Søg
Avatar billede fixxxer Nybegynder
29. september 2004 - 15:49 Der er 17 kommentarer og
1 løsning

hijackthis log

Logfile of HijackThis v1.97.7
Scan saved at 15:46:45, on 29-09-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmer\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\WINDOWS\atlxj32.exe
C:\WINDOWS\crza.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ugsjn.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ugsjn.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ugsjn.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ugsjn.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ugsjn.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ugsjn.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {82592D9C-E8A7-DA3B-8BEE-BCAEAF5128CD} - C:\WINDOWS\system32\ntdu32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1
O4 - HKLM\..\Run: [atlxj32.exe] C:\WINDOWS\atlxj32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [crza.exe] C:\WINDOWS\crza.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://notes.vesterkopi.dk/iNotes.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Nogen der gider kikke på det?
Avatar billede flintstone Novice
29. september 2004 - 19:12 #1
Mit bud er: Slå systemgendannelse fra.

Så ville jeg fixe disse:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ugsjn.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ugsjn.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ugsjn.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ugsjn.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ugsjn.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ugsjn.dll/sp.html#37680

O4 - HKLM\..\Run: [atlxj32.exe] C:\WINDOWS\atlxj32.exe
O4 - HKLM\..\RunOnce: [crza.exe] C:\WINDOWS\crza.exe

Derefter starte i fejlsikret tilstand og så fjerne disse:

C:\WINDOWS\atlxj32.exe
C:\WINDOWS\crza.exe

Genstarte igen og slå systemgendannelse til igen.

Så ville jeg installere SP1 eller SP2
Installere IE 6 SP1

Disse finder du her: http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Men jeg er ikke toptunet til HijackThis, men dem jeg har nævnt er helt sikkert snavs.
Avatar billede flintstone Novice
29. september 2004 - 19:13 #2
Hvis du vælger at gøre dette, så læg en ny logfil ind når du er færdig med at fixe.
Avatar billede flintstone Novice
29. september 2004 - 19:15 #3
Men arlet eller fromsej eller aovergaard er helt sikert bedre end mig. Og mit er bare et bud på en løsning.
Avatar billede flintstone Novice
29. september 2004 - 19:18 #4
Denne ting http://www.spywarefri.dk/pakken.htm er også en god fremtidig beskyttelse.
Avatar billede serverservice Praktikant
29. september 2004 - 22:03 #5
->Flintstone her er princippet i hvordan man gør , http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=5045

Du skal også have fat i de dll filer som skal fjernes
Læg mærke til disse 2 linier:
O2 - BHO: (no name) - {82592D9C-E8A7-DA3B-8BEE-BCAEAF5128CD} - C:\WINDOWS\system32\ntdu32.dll
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ugsjn.dll/index.html#37680



Og så skal der først slås systemgendannelse til når pcén er dømt clean - i dette tilfælde.
Avatar billede flintstone Novice
29. september 2004 - 22:18 #6
Som skrevet, så er jeg novice omkring HijackThis, men jeg synes at jeg er ved at få lidt føling med som tiden går.
R0 har jeg med, men den anden har jeg ikke lige set. Tak for kigget og hjælpen.
Håber det hjælper ham med at blive "clean".
Avatar billede fixxxer Nybegynder
02. oktober 2004 - 10:05 #7
På forhånd forsøgte jeg at slette ugsjn.dll og crza.exe, men disse kom igen efter en genstart, hvis jeg kørte IE.

Jeg kan undre mig over at i ikke har den med..?

Jeg vil så forsøge igen at slette de filer i har nævnt her, og vende tilbage - forhåbentlig - med nogle point til jer.
Avatar billede flintstone Novice
02. oktober 2004 - 11:01 #8
Start med at slette de ting, som dannyboyd og mig fortæller om. Du skal genstarte i Fejlsikret tilstand. Og derefter slette disse:

C:\WINDOWS\atlxj32.exe
C:\WINDOWS\crza.exe
Avatar billede fixxxer Nybegynder
27. oktober 2004 - 13:01 #9
Undskyld at jeg ikke har svaret før, men jeg fik først hænderne i computeren igen i går.

Nå, men jeg slettede de filer i nævnte og det gik egenlig også meget fint. Jeg fik også slettet de dertilhørende DLL'er og fik ændret min startside i IE, inden jeg åbnede denne - det var den der forårsagede det til at starte med.

Så godt som jeg troede jeg havde fået fjernet alt, havde den lagt sig ind igen.
Med nye kryptiske navne...

Så jeg blev enig med mig selv om at jeg kunne blive ved med at slette exe-filer og dll-filer i et væk, og stadig være lige vidt.

Derfor tænkte jeg om der er ikke fandtes en remover for netop denne slubbert?

I øvrigt undrede det mig at hijackthis og spybots reg. monitor klagede over en exe-fil (en af de sjove fra en random-string), som skulle findes i windows\system32\
Med Vis alle filer slået til og Vis systemfiler og bla bla filer kunne jeg ikke se denne i mappen, og hijack og spybot blev ved med at gøre mig opmærksom på den.
Jovist, jeg kunne måske slette den via en cmd-promt, men hvad dælen gør at jeg ikke kan se den, når jeg har valgt at skjulte filer og systemfiler skal vises?

Håber i har nogle flere forslag.
Avatar billede fixxxer Nybegynder
27. oktober 2004 - 13:03 #10
Kunne man tænke sig om de havde givet denne spyware et navn? Og hvad det så er?
Avatar billede fixxxer Nybegynder
31. oktober 2004 - 14:54 #11
Har i nogen kommenaterer til ovenstående?
Avatar billede serverservice Praktikant
31. oktober 2004 - 15:30 #12
Jeg har søgt på google men fandt ikke hvilken spyware de er tilknyttet, men det må være op til flintstone at gøre jobbet færdigt da han har startet på at hjælpe.
Avatar billede fixxxer Nybegynder
31. oktober 2004 - 17:55 #13
Så venter vi på og ser om han har flere bud.
Avatar billede flintstone Novice
31. oktober 2004 - 18:01 #14
Prøv lige at lægge en ny hijackthis logfil. Så prøver vi at tage den derfra.
Avatar billede fixxxer Nybegynder
01. november 2004 - 13:51 #15
Nu er det ikke en pc jeg sådan lige sætter mig ved, så hvis jeg skal hen til pcen bare for at lave en log fil, vi kan behandle på fuldstændig samme måde som forrigere er vi lige vidt.

Jeg ville hellere høre, som dannyboyd allerede har forsøgt at finde ud af, om der findes et tool der kan fjerne dette program der skaber problemet.. jeg gider ikke sidde en time eller to mere og gøre præcis det samme med hijackthis når det ikke løser problemet helt.

Beklager den hårde atittude.. kan i ikke hjælpe mig andet end via hijackthis logfiler, kommer vi ingen vejne i det her spørgsmål.
Avatar billede flintstone Novice
01. november 2004 - 16:33 #16
Helt ok. Du gør som du synes bedst.
Avatar billede fixxxer Nybegynder
06. januar 2005 - 10:34 #17
Problemet blev aldrig løst, reinstallerede windows.

Tak for jeres interesse.
Avatar billede serverservice Praktikant
06. januar 2005 - 11:34 #18
Helt ok og jeg ville ikke bryde ind og overtage da flintstone allerede var igang , men det hele står i den guide jeg lagde. Mwav kørt i fejlsikret ville have taget en del , men samtidig skulle mman også slette filer og slette i registreringsdatabasen. Alligevel har jeg oplevet at det skulle gøres i flere omgange for at få den væk - det er en rigtig modbydelig infektion.
Der findes ikke noget tool som kan rense den helt....desværre
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 21:05 Questyle M15i lydforstærker Af valby i Diverse
I dag 18:27 Mærkeligt ikon på proceslinjen Af ErikHg i Windows
I dag 13:54 Jeg skal have indstaleret Garmin express Af skolevej321 i Andet software
I dag 10:48 Back up af foto til ekstern harddisk Af hkprofil i Office & Kontorpakker
I går 17:11 Har glemt navn på min ene konto på eksperten! Af ErikHg i Fri debat
White papers
Flere white papers »