antaa seuraavan tuloksen

Kohdassa Status

"Y" - Jätetään normaalisti käynnistymään
"N" - Ei tarvita - yleensä harvoin käytetään ohjelmaa minkä voi käynnistää 'käsin' jos katsoo sen tarpeelliseksi
"U" - Käyttäjän valinta - riippuu käyttäjän päätöksestä onko katsonut sen tarpeelliseksi
"X" - Ehdottomasti ei tarvita - yleensä viruksia ,troijalaisia , spywarea, adwarea ja " resurssi ahmia / syöppö "
"?" - Tuntematon

Kohdassa Description
selostetaan löydösten tarkempi kuvaus ja mahdollisia lisälinkkejä.

Ylläolevan esimerkkikuvan tuloksessa näkyy tässä tapauksessa kaksi (2) riviä.
Haettiin siis tuon [hakasulkeiden] sisällä olevalla hakusanalla. Sitten joudutaan vielä katsomaan mikä sen rivin loppuosan tiedostonimi on. Tässä se on siis qttask.exe. Huomaa siis ,että siitä puuttuu tuon qttask perästä se kirjain s (qttasks) Kun nyt sitten verrataan tuon avulla sitä löydöstä niin oikea vastaus on se ylimmäinen rivi (Quick Time ohjelma).

Sitten siellä status kohdassa on merkki N ja tätä riviä ei siis siellä tarvita

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

esim.zlclient.exe antaa seuraavan tuloksen



Ylläolevassa esimerkkikuvassa siinä status kohdassa on merkki Y ja tämä jätetään sinne. (ZoneAlarm palomuuri)

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

esim.SysUpd.exe antaa seuraavan tuloksen



Ylläolevan esimerkkikuvan tuloksessa näkyy taas kaksi kaksi (2) riviä.
Haettiin siis tuon rivin loppuosan olevalla hakusanalla. Sitten joudutaan vielä katsomaan mikä sen rivin alkuosan [hakasulkeiden] sisällä oleva nimi on.Tässä se on siis SysUpd.
Kun nyt sitten verrataan tuon avulla sitä löydöstä niin oikea vastaus on se ylimmäinen rivi (InternetAntispy "loinen").

Sitten siellä status kohdassa on merkki X ja tätä riviä ei ehdottomasti tarvita.

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe

esim.syscfg32.exe antaa seuraavan tuloksen



Ylläolevan esimerkkikuvan tuloksessa näkyy taas kaksi kaksi (2) riviä.
Haettiin siis tuon rivin loppuosan olevalla hakusanalla. Sitten joudutaan vielä katsomaan mikä sen rivin alkuosan [hakasulkeiden] sisällä oleva nimi on. Tässä se on siis Configuration Loader.
Kun nyt sitten verrataan tuon avulla sitä löydöstä niin oikea vastaus on se ylimmäinen rivi (SDBOT.B VIRUS!).

Sitten siellä status kohdassa on merkki X ja tätä riviä ei ehdottomasti tarvita.

O4 - HKLM\..\Run: [Configuration Loader] syscfg32.exe

Mielestäni KAIKKI muut status merkinnät mitkä ei ole Y tai N ovat epäilyttäviä ja vaativat siten jatkotutkimuksia.

Varoituksen sana vielä kerran
Älkää siis missään tapauksessa alkako niitä itse poistamaan

Lisätietoa myös tuossa http://www.sysinfo.org/startupinfo.html ja tietoa miksi kaikista riveistä ei löydy tietoa. Siellä on mm. paljon nimiä / erikoistapauksia mitkä käyttävät satunnaisnimiä / -numeroita. Käyttäkää myös Googlea apuna kun ette löydä hakemaasi nimeä noilta listoilta. Jos Googlekaan ei löydä siitä mitään niin se on paha rivi.

Huom !
Näiltä sivuilta sysinfo.org/startuplist
haetaan satoja / tuhansia hakuja minuutissa (24h) joten joskus se voi olla hidas tai kokonaan pois pelistä.
Kannattanee ladata tältä sivulta omalle koneelle se start_ups.exe tiedosto niin ei tarvitse pähkäillä toimiiko kyseinen sivu..Muistakaa toki sitten aina ladata uusi start_ups.exe kun uusia päivityksiä tulee.
Last update :- 29th April, 2008
16820 items listed

------------------------------------------------------------------------------------------------------------------

Esimerkkejä :

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system32\nmtracer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll

Aina kun löydätte tästä 010-alkuisesta jotain niin se on merkkinä siitä ,että siellä Winsockissa on jokin muuttunut joko varsinaisen kaapparin tai jonkun ohjelman toimesta. Älkää siis missään nimessä poistako kyseisiä rivejä sillä voitte menettää siinä tapauksessa koneen Internet-yhteyden !
Osa noista riveistä kuuluu myös palomuuri- tai virustorjuntaohjelmiin (myös moniin muihin ohjelmiin) jotka sitten ei enää vältämättä toimi halutulla tavalla jos niiden rivit poistetaan sieltä logista.

Kysykää AINA ohjeita jostain foorumista mitä niille tehdään vaiko annetaanko niiden olla siellä.

Huom !
Kyseisiä rivejä EI FIXata itse logista vaan siihen käytetään muita ohjelmia

Tässä on paikka missä voitte katsoa niistä tarkempaa tietoa.

castlecops.com/LSPs.html
systemlookup.com/O10 List Uusi

esim.inetadpt.dll antaa seuraavan tuloksen

Kohdassa State

"V" - Hyväksyttävä, asiallinen
"M" - Haitallinen
"D" - Arveluttava
"U" - Tuntematon

Kohdassa Description
selostetaan löydösten tarkempi kuvaus ja mahdollisia lisälinkkejä.

Ylläolevassa esimerkkikuvassa siinä status kohdassa on merkki M ja tämä on siis PAHA rivi.

O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll

esim.
O10 - Hijacked Internet access by New.Net


New.Net / NewDotNet täytyy aina poistaa sieltä ohjauspaneelin lisää / poista sovelluksen kautta

Mielestäni KAIKKI muut status merkinnät mitkä ei ole V ovat epäilyttäviä ja vaativat siten jatkotutkimuksia.

Huom !
Kyseisiä rivejä EI FIXata itse logista vaan siihen käytetään muita ohjelmia

Varoituksen sana vielä kerran
Älkää siis missään tapauksessa alkako niitä itse poistamaan

------------------------------------------------------------------------------------------------------------------

Esimerkkejä :

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc...tor/sw.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {17D72920-7A15-11D4-921E-0080C8DA7A5E} (AimSp32 Class) - http://66.48.68.135/save/makeover.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.5.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/29c53b7194c6e3c73b06/netzip/RdxIE601.cab
O16 - DPF: {A45F39DC-3608-4237-8F0E-139F1BC49464} - http://www.quickplugin.com/diallerfiles/025263.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.fullversionwarez.com/free_warez.exe

Etsikää kyseisestä rivistä lisätietoja CLSID -sarjan perusteella. Käyttäkää hyväksenne SpywareBlasterin tietokantaa.

Avattuasi SpywareBlasterin valitse sieltä ylhäältä Internet Explorer.Tämän jälkeen siihen avautuu pitkä lista ActiveX objekteja. Klikkaa siellä alhaalla laatikossa hiiren oikealla näppäimellä ja valitse sitten Find.. jonka jälkeen avautuu pikku ikkuna. Kopio haluttu CLSID sarja siihen ja paina OK. Jos kysytty CLSID sarja löytyy tietokannasta niin se rivi korostuu siinä. Siinä myös kerrotaan tarkemmin mikä se on. Juuri nämä rivit ovat niitä pahoja.

esim. 02C20140-76F8-4763-83D5-B660107B7A90 antaa seuraavan tuloksen.



Tämän rivin tunnus siis sieltä löytyy ja se on paha

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab

Se siis löytyy SpywareBlasterin tietokannasta ja on nimeltään OnlineDialer.

Eräitä muita yleisohjeita rivien tunnistamiseen sillä eihän tuolla SpywareBlasterin tietokannassa tietenkään voi olla kaikki, sillä koko ajan tulee uusia.

------------------------------------------------------------------------------------------------------------------

Lisätty 19.08.2008 Uusi

castlecops.com sivut ovat olleet hyökkäyksen kohteena viime kuukausien aikana ja sivut ovat olleet hitaat ja useita tälläkin sivulla olevia linkkisivuja ei ole pystytty päivittämään ajantasalle. Lisäksi sivuston perustaja on siirtynyt muihin hommiin ja sivut ovat jääneet ns. " hieman retuperälle ".

Uusi sivusto joka pitää listaa näistä tärkeimmistä hauista on ilmestynyt ja nimi on http://www.systemlookup.com/ Uusi

Lisätietoa mm. tässä Systemlookup.com - a New Home for Malware Removal Lists
ja tässä The "Lists" have moved :)


Viimeinen päivitys: 29.01.2016 08:11




Takaisin HijackThis sivulle.



Copyright © 2003-2008 Nimimerkki Ad-Aware