Søg
Avatar billede bm23 Nybegynder
23. december 2003 - 00:09 Der er 14 kommentarer

Hi-jack this log

Logfile of HijackThis v1.97.7
Scan saved at 00:09:02, on 23-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\tbctray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\TGTSoft\StyleXP\StyleXP.exe
C:\Programmer\SmartLaunch\Server\Server.exe
C:\Programmer\SmartLaunch\Administrator\Admin.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\MozillaFirebird\MozillaFirebird.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Maddog.KIOSK\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [bybdzzl] rundll32 C:\WINDOWS\System32:bybdzzl.dll,Init 1
O4 - HKLM\..\Run: [TraySantaCruz] C:\WINDOWS\system32\tbctray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programmer\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [*bybdzzl] rundll32 C:\WINDOWS\System32:bybdzzl.dll,Init 1
O4 - Global Startup: Smartlaunch Server.lnk = C:\Programmer\SmartLaunch\Server\Server.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.5068518519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9A5FA46-20D8-426C-8E6F-4A9E5787FF00}: NameServer = 193.88.44.42,193.88.44.22
Avatar billede fromsej Praktikant
23. december 2003 - 00:21 #1
Klik på Start=>Kør kopiér linien her ind:
rundll32 C:\WINDOWS\System32:bybdzzl.dll,Uninstall
Klik OK, genstart og en ny logfil.
Avatar billede thesurfer Nybegynder
23. december 2003 - 00:23 #2
En masse snavs..:

Orm: aswUpdSv.exe, ashServ.exe, cisvc.exe, nvsvc32.exe, ashDisp.exe, tbctray.exe, NVMCTRAY.DLL, bybdzzl.dll
url: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.M

Orm & backdoor: StyleXP.exe
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.M
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SPYBOT.B
Avatar billede thesurfer Nybegynder
23. december 2003 - 00:27 #3
Skal systemgendannelse ikke slåes fra først?
Avatar billede fromsej Praktikant
23. december 2003 - 00:28 #4
Jo, jeg snorksover, altid systemgendannelse fra.
Avatar billede fromsej Praktikant
23. december 2003 - 00:30 #5
Desuden er der mere snavs, men jeg vil godt lige have den System32:bybdzzl.dll,Init 1
aflivet først.
Derfor denne rækkefølge.
Avatar billede bm23 Nybegynder
23. december 2003 - 00:32 #6
tror lige jeg følger fromsej's råd til at starte med
aswUpdSv.exe, ashServ.exe og ashDisp.exe er min virus scanner
StyleXP er et program til at ændre windows udseende og er ikke en orm med mindre jeg er forkert på den



Fromsej>
har du en ide om den trojanske hest Win32:Trojan-gen. {UPX!} fundet her: C:\WINDOWS\system32\audio.exe. TrojanHunter kunne ikke finde den.

anyway en ny log.

Logfile of HijackThis v1.97.7
Scan saved at 00:32:24, on 23-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\tbctray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\TGTSoft\StyleXP\StyleXP.exe
C:\Programmer\SmartLaunch\Server\Server.exe
C:\Programmer\SmartLaunch\Administrator\Admin.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Maddog.KIOSK\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [TraySantaCruz] C:\WINDOWS\system32\tbctray.exe
O4 - HKLM\..\Run: [THGuard] C:\Programmer\TrojanHunter 3.7\THGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programmer\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Smartlaunch Server.lnk = C:\Programmer\SmartLaunch\Server\Server.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.5068518519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9A5FA46-20D8-426C-8E6F-4A9E5787FF00}: NameServer = 193.88.44.42,193.88.44.22
Avatar billede thesurfer Nybegynder
23. december 2003 - 00:32 #7
hey.. fandt lige ud af at msnmsgr.exe også er snavs..
Avatar billede bm23 Nybegynder
23. december 2003 - 00:33 #8
system gendannelse er slået fra.. har prøvet det før :)
Avatar billede fromsej Praktikant
23. december 2003 - 00:35 #9
Jeg sætter lige flag på dig, og kigger den igennem i morgen, os ældre mennesker skal sove om natten.*S*
Avatar billede bm23 Nybegynder
23. december 2003 - 00:36 #10
okay sov godt fromsej

surfer. Okay nu forvirrer du da vist mig en smule.
msnmsgr er da MSN
Avatar billede thesurfer Nybegynder
23. december 2003 - 00:42 #11
Jeg så denne her:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SYMTEN.B

It overwrites the following files with copies of itselt:
C:\Program Files\Common Files\InstallShield\Engine\6\Intel 32\Ikernel.exe
C:\Program Files\NetMeeting\conf.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo32.exe

Jeg fandt frem til den ved at søge på "msnmsgr.exe" på trendmicros website :)

MSN Messenger er jo også noget snavs :)
Avatar billede thesurfer Nybegynder
23. december 2003 - 00:45 #12
Hvis du f.eks. scanner din comp, og dit AV program finder WORM_SYMTEN.B, så kan det være at den sidder i "msnmsgr.exe"..
Men vent til fromsej kommer tilbage :)
Avatar billede bm23 Nybegynder
23. december 2003 - 00:50 #13
har scannet. Den fandt ingenting :)
bøvler bare med en trojan som ingen andre end min virus  scanner (Avast) kan finde..
Avatar billede fromsej Praktikant
23. december 2003 - 18:49 #14
Deaktiver systemgendannelse:
http://www.spywarefri.dk/virus.htm#alle

Kør Hijackthis, scan, sæt flueben ved linien listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart.

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Lad os lige få en second opinion på den Audio.exe, gå ind hos Kaspersky og scan filen.
http://www.kaspersky.com/remoteviruschk.html

Derudover anbefaler forummet hos Avast at du scanner online med RAV.
http://www.ravantivirus.com/scan/

Her er samme problem som dit, ca 2/3 nede ad siden.
http://www.avast.com/forum/index.php?board=4;action=display;threadid=1986;start=15

Når du har været det igennem, vil jeg gerne se en ny logfil.

PS.
Måske kan du bare slette Audio.exe i fejlsikret, men hvis den hører til dit lydkort, kan det være du bliver nødt til at geninstallere det.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
8 min siden Gendanne slettet partition overskrevet med Windows 11 Af Strawberry i Windows
I dag 16:11 Samle data fra flere kolonner i 1 Af FinnLauridsen i Excel
I dag 14:44 ny fjernbetjening til DVD afspiller fra 2004 Af Nette i Andet hardware
I dag 12:36 Manglende kode Af Bent i Windows
I går 22:13 Outlook classic "hænger" når jeg vil åbne vedhæftede filer Af torzen i Office & Kontorpakker
White papers
Flere white papers »