Søg
Avatar billede daliwi Nybegynder
17. november 2004 - 01:27 Der er 10 kommentarer og
1 løsning

Spyware! Hijack log.

Ok, er der en der lige vil tjekke den her logfil fra Hijack? Har fået at vide at min pc er clean (logfil på spywarefri), men jeg synes jeg har så mange processer kørende, som jeg ikke har set før (bl.a. en der hedder kmzpx73.exe og iexplore.exe selv om Internet Explore er lukket ned).

Der dukker også popupvinduer frem mens jeg arbejder i Windows, og der mangler ca 50% af billederne hver gang jeg går ind på en webside (indtil jeg opdaterer, så kommer de alle).


Logfile of HijackThis v1.98.2
Scan saved at 01:21:38, on 17-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
H:\Programmer\Symantec AntiVirus\DefWatch.exe
G:\WINDOWS\system32\gearsec.exe
G:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
G:\WINDOWS\system32\inetsrv\inetinfo.exe
G:\Programmer\VeriSign\NAVI\naviagent.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\System32\svchost.exe
H:\PROGRA~1\SYMANT~1\VPTray.exe
H:\Programmer\Symantec AntiVirus\Rtvscan.exe
H:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
G:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
G:\WINDOWS\system32\devldr32.exe
H:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
H:\Programmer\SpywareGuard\sgmain.exe
G:\WINDOWS\system32\Tpvs.exe
G:\WINDOWS\system32\Tpvs.exe
H:\Programmer\SpywareGuard\sgbhp.exe
H:\Downloads\Spywarefri\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - G:\Programmer\VeriSign\i-Nav\i-nav_4_2_0.dll
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - h:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - G:\Programmer\VeriSign\i-Nav\i-nav_4_2_0.dll
O4 - HKLM\..\Run: [ccApp] "G:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] H:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [IE Privacy Keeper] "h:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SiSUSBRG] G:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [3DZ@D#24PRSR93] G:\WINDOWS\system32\Mxiv1Va.exe
O4 - HKCU\..\Run: [MsnMsgr] "G:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Eyeball Chat] "H:\Programmer\Eyeball\Eyeball Chat\EyeballChat.exe" -min
O4 - Startup: SpywareGuard.lnk = H:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = H:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Opret Foretrukken på mobil enhed - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - h:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - h:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Opret Foretrukken på mobil enhed... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - h:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: i-Nav Hjælp - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: i-Nav Hjælp - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - G:\Programmer\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: i-Nav Indstillinger - {CE000996-A58C-4441-8938-744CD72AB27F} - G:\Programmer\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/ocis/SiSAutodetectNT.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {498A0AC2-A3AC-11D4-80A9-0050DA680987} (HearMe (Firewall) Voice Control) - http://www.englishtown.com/EtownResources/HearMe/hmvcfe.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095267700349
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://www.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABED4292-9DDA-4CDE-AC88-B49D40FF3C0F}: NameServer = 192.168.1.100
Avatar billede vejmand Juniormester
17. november 2004 - 01:43 #1
Ang. det med at halvdelen af billederne mangler:

Prøv at slette midlertidige internet filer, det hjælper ofte.  c",)
Avatar billede majsmarken Nybegynder
17. november 2004 - 06:09 #2
O4 - HKLM\..\Run: [3DZ@D#24PRSR93] G:\WINDOWS\system32\Mxiv1Va.exe

ser da også underlig ud ?

O4 - HKCU\..\Run: [Eyeball Chat] "H:\Programmer\Eyeball\Eyeball Chat\EyeballChat.exe" -min

er vel også en du bruger ?
http://www.eyeballchat.com/
Avatar billede tonnybrandt Nybegynder
17. november 2004 - 08:12 #3
Har du et link til tråden på spywarefri hvor den bliver erklæret ren ?

Hent lige AdAware her:
http://www.spywarefri.dk/vaerktoj.htm
Installer den, opdater den online men vent med at scanne.

Gå så i fejlsikret tilstand og kør en scanning. Fjern alt hvad den finder.

Genstart normalt og kom med en ny log.
Avatar billede daliwi Nybegynder
18. november 2004 - 01:11 #4
Ok, tråden på Spywarefri er her, men det er ikke den helt samme scanning, da jeg først tog denne for et par dage siden, men der er ikke sket nogen forskel i min pc siden da!

http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=6961

Hvad angår AdAware, så har jeg kørt den lige inden jeg kopierede logfilen herind, så alt som den finder burde være fjernet!
Avatar billede tonnybrandt Nybegynder
18. november 2004 - 01:32 #5
Ok, du har raget dig en peper.a trojan til dig, og den skulle være ret svær at komme af med. Jeg er vist ikke stødt ind i den før, men fandt denne info, som lader til at kunne få den væk.

Læs først dette link, for at få et overblik over hvad der skal gøre og udfør så instrukserne nedenunder.

http://www.mjc1.com/files/peperpage/

Kør denne "uninstaller":

http://home01.wxs.nl/~kleyn080/uninst.exe

Når det er gjort, kør dette værktøj for at slette filerne fysisk

http://www.mjc1.com/files/mo/drpeper.html

Kom med en ny HiJackThis log bagefter.
Avatar billede daliwi Nybegynder
21. november 2004 - 01:13 #6
Har nu kigget dine links igennem, men jeg kan ikke finde nogen som helst spor efter de ting, som der omtales i guiden, heller ikke i Registreringsdatabasen!

Linien: O4 - HKLM\..\Run: [3DZ@D#24PRSR93] G:\WINDOWS\system32\Mxiv1Va.exe
er underligt nok også forsvundet når jeg scanner med Hijack, men jeg har ikke kør nogen former for antispyware siden sidst jeg tog et tjek med Hijack.

Derudover har jeg opdaget at min maskine nu ikke lukker de programmer ned, som jeg benytter, bl.a. bliver iexplore, Outlook og Acrobat Reader ved at køre i baggrunden, er det ikke lidt underligt?

Her er der en ny logfil, som den ser ud i aften, er der nogen der har en ide om hvad hulen der er galt?

Logfile of HijackThis v1.98.2
Scan saved at 01:13:07, on 21-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
G:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
H:\Programmer\Symantec AntiVirus\DefWatch.exe
G:\WINDOWS\system32\gearsec.exe
G:\WINDOWS\system32\inetsrv\inetinfo.exe
G:\Programmer\VeriSign\NAVI\naviagent.exe
G:\WINDOWS\system32\nvsvc32.exe
H:\PROGRA~1\SYMANT~1\VPTray.exe
G:\WINDOWS\System32\svchost.exe
H:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
H:\Programmer\Symantec AntiVirus\Rtvscan.exe
H:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
G:\WINDOWS\system32\devldr32.exe
G:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
H:\Programmer\SpywareGuard\sgmain.exe
H:\Programmer\SpywareGuard\sgbhp.exe
G:\Programmer\Internet Explorer\iexplore.exe
H:\Programmer\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
H:\Programmer\Microsoft Office\Office\OUTLOOK.EXE
G:\WINDOWS\msagent\AgentSvr.exe
h:\Programmer\Microsoft ActiveSync\WCESMgr.exe
H:\Programmer\Microsoft Office\Office\OUTLOOK.EXE
G:\Programmer\Internet Explorer\iexplore.exe
H:\Downloads\Spywarefri\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - G:\Programmer\VeriSign\i-Nav\i-nav_4_2_0.dll
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - h:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - G:\Programmer\VeriSign\i-Nav\i-nav_4_2_0.dll
O4 - HKLM\..\Run: [ccApp] "G:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] H:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [IE Privacy Keeper] "h:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SiSUSBRG] G:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [MsnMsgr] "G:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Eyeball Chat] "H:\Programmer\Eyeball\Eyeball Chat\EyeballChat.exe" -min
O4 - Startup: SpywareGuard.lnk = H:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = H:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Opret Foretrukken på mobil enhed - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - h:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - h:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Opret Foretrukken på mobil enhed... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - h:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: i-Nav Hjælp - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: i-Nav Hjælp - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - G:\Programmer\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: i-Nav Indstillinger - {CE000996-A58C-4441-8938-744CD72AB27F} - G:\Programmer\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/ocis/SiSAutodetectNT.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {498A0AC2-A3AC-11D4-80A9-0050DA680987} (HearMe (Firewall) Voice Control) - http://www.englishtown.com/EtownResources/HearMe/hmvcfe.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095267700349
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://www.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABED4292-9DDA-4CDE-AC88-B49D40FF3C0F}: NameServer = 192.168.1.100
Avatar billede tonnybrandt Nybegynder
21. november 2004 - 01:32 #7
Hmm.. lidt træls det her, for nu er loggen pinligt ren.

Det eneste jeg kan komme i tanke om, som jeg selv har været ude for giver programer er ActiveSync, som var skyld i BSOD's under nedlukning på min kammerats pc.
Avatar billede daliwi Nybegynder
21. november 2004 - 02:04 #8
Ok, har forsøgt at afinstallere Activesync, men det hjælper desværre heller ikke!

Synes det er meget underligt med den skiftende log, samt det at den ikke gider lukke mine programmer ned!

Nå, men tak for hjælpen alligevel!

Hvis du lige lægger et svar, så får du lige lidt point for besværet!
Avatar billede tonnybrandt Nybegynder
21. november 2004 - 02:43 #9
Ok, her kommer så et svar, og jeg er lige så forvirret som dig. Den peper.a burde ikke kunne forsvinde af sig selv.
Avatar billede majsmarken Nybegynder
21. november 2004 - 09:38 #10
Tanke:
Check med denne om der er noget 'efterladenskab' som ka' fjernes:
http://www.pcworld.dk/download.asp?Mode=2&ProgramID=559
Avatar billede tonnybrandt Nybegynder
24. november 2004 - 09:01 #11
Takker for point :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
07/0514:15 PHP Html Af Asky i Programmeringsværktøjer
07/0511:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
06/0516:53 HTML Af Asky i Programmeringsværktøjer
06/0510:01 Mister internettet efter slumre, Af valby i Windows
05/0513:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
White papers
Flere white papers »