hijackthis-log - rbot.kz og sdbot.pj

Jeg kan lige oplyse, at rbot.kz er lokaliseret i winole.exe, men jeg har ikke været i stand til at finde ud af, om denne fil er vigtig for windows.

Viser denne opgave sig at være svær, sætter jeg gerne flere point på højkant.

Hent denne virus scanner, Sysclean
  http://www.fbeej.dk/programmer/sysclean.exe (ca. 6.5 MB)

  Dobbeltklik på sysclean.exe - den pakker sig ud til C:\Sysclean og starter programmet. Klik på scan, og lad den fjerne virus fra computeren.

Genstart, og kør HijackThis igen, og en ny log :)

Gør jeg. :)

Logfile of HijackThis v1.98.2
Scan saved at 00:19:33, on 16-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\System32\sys32xp.exe
C:\WINDOWS\System32\winole.exe
C:\WINDOWS\System32\lsass135c.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
G:\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.played.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmer\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Sys32Xp Updater] sys32xp.exe
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [MS lsassc Startup] lsass135c.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunServices: [Sys32Xp Updater] sys32xp.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [MS lsassc Startup] lsass135c.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Sys32Xp Updater] sys32xp.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [MS lsassc Startup] lsass135c.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Ok, prøv lige at uploade disse to filer til scanning her  http://world.altavista.com/babelfish/trurl_pagecontent?lp=fr_en&trurl=http%3a%2f%2fvirusscan.jotti.dhs.org%2f Meld tilbage med resultatet. Jeg kan intet finde om dem, så de er højst sandsynligt noget der skal væk.

C:\WINDOWS\System32\sys32xp.exe
C:\WINDOWS\System32\lsass135c.exe

Well, efter at have tjekket med stuens hijackthis-log, har jeg fjernet sys32xp.exe, lsass135c.exe og winole.exe.

Indtil videre har jeg ikke fået nogle klager over virus fra Norton.

Ser du, årsagen til, at jeg begyndte at kigge efter virus er som følger:
Vi har lige opgraderet vores net fra 512/128 til 1024/128. I stuen kan vi hente med 110kb/s, og sætter jeg min bærbare til mit netstik, kan den også hente med 110kb/s - men min stationære kan på trods af 3 formateringer og 2 styresystemer (win2000 og winXP) kun hente med under 60kb/s. Altså er jeg nået til den konklusion, at et eller andet er galt med min computer (surprise surprise).

Jeg kan bare ikke finde ud af hvad. Suk!

Tjaeh, jeg ville nu gerne have haft dig til at scanne dem først ;) winole skulle under alle omstændigheder væk. Nu hvor du har slettet dem, så kan vi jo ligesågodt fjerne resterne også. Fix disse, og genstart, og smid en frisk log ind.

O4 - HKLM\..\Run: [Sys32Xp Updater] sys32xp.exe
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [MS lsassc Startup] lsass135c.exe
O4 - HKLM\..\RunServices: [Sys32Xp Updater] sys32xp.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [MS lsassc Startup] lsass135c.exe
O4 - HKCU\..\Run: [Sys32Xp Updater] sys32xp.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [MS lsassc Startup] lsass135c.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Den med hastigheden på din stationære, har jeg ikke lige noget bud på

Jeg ville også have fejltjekket dem, men det sjove er, at de slet ikke fandtes i mappen.

Her er den nye log:

Logfile of HijackThis v1.98.2
Scan saved at 08:15:42, on 16-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
G:\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.played.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmer\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

De to filer var 99% sikkert snavs, winole.exe
var det helt sikkert. Loggen er ren, men start for en sikkerheds skyld op i fejlsikret, og tjek om de væk.

Lidt råd med på vejen.;)
  For at sikre din pc fremover ville det være en god idé at bruge nogle af programmerne fra vores lille pakke som du kan se her:
  http://www.spywarefri.dk/pakken.htm

Jeg fandt ud af, at fejlen lå på mit onboard-netkort. Har sat et andet netkort i, og nu kører det bare. :)

Men tak for hjælpen med at få ryddet op - altid dejligt med professionel assistance.

Velbekomme, og det var da godt, at du også fik løst det andet problem. Tak for point :)