rask2 Nybegynder
13. november 2010 - 14:20 Der er 8 kommentarer

Fjernelse af virus eller andet snavs.....

Hej eksperter

Min PC har været inficeret med ThinkPoint, og efter at have lavet en scanning med MalwareBytes (som fandt 22 inficerede objekter) er det forsvundet. Jeg vedhæfter lige loggen herunder.

Jeg har lavet en scanning med HijackThis og smider en log herunder. Er der nogen der gider kigge den igennem for snavs...

Er der andre ting der skal køres for at lave et tjek på om der er mere snavs tilbage????

MalwareBytes log:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 5105

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

13-11-2010 14:04:02
mbam-log-2010-11-13 (13-31-28).txt

Skanningstype: Fuldstændig skanning (C:\|)
Objekter skannet: 197528
Tid gået: 27 minut(ter), 3 sekund(er)

Hukommelses Processorer Inficeret: 3
Hukommelses Moduler Inficeret: 0
Registreringsdatabasenøgler Inficeret: 0
Registreringsdatabaseværdier Inficeret: 7
Registreringsdatabasedata Objekter Inficeret: 0
Inficerede Mapper: 0
Inficerede Filer: 12

Hukommelses Processorer Inficeret:
C:\Documents and Settings\Martin Skjøth\Application Data\hotfix.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Martin Skjøth\Application Data\download2\svcnost.exe (Trojan.Kazy) -> No action taken.
C:\Documents and Settings\Martin Skjøth\Application Data\download2\svcnost.exe (Trojan.Kazy) -> No action taken.

Hukommelses Moduler Inficeret:
(Ingen skadelige objekter blev fundet)

Registreringsdatabasenøgler Inficeret:
(Ingen skadelige objekter blev fundet)

Registreringsdatabaseværdier Inficeret:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\download (Trojan.Kazy) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\download (Trojan.Kazy) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\engel (Spyware.Passwords) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\registrymonitor2 (Malware.Trace) -> No action taken.

Registreringsdatabasedata Objekter Inficeret:
(Ingen skadelige objekter blev fundet)

Inficerede Mapper:
(Ingen skadelige objekter blev fundet)

Inficerede Filer:
C:\Documents and Settings\Martin Skjøth\Application Data\hotfix.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Martin Skjøth\Application Data\download2\svcnost.exe (Trojan.Kazy) -> No action taken.
C:\Documents and Settings\Martin Skjøth\Application Data\updates\updates.exe (Spyware.Passwords) -> No action taken.
C:\Documents and Settings\Martin Skjøth\Application Data\download\svcnost.exe (Spyware.Passwords) -> No action taken.
C:\Documents and Settings\Martin Skjøth\Local Settings\Temp\7709141.exe (Spyware.Passwords) -> No action taken.
C:\Documents and Settings\Martin Skjøth\Local Settings\Temp\8382326.exe (Spyware.Passwords) -> No action taken.
C:\Documents and Settings\Martin Skjøth\Local Settings\Temp\8994341.exe (Spyware.Passwords) -> No action taken.
C:\Documents and Settings\Martin Skjøth\Local Settings\Temp\1824518.exe (Spyware.Passwords) -> No action taken.
C:\Documents and Settings\Martin Skjøth\Local Settings\Temp\X.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{0FF1F8C9-94F8-4F81-A453-F4312233C9DC}\RP111\A0047170.exe (Spyware.Passwords) -> No action taken.
C:\System Volume Information\_restore{0FF1F8C9-94F8-4F81-A453-F4312233C9DC}\RP111\A0049164.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{0FF1F8C9-94F8-4F81-A453-F4312233C9DC}\RP111\A0049166.exe (Trojan.Downloader) -> No action taken.

**********************************************************************************************************************************


HijackThis log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:09:47, on 13-11-2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Dell Network Assistant\hnm_svc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\ELEMENTS Multimedia\PVR Plus\TVR\Scheduled.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\NetWaiting\netWaiting.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Dell Network Assistant\ezi_hnm2.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\CLAAS\LMT\lmt.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=dk&l=da&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.dk/ig/dell?hl=da&client=dell-row&channel=dk&ibd=3061204
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;195.231.241.20
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PVR Agent] C:\Program Files\ELEMENTS Multimedia\PVR Plus\TVR\Scheduled.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Program Files\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ModemOnHold] C:\Program Files\NetWaiting\netWaiting.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: LMT Client.lnk = C:\CLAAS\LMT\lmt.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki ... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O8 - Extra context menu item: Send til &Bluetooth-enhed... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Desktop-administrator 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Tjenesten Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Program Files\Dell Network Assistant\hnm_svc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8759 bytes
karise_larry Juniormester
13. november 2010 - 14:40 #1
Under alle omstændigheder ->

-> No action taken - hvad tror du det betyder ?

Du glemte Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" ...

Såååå - om igen med MalwareBytes ...

---
karise_larry Juniormester
13. november 2010 - 14:49 #2
Lige lidt mere :

Er det en PC du 'lige' har instaleret ?

Hvilket seriøst sikkerhedsprogram bruger du ?

Du mangler fuldstændig WindowsUpdate elementer ?
M$ ServicePack3 til XP -> http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=da
samt 187 efterfølgende opdateringer fra WindowsUpdate.

Disse ting SKAL være 100% på plads før videre instalation eller anden form for brug!!!
f-arn Juniormester
13. november 2010 - 20:48 #3
Der kan nu godt være mere...

Hent og gem ComboFix på dit skrivebord.

Højreklik på skrivebordet og vælg ny->tekstdokument og kopier det fremhævede ind og gem filen som CFScript

Killall::
Snapshot::


Da Combofix kan konflikte med dine sikkerhedsprogrammer er det vigtigt at du deaktiverer dem.

Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du "giver slip" med musen.
http://www.fromsej.saknet.dk/billeder/cfscript.gif

Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når Combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: combofix.txt som ligger her C:\ Combofix.txt

Indholdet af denne fil må du gerne lægge herind.
rask2 Nybegynder
13. november 2010 - 22:19 #4
Hej
Det er ikke min egen pc, jeg hjælper blot en ven med at fjerne thinkpoint.
Vedkommende vil kun have gratis programmer, men Ja sp3 skal på den.

Karise: min fejl. Jeg fjernede det bagefter jeg havde lavet indlægget. Der er intet at mærke på pc'en i hvert fald. Thinkpoint dukker ikke op mere....
karise_larry Juniormester
13. november 2010 - 22:35 #5
Under alle omstændigheder:

ServicePack3 + efterfølgende MANGE opdateringer!!!

Sikkerhedsprogram ?
http://www.spywarefri.dk/gratis-programmer/
http://www.microsoft.com/security_essentials/

Bruger du/I den gamle MSN [MSN Messenger] ? Ellers disable/fjern den

Du/I skal opdatere den gamle AdobeReader
* Afinstall AdobeReader7
* http://get.adobe.com/dk/reader/  (FRAklik GoogleToolbar!!!)

Afinstall
* GoogleToolbarNotifier

Afinstall
* Google Desktop (Eller elsker du/I den?)

Mere check http://kundeservice.tdc.dk/testcenter/

---

http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/manual-for-installation-og-brug-af-ccleaner/ (Specielt punktet [Register]...)

http://www.alt-til-windows.dk/?Artikler/CCleaner-GuideTilOptimeringAfVista/763

---
rask2 Nybegynder
29. november 2010 - 21:15 #6
Done.....

Den har nu kørt uden problem længe så vi lukker.....

Alle opdateringer er nu kørt...
rask2 Nybegynder
20. juli 2011 - 14:06 #7
smider du et svar larry så vi kan få lukket
karise_larry Juniormester
20. juli 2011 - 14:33 #8
Ping...
Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links

Opret Preview

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester





Computerworld
Jens Højgaard skrev negativ anmeldelse på Trustpilot - nu er han blevet sagsøgt for 11.419 kroner
En negativ anmeldelse på Trustpilot om et inkassofirma har indtil videre kostet den selvstændige hvidevare-reparatør Jens Høgni Højgaard flere tusinde kroner og en tur i retten. Forklaringen er, at inkassofirmaet har forbudt kunder at udtale sig negativt i offentlighed om selskabet.
CIO
Har rulllet Mac-computere ud til 90.000 ansatte: Her er seks nyttige erfaringer fra IBM's store Mac-udrulningsprojekt
På lidt over et år har IBM rullet 90.000 Mac-computere ud til medarbejderne, mens virksomheden har gjort sig en hel række erfaringer. Læs her, hvad IBM har lært af projektet.
Comon
Overblik: Her har du ni af årets allerbedste bærbare computere
Her har du en liste over ni af de bedste bærbare computere, du kan købe i Danmark.
Channelworld
Overblik: Det ved vi efter første retsmøde i den store Atea-bestikkelsessag
Den første sag om bestikkelse af offentlige ansatte kører i disse dage, hvor offentlige ansatte anklages for at have modtaget bestikkelse fra it-giganten Atea.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.