Søg
Avatar billede sendell Nybegynder
23. november 2004 - 22:25 Der er 22 kommentarer og
1 løsning

Spyware der ik vil skride!!

Jeg har fået noget ret træls spyware. synes selv jeg er rimelig godt inde i det, men kan simpelthen ik få det væk. Det bliver ved med at komme selvom jeg fjerner alt med hijackthis... loggen er som følger:

Logfile of HijackThis v1.97.7
Scan saved at 22:23:35, on 23-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
D:\games\steam\steam.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\Fælles filer\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\apiyu.exe
C:\WINDOWS\system32\atlvu.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Jesper Søgaard\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\uyuwo.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\uyuwo.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\uyuwo.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\uyuwo.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\uyuwo.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\uyuwo.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\uyuwo.dll/sp.html#11111
O2 - BHO: (no name) - {AF78CC8D-6C38-4877-8A5D-18C72E19E404} - C:\WINDOWS\system32\atlcf32.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



De øverste er dem der skaber problemerne. Jeg har prøvet at slette dem 1000000 gange men de kommer igen og igen. Har slået windows systemgendannelse fra, men det hjælper heller ikke. Ad-aware crasher når jeg prøver at fjerne det og spy ware kan detecte det og fjerne det, men det kommer også igen.

Har været inde i regedit og fjerne de filer, men det hjælper heller ikke

HJÆLP MIG :(
Avatar billede visualdeveloper Nybegynder
23. november 2004 - 22:40 #1
har du prøvet spybot
Avatar billede kenp Novice
23. november 2004 - 23:04 #2
lav lige en ny log med den nyeste udgave af hijackthis http://danborg.org/spy/hjt/hijackthis.exe
Avatar billede sendell Nybegynder
23. november 2004 - 23:09 #3
Ja har prøvet spybot... den fandt lidt af hvert... slettede det, men det kom frem igen.
Avatar billede sendell Nybegynder
23. november 2004 - 23:09 #4
den nye log ser således ud:

ogfile of HijackThis v1.98.2
Scan saved at 23:09:48, on 23-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
D:\games\steam\steam.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\apiyu.exe
C:\WINDOWS\atlpn.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Jesper Søgaard\Lokale indstillinger\Temporary Internet Files\Content.IE5\6N0XOP87\hijackthis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1213B49D-9D45-A2C8-01DB-95DEB4CC99FA} - C:\WINDOWS\sdkfl.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
Avatar billede kenp Novice
23. november 2004 - 23:19 #5
ja jeg kan godt se at der noget galt, uden problemer, men ejg kan også se at nogle af dem som gør det har skriftet navn, så vi må lige vente på at en superhaj til hijackthis lige kommer forbi.
Avatar billede sendell Nybegynder
23. november 2004 - 23:20 #6
ok... tak for hjælpen anyway
Avatar billede tonnybrandt Nybegynder
23. november 2004 - 23:25 #7
Jeg kigger lige på den .. (på opfordring fra Ken) *s*
Avatar billede sendell Nybegynder
23. november 2004 - 23:25 #8
Synes bare jeg har prøvet alt... Lavede først en hijackthis... slettede alt hva jeg synes var unormalt. Kørte en spybot og slettede alt der (1 ting) kørte spy sweeper fjernede et par ting der. Smækkede den i fejlsikret tilstand og gik ind i regedit og fjernede alle keys der havde noget med search bar og den slags at gøre. Derefter gik jeg ind og slettede de .exe-filer der så ud til at knytte sig til det spyware... men ligelidt hjalp det :(
Avatar billede tonnybrandt Nybegynder
23. november 2004 - 23:32 #9
Hent værktøjet About:Buster lavet af Rubber Ducky.
http://tools.zerosrealm.com/AboutBuster.zip
Opret en mappe på dit skrivebord, og pak About:Buster ud i denne mappe.

Hent og installer denne engangsskanner fra Kaspersky: http://www.spywareinfo.dk/download/mwav.exe


Hent: http://www.spywarefri.dk/vaerktoj.htm#emptytemp
Og læs manualen til opsætning af programmet her:
http://www.spywarefri.dk/emptytempfolders.manual.htm

Slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det, så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Tag computeren af Nettet – stikket fysisk ud.
Deaktiver dine sikkerhedsprogrammer (virusprogram, Spybot m.m.)

Brug "Taskmanager/procesliste" (Ctrl+Alt+Del) til at afslutte følgende processer, hvis
du kan finde dem:

C:\WINDOWS\apiyu.exe
C:\WINDOWS\atlpn.exe
rxiii.dll

Herunder er der nogle filer, som du skal fixe. Sæt en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned.

Fix disse med HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rxiii.dll/sp.html#11111
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1213B49D-9D45-A2C8-01DB-95DEB4CC99FA} - C:\WINDOWS\sdkfl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

----
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
----

Genstart i fejlsikret tilstand (F8 i opstart). Find og slet filerne:

C:\WINDOWS\apiyu.exe
C:\WINDOWS\atlpn.exe
C:\WINDOWS\sdkfl.dll
C:\WINDOWS\rxiii.dll


Nu lukker du ALLE vinduer. Find den mappe hvori du lagde About:Buster og Kør programmet.

Brug derefter EmptyTempFolders til at rydde op i computerens Temp filer.

Kør så Kaspersky scanneren. Sæt den op så den scanner mest muligt.

Genstart normalt, Nettet på igen og kom med en ny log fra HijackThis. (Husk at genaktivere dine sikkerhedsprogrammer)
Avatar billede sendell Nybegynder
23. november 2004 - 23:33 #10
gir det et forsøg
Avatar billede sendell Nybegynder
24. november 2004 - 00:38 #11
ja... det hjalp jo ikke så meget... ny log:

Logfile of HijackThis v1.98.2
Scan saved at 00:37:29, on 24-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\atlve32.exe
C:\WINDOWS\system32\ntnb32.exe
C:\Documents and Settings\Jesper Søgaard\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {55E88D7F-D520-83F4-F3DE-0FC426D01C39} - C:\WINDOWS\sysbu.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s
O4 - HKLM\..\Run: [ntnb32.exe] C:\WINDOWS\system32\ntnb32.exe
O4 - HKLM\..\RunOnce: [atlve32.exe] C:\WINDOWS\atlve32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /0
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
Avatar billede tonnybrandt Nybegynder
24. november 2004 - 19:12 #12
Hmm.. vi skal så lige se om der er en service der bekytter infektionen.

Download denne fil, udpak den og kør den. Læg efterfølgende indholdet af POST_THIS.TXT ind her. Filen genereres af programmet.
Avatar billede tonnybrandt Nybegynder
24. november 2004 - 19:18 #13
Hov, linket til filen manglede. Her er det :)
http://home.comcast.net/~rand1038/vbscript/ServiceFilter.zip
Avatar billede sendell Nybegynder
24. november 2004 - 22:45 #14
The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600
nov 24, 2004 22:44:49


---> Begin Service Listing <---

Unknown Service # 1
Service Name: Autodesk Licensing Service
Display Name: Autodesk Licensing Service
Start Mode: Auto
Start Name: LocalSystem
Description: Anchor service for Autodesk products licensed with ...
Service Type: Own Process
Path: "c:\programmer\fælles filer\autodesk shared\service\adskscsrv.exe"
State: Running
Process ID: 288
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Unknown Service #2
Service Name: ccEvtMgr
Display Name: Symantec Event Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Event ...
Service Type: Own Process
Path: "c:\programmer\fælles filer\symantec shared\ccevtmgr.exe"
State: Running
Process ID: 1332
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Unknown Service #3
Service Name: ccProxy
Display Name: Symantec Network Proxy
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Proxy ...
Service Type: Own Process
Path: "c:\programmer\fælles filer\symantec shared\ccproxy.exe"
State: Running
Process ID: 1112
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Unknown Service #4
Service Name: ccPwdSvc
Display Name: Symantec Password Validation
Start Mode: Manual
Start Name: LocalSystem
Description: Symantec Password Validation ...
Service Type: Own Process
Path: "c:\programmer\fælles filer\symantec shared\ccpwdsvc.exe"
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 1077
Accept Pause: Falsk
Accept Stop: Falsk

Unknown Service #5
Service Name: ccSetMgr
Display Name: Symantec Settings Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Settings ...
Service Type: Own Process
Path: "c:\programmer\fælles filer\symantec shared\ccsetmgr.exe"
State: Running
Process ID: 1204
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Unknown Service # 6
Service Name: ISSVC
Display Name: ISSvc
Start Mode: Auto
Start Name: LocalSystem
Description: Internet Security ...
Service Type: Own Process
Path: c:\programmer\norton internet security\issvc.exe
State: Running
Process ID: 3556
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Unknown Service #7
Service Name: navapsvc
Display Name: Norton AntiVirus Auto-Protect Service
Start Mode: Auto
Start Name: LocalSystem
Description: Handles Norton AntiVirus Auto-Protect ...
Service Type: Own Process
Path: "c:\programmer\norton internet security\norton antivirus\navapsvc.exe"
State: Running
Process ID: 376
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Unknown Service #8
Service Name: SAVScan
Display Name: SAVScan
Start Mode: Manual
Start Name: LocalSystem
Description: Handles Norton AntiVirus Auto-Protect Archive ...
Service Type: Own Process
Path: c:\programmer\norton internet security\norton antivirus\savscan.exe
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 1077
Accept Pause: Falsk
Accept Stop: Falsk

Unknown Service #9
Service Name: SBService
Display Name: ScriptBlocking Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\progra~1\fllesf~1\symant~1\script~1\sbserv.exe
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Falsk

Unknown Service #10
Service Name: SNDSrvc
Display Name: Symantec Network Drivers Service
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Network Drivers ...
Service Type: Own Process
Path: c:\programmer\fælles filer\symantec shared\sndsrvc.exe
State: Running
Process ID: 1228
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Unknown Service # 11
Service Name: SPBBCSvc
Display Name: Symantec SPBBCSvc
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec ...
Service Type: Own Process
Path: c:\programmer\fælles filer\symantec shared\spbbc\spbbcsvc.exe
State: Running
Process ID: 3852
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Unknown Service #12
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Administrerer softwarebaserede øjebliksbilleder, der tages af tjenesten Volume Shadow Copy. Hvis ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{aeb4a0e0-4b51-4bc3-ab19-c1a7b5a1b293}
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 1077
Accept Pause: Falsk
Accept Stop: Falsk

Unknown Service #13
Service Name: Symantec Core LC
Display Name: Symantec Core LC
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Core ...
Service Type: Own Process
Path: c:\programmer\fælles filer\symantec shared\ccpd-lc\symlcsvc.exe
State: Running
Process ID: 1540
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Unknown Service # 14
Service Name: %AF夶À¨
Display Name: Remote Procedure Call (RPC) Helper
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Share Process
Path: c:\windows\apiyu.exe /s
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Falsk

---> End Service Listing <---

There are 94 Win32 services on this machine.
14 were unrecognized.

Script Execution Time: 15,82813 seconds.
Avatar billede tonnybrandt Nybegynder
24. november 2004 - 22:57 #15
Bingo, der var den jo
Unknown Service # 14

Det er den der genskaber snavset. jeg strikker lige en procedure sammen ...
Avatar billede sendell Nybegynder
24. november 2004 - 23:05 #16
årh guld... jeg takker for de hurtige svar og krydser fingre
Avatar billede tonnybrandt Nybegynder
24. november 2004 - 23:15 #17
Klik start | kør, skriv services.msc og tryk enter.
Find denne service i listen: Remote Procedure Call (RPC) Helper
OBS! der er to andre tjenester med næsten samme navn. Det SKAL være den der hedder Helper til sidst
Højreklik tjenesten, og vælg egenskaber. I startype skal du sætte den til deaktiveret. Klik anvend og ok.

Gå så i FEJLSIKRET tilstand.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\oziyt.dll/sp.html#11111
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {55E88D7F-D520-83F4-F3DE-0FC426D01C39} - C:\WINDOWS\sysbu.dll
O4 - HKLM\..\Run: [ntnb32.exe] C:\WINDOWS\system32\ntnb32.exe
O4 - HKLM\..\RunOnce: [atlve32.exe] C:\WINDOWS\atlve32.exe

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
<ingen>

Filer:
C:\WINDOWS\oziyt.dll
C:\WINDOWS\sysbu.dll
C:\WINDOWS\atlve32.exe
c:\windows\apiyu.exe
C:\WINDOWS\system32\ntnb32.exe

Klik start | kør, skriv regedit og tryk enter.
Naviger til denne nøgle i venstre side:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Du skal nu lokalisere den nøgle med navnet: %AF夶À
Højreklik denne nøgle og vælg slet.
Luk regedit igen

Genstart normalt og kom med en ny log til kontrol
Avatar billede sendell Nybegynder
24. november 2004 - 23:27 #18
Logfile of HijackThis v1.98.2
Scan saved at 23:27:20, on 24-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccProxy.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton Internet Security\ISSVC.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
D:\games\steam\steam.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmer\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Documents and Settings\Jesper Søgaard\Skrivebord\HijackThis.exe
C:\Programmer\Spybot - Search & Destroy\SpybotSD.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
Avatar billede sendell Nybegynder
24. november 2004 - 23:30 #19
oh my god!!! i just cant believe this!!!

DET ER VÆK!

Du har lige reddet mig fra en skrækkelig formatering!

200 point er sgu ik nok for det her! hvis jeg ku hade jeg givet dig en million!!

:D

har lige kørt spybot. Den fandt noget spyware som den også har fundet før. jeg har sat den til at fixe det. Tror du det kommer frem igen?

Men en ting er sikkert... iexplorer er så god som ny!! :)
Avatar billede tonnybrandt Nybegynder
24. november 2004 - 23:37 #20
Jamen loggen er skam også ren nu :)

Efter sådan en tur er det altid en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse  - genstart din computer - aktiver systemgendannelse.
(klik start | indstillinger | kontrolpanel | system, fanebladet systemgendannelse)

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Mht Spybot, der finder snavs: Det skulle vel aldrig være DSO-Exploits ?
Det er en kendt Bug i Spybot: http://www.fbeej.dk/spybot_melder_om_dso_exploit.htm
Avatar billede tonnybrandt Nybegynder
24. november 2004 - 23:40 #21
Og så ville det nok være en god ide at få opdatere styresystemet med minimum Servicepack1. Båden den og servicepack 2 kan hentes her: http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold
Avatar billede sendell Nybegynder
24. november 2004 - 23:43 #22
Kan se du arbejder med det her til daglig. Jeg takker mange gange :)
Avatar billede tonnybrandt Nybegynder
25. november 2004 - 00:14 #23
Velbekomme og takker for point :)

Både Kenp og jeg er supportere på Spywarefri.dk, så en log eller 2 er da smuttet forbi engang imellem *s*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
07/0514:15 PHP Html Af Asky i Programmeringsværktøjer
07/0511:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
06/0516:53 HTML Af Asky i Programmeringsværktøjer
06/0510:01 Mister internettet efter slumre, Af valby i Windows
05/0513:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
White papers
Flere white papers »