HijackThis - hvor?

Du skal hente 2 programmer.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, alle filer den har fundet, der er røde skal markeres, tryk så på afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :        http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

http://www.download.com/HijackThis/3000-8022-10227352.html?tag=lst-0-4

www.spywarefri.dk

Det her ser meget fornuftigt ud ikk? :P

Logfile of HijackThis v1.97.7
Scan saved at 18:26:41, on 09-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\FoxServ\Apache\bin\Apache.exe
D:\WINlamp\Apache\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\McAfee\McAfee Firewall\CPD.EXE
D:\FoxServ\Apache\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\McAfee\McAfee Firewall\CPDCLNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\WINDOWS\System32\rundll32.exe
D:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
d:\Programmer\NETGEAR\MA111 Configuration Utility\wlancfg4.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Outlook Express\msimn.exe
D:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programmer\adobe\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {46B9D770-1B7D-45D1-81B4-AC07B2F127EF} - D:\PROGRA~1\FLASHS~1\FlashBHO.dll
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmer\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\hijack\spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmer\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: MA111 Configuration Utility.lnk = D:\Programmer\NETGEAR\MA111 Configuration Utility\wlancfg.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll

(spybot fandt 22 :D)

anders svar?

//UsO

Så vidt jeg kan se, har du stadig sasser i win32.

Du skal hente et program, der hedder LSPFix, for du kan risikere, at din Internetforbindelse forsvinder, når du bruger nedenstående uninstaller fra new.net. Brug kun programmet, hvis Internetforbindelsen forsvinder: http://www.cexx.org/lspfix.htm
direkte link http://www.cexx.org/lspfix.zip

Anden version: http://danborg.org/spyware/Newnet/winsockxpfix.exe (i tilfælde af, at LSPFix ikke virker).

Download begge til skrivebordet, så de er klar til brug, hvis forbindelsen forsvinder!

Hvis LSPFix skal bruges, så følg denne anvisning:
Pak filen ud, kør programmet, sæt flueben i "I know what I am doing" klik på finish.

-----

Nu skal du downloade og køre denne uninstaller: http://www.new.net/support/uninstall6_30.exe

Genstart og ny log fra HijackThis – tak.

Sasser ? lol :P

Har en fix til sasser på anden comp, prøver lige og kører den og ser hvad der sker...

Resist/-> forbindelsen er aldrig forsvundet, kun hvis den henter forkert ip eller sådan noget... mit USB (wlan) stik, er vist ved og brænde af og der kommer sjældent strøm ud i den fra start... så må man igang med ind/ud. Jeg kan ikk se hvad jeg skal bruge det til lige nu...

Din computer er inficeret af New.net. Det er derfor, jeg kommer med min vejledning. Jeg kan bl.a. se det i denne linie:
O10 - Hijacked Internet access by New.Net

Så følg min vejledning og send en ny log fra HijackThis herind ;-)

Angående New.net: http://www.winpatrol.com/db/freesample/newdotnet.html

peet49, jeg har ikke Sasser, har kørt den fix jeg havde til den, så jeg tror kun jeg er infiseret af new.net nu.

troede da ellers at spybot fik fjernet den, da den ellers fandt den, men prøver lige engang...

//UsO

Logfile of HijackThis v1.97.7
Scan saved at 11:43:26, on 10-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\FoxServ\Apache\bin\Apache.exe
D:\WINlamp\Apache\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\Explorer.EXE
D:\FoxServ\Apache\bin\Apache.exe
C:\Programmer\McAfee\McAfee Firewall\CPDCLNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
D:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
d:\Programmer\NETGEAR\MA111 Configuration Utility\wlancfg4.EXE
C:\Programmer\Messenger\MSMSGS.EXE
C:\Programmer\Internet Explorer\iexplore.exe
D:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programmer\adobe\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {46B9D770-1B7D-45D1-81B4-AC07B2F127EF} - D:\PROGRA~1\FLASHS~1\FlashBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\hijack\spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmer\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: MA111 Configuration Utility.lnk = D:\Programmer\NETGEAR\MA111 Configuration Utility\wlancfg.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll

Så er jeg vist hel ren igen ikk?

Jo, nu ser loggen fra HijackThis fornuftig ud ;-)

Her er link til sikker surfing:
http://www.eksperten.dk/artikler/144

ok - Tak for hjælpen...

//UsO - Nu i hel virus fri version :D

(eller hvad? kan aldrig vide helt medmindre man tar og trykker "formater harddisk" men det er jeg ikk intereserert i... har nemlig lige gjort for 2 uger siden :D)

Velbekomme ;-)