hijackthis log

Gå ind her og hent Spybot og Hijackthis.du har den gamle hijackthis..
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.





Hent og kør CWSHredder herfra: http://www.arlet.dk/special.htm


genstart din pc-

Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på

så er der nok en ekspert der kommer forbi og kigger på det og vil fortælle dig hvad du skal fjerne.

Det er ikke nødvendigt at køre Cwshredder her, da der ikke er tale om en coolwebsearch infektion :O)
Du starter med at åbne Hijackthis.
Tryk scan.
Sæt vinge ud for de linier jeg nævner nedenfor.
Luk alle andre programmer ned. Således at kun Hijackthis er aktiv.
Så trykker du fix checked.

Du skal fixe følgende:
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmer\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: Web Rebates - file://C:\Programmer\Web_Rebates\Sy1150\Tp1150\scri1150a.htm




Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer og mapper:

C:\Programmer\Web_Rebates>>>>slet kun mappen Web_Rebates
C:\PROGRA~1\VBouncer>>>>slet kun mappen VirtualBouncer



Hent denne scanner:
http://www.spywareinfo.dk/download/mwav.exe
Inde i opsætningen sætter du den til at scanne alt.
Kør scan/clean.

Så genstarter du og kommer med en ny log fra den nyeste version til kontrol

mwav.exe gav følgende log:

File C:\WINNT\aconti.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\WINNT\system32\PwrSrchP1.dll infected by "TrojanDropper.Win32.Small.mh" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\setup_incred_8.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\Splpmt.dll infected by "TrojanDropper.Win32.Noname.a" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\TVM_B5_Bundle_15.EXE infected by "TrojanDropper.Win32.Small.ht" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Jonas\Lokale indstillinger\Temp\addictivetech.exe infected by "TrojanDropper.Win32.Small.gt" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Jonas\Lokale indstillinger\Temp\i1C.tmp infected by "TrojanDownloader.Win32.Totavel.a" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Jonas\Lokale indstillinger\Temp\overpro.exe tagged as not-a-virus:AdWare.WinFetcher.b. No Action Taken.
File C:\Documents and Settings\Jonas\Lokale indstillinger\Temp\searchbarcash.exe infected by "TrojanDownloader.Win32.Small.iq" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Jonas\Lokale indstillinger\Temp\tvmupdater.exe tagged as not-a-virus:AdWare.TotalVelocity.v. No Action Taken.
File C:\Documents and Settings\Jonas\Lokale indstillinger\Temporary Internet Files\Content.IE5\8NXB2AZD\bridge-c11[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\Documents and Settings\Jonas\Skrivebord\premiere 6.5\Third Party Products\Color Correction Plug-ins\Synthetic Aperture\Video Finesse 2.0.3 Installer\Video_Finesse_203_Installer.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programmer\eMule\Not Public\PICVIDEO_MJPEG_CODEC_2000.ZIP tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programmer\eMule\Not Public\Serv-U.ftp.v5.0.Corporate.Edition.Incl.crack-BetaMaster-Pleasuredome101.rar tagged as not-a-virus:RiskWare.ftp.Serv-U.5000. No Action Taken.
File C:\WINNT\aconti.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\WINNT\aconti.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.

Jeg formoder jeg manuelt skal rundt og slette alle "No Action Taken"?


HiJackThis log:

Logfile of HijackThis v1.98.2
Scan saved at 09:34:38, on 25-10-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\svchost.exe
X:\Jonas\EasySoft\Resolution Changer\resChg.exe
C:\Programmer\eMule\emule.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.jp.uo.com/fonts/TDSERVER.CAB
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6407C98D-DAA4-4A51-8411-E7C560F5BC3B}: NameServer = 195.184.96.2

Godt nok.
Du skal lige gå i kontrolpanel -> tilføj/fjern programmer og slette emule. Fildelingsprogrammer kommer der ikke noget godt ud af.
Så hvis du vil være ren, skal du fjerne det.

Start derefter Hijackthis op og fix følgende:
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)

Så skal du gå i stifinder og finde denne mappe:
C:\Documents and Settings\Jonas\Lokale indstillinger\Temp
Slet alt i mappen.

Genstart og send ny log ind til kontrol.

Logfile of HijackThis v1.98.2
Scan saved at 10:06:22, on 25-10-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\svchost.exe
X:\Jonas\EasySoft\Resolution Changer\resChg.exe
C:\Programmer\eMule\emule.exe
C:\Programmer\Winamp\winamp.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.jp.uo.com/fonts/TDSERVER.CAB
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6407C98D-DAA4-4A51-8411-E7C560F5BC3B}: NameServer = 195.184.96.2


Diskussion for/imod fildelingsprogrammer er jeg slet ikke interesseret i. Tror at ikke at man slipper uden om snavs bare fordi man sletter et fildelingsprogram.

Du har ret i at, der er mange, der får snavs ind selv om de ikke anvender fildelingsprogrammer.
Men man er altså mere udsat, hvis man benytter dem.
Det er helt dit eget valg og jeg skal ikke pådutte dig noget andet :O)

Din log er ren nu.
Du skal bare lige deaktivere din systemgendannelse.
Det gør du ved at højreklikke på "Denne computer". Gå i genskaber.
Find fanebladet "systemgendannelse". Fjern vinger i "aktiver systemgendannelse". Genstart et par gange. Aktiver den så igen. Så skulle alt være på plads.
Husk også at stille indstillingerne for din mappevisning tilbage.

Du får lige et godt råd om at beskytte dig fremover her:
http://www.spywarefri.dk/pakken.htm

Mange tak for hjælpen. Nu spiller computeren lidt igen :D

Det var så lidt da :O)
Tak for point.