crsss tager ressourcer

Følg anvisningerne her og post loggen her på exp.dk som kommentar: http://arlet.dk/spybothjt.htm

Hmm... ja, nu har jeg så installeret og scannet med Spybot: Den finder en del, men hænger, såsnart jeg prøver at fjerne de filer, den har fundet.

Fortsætter jeg bare med Hijackthis eller???

/magger

Prøv først at scanne med Spybot i fejlsikker tilstand.

Nå, ok - der var jeg så lige lidt for hurtig... jeg scannede med Hijackthis og her er loggen:

Logfile of HijackThis v1.98.2
Scan saved at 10:20:45, on 29-11-2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\iPod\Bin\iPodSrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\WINNT\System32\Atiptaxx.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\iPod\Bin\iPodWatcher.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINNT\loadqm.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Documents and Settings\Margit Perlt Jensen\Desktop\hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.itu.dk/Internet/
N3 - Netscape 7: user_pref("browser.search.defaultengine",

"engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src");

(C:\Documents and Settings\Margit Perlt Jensen\Application

Data\Mozilla\Profiles\default\8abexxrq.slt\prefs.js)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot -

Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [iPodWatcher] C:\Program Files\iPod\Bin\iPodWatcher.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AdobeA] C:\WINNT\Fonts\adobes.exe
O4 - HKLM\..\Run: [print sharing] C:\windows\web\printers\images\start.bat
O4 - HKLM\..\Run: [NAV Live Update] C:\Documents and Settings\All Users\Start

Menu\Programs\Startup\~2.EXE
O4 - HKLM\..\Run: [Windows Explorer] Explorer .exe
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [Windows Explorer] Explorer .exe
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LTM2] C:\WINNT\litmus\SVCHOST32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common

Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) -

http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) -

https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) -

http://utu.popcap.com/games/popcaploader_v5.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) -

https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab

Ja du har snavs...
vejledning er på vej

Start i fejlsikker tilstand - find slet flg.:
O4 - HKLM\..\Run: [AdobeA] C:\WINNT\Fonts\adobes.exe (filen adobes.exe)
Mappen C:\WINNT\litmus\SVCHOST32.exe (mappen Litmus))

Søge efter og slet crsss.exe (HUSK!!!! der findes en fil der hedder crss.exe der er OK! derimod er crsss.exe snavs) (2 s´er i ok fil - 3 s´er i dårlig fil)

Genstart til normal og ny scanning med hijackthis)

Hvad er det jeg sletter?? Og er det i registreringsdatabsen?? Kan det gøres i normal tilstand? (jeg har dårlige erfaringer med at rode i reg og i det hele taget i at arbejde i fejlsikret tilstand, fordi det hele bliver så uoverskueligt, når det bliver blæst op i 5-dobbelt størrelse... :-( )

/magger

Forsøgte i øvrigt at scanne med Spybot i fejlsikret, men med samme resultat. Derudover fik jeg en advarsel om, at et eller andet program (lsass??) havde fundet fejl i linie 281 og ville lukke hele systemet ned efter 1 minut. "Gisp", tænkte jeg, men heldigvis ser det ud til, at intet er forandret - og crsss er her altså også stadig...

/magger

Det du sletter nu er filer og mapper
Vi skal IKKE i reg-basen - bare rolig :)

P.s vedr. den fejl...
Du skal huirtigst muligt opgradere til SP4 (Service pack 4)

Hvad er det for noget`??? (lsass)

Kan jeg komme i fejlsikret tilstand uden at skulle genstarte igen?

Det er sasser virus.

Først skal du lige gøre som beskrevet

Vi skal nok få det fjernet.

Filen lsass.exe er ok - der er bare nogle huller i Windows 2000 når du kun kører SP1

Nej - du er nødt til at genstarte for at komme i fejlsikker tilstand

Hmm... det bliver vist bare værre og værre... såsnart jeg kommer i fejlsikret får jeg fejlen fra lsass (c:\winnt\system32\lsass.exe terminated unexpectedly with status code 128. The system will now shut down and restart) og jeg kan ikke nå at gøre noget i fejlsikret inden jeg bliver genstartet.

Jeg har forsøgt at finde de to filer/mapper i normal tilstand, men uden held. Jeg har sågar scannet med Panda online virsscanner i går for at se, om der skulle være virus, men den finder ikke noget.

What to do next?

/magger

Har du sat visning af skjulte filer og mapper til?

John Stigers, vil du lægge et svar til denne, så du kan få nogle point? ;-)

ok da - du fik løst problemet?

;)

Ja, via diverse skanninger efter virus og trojanere, windows opdateringer, opdatering af firewall og AdAware kom jeg på banen igen :-)

http://www.spywarefri.dk/forum/topic.asp?ARCHIVE=true&TOPIC_ID=8029

Lige præcis ;-)

magger> næste gang, så nøjes med 1 forum ad gangen ;)

Hmmm.... øhm... ok???