Søg
Avatar billede jrr Nybegynder
01. marts 2005 - 12:19 Der er 12 kommentarer og
1 løsning

hijackthis.log

Hej Eksperter

Jeg er rendt ind i en maskine som er fuld af spyware, har prøvet mad ad-aware, men den kan ikke tage dem, er der nogen der gider kikke på denne log fil.....  :-)

Logfile of HijackThis v1.99.1
Scan saved at 12:16:19, on 01-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\javatz.exe
C:\WINDOWS\system32\addjb.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jesper\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {C5904348-7FC2-F6B1-F15B-83F848E64D79} - C:\WINDOWS\crfa32.dll
O4 - HKLM\..\Run: [addjb.exe] C:\WINDOWS\system32\addjb.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunOnce: [javatz.exe] C:\WINDOWS\javatz.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Filter: application/hta - (no CLSID) - (no file)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto Protect (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Remote Procedure Call (RPC) Helper (  6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\system32\d3qr.exe (file missing)
Avatar billede tonnybrandt Nybegynder
01. marts 2005 - 12:22 #1
Jeg kigger lige på den..
Avatar billede jrr Nybegynder
01. marts 2005 - 12:26 #2
takker
Avatar billede tonnybrandt Nybegynder
01. marts 2005 - 12:27 #3
Hent Aboutbuster:
http://www.malwarebytes.biz/AboutBuster.zip
(pak Aboutbuster ud til sin egen mappe på Skrivebordet).

Hent cwsserviceremove.reg her:
http://www.fbeej.dk/Programmer/cwsserviceremove.zip
(pak cwsserviceremove.zip ud til Skrivebordet)

... og hent Deldomains herfra:
http://www.greyknight17.com/spy/DelO15Domains.inf

Under dette fix, må du ikke have Internet Explorer åben, så det bedste er at printe instruktionen ud - næstbedst at kopiere den over i Notepad, så du kan læse den derfra.

For at kunne se alle filer:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i Fejlsikret tilstand, ved at taste F8 under opstart og vælge Fejlsikret tilstand.

Gå i Start -> Kør og skriv Services.msc

Se om du kan finde én af disse services:

Workstation NetLogon Service
Network Security Service
Remote Procedure Call (RPC) Helper
Remote Access Service

...på listen. Hvis du finder én af dem - Højreklik på den og vælg Egenskaber - klik på "Stop" og vælg Starttype "Deaktiveret" - klik Anvend og OK. Luk service vinduet.

Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ditox.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {C5904348-7FC2-F6B1-F15B-83F848E64D79} - C:\WINDOWS\crfa32.dll
O4 - HKLM\..\Run: [addjb.exe] C:\WINDOWS\system32\addjb.exe
O4 - HKLM\..\RunOnce: [javatz.exe] C:\WINDOWS\javatz.exe
O18 - Filter: application/hta - (no CLSID) - (no file)
O23 - Service: Remote Procedure Call (RPC) Helper (  6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\system32\d3qr.exe (file missing)

Find og slet

Filerne:
C:\WINDOWS\crfa32.dll
C:\WINDOWS\javatz.exe
C:\WINDOWS\system32\ditox.dll
C:\WINDOWS\system32\addjb.exe
C:\WINDOWS\system32\d3qr.exe


Dobbeltklik på cwsserviceremove.reg, som du hentede i begyndelsen.

Kør AboutBuster - to gange.
- klik OK
- klik Start og OK for at scanne for Alternate Data Streams
- klik Yes for at tillade nedlukning af Explorer.exe
- klik Yes for at tillade nr. 2 scanning.

Højreklik på DelO15domains.inf og vælg installer. Du skal være opmærksom på, at programmet fjerner alle linier fra "ZoneMap\Domains", hvilket betyder, at du skal geninstallere IESpyad og lignende programmer, der lægger snavsede adresser ind i den Klassificerede zone for at passe på dig (Spywareblaster skal blot køres, og sætte til at beskytte igen).

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Genstart i Normal tilstand. Kør en Antivirus scanning her:

http://housecall.trendmicro.com/housecall/start_corp.asp

Efter scanning, kør HijackThis og læg en frisk log herind. Fortæl os om eventuelle problemer med instruktionen.
Avatar billede jrr Nybegynder
01. marts 2005 - 13:13 #4
jeg har et lille problem, jeg kan ikke køre antivirus scanneren da den skriver at den kun understøtter engelske og kinesiske internetexplorer.

er der en anden scande du vil anbefale, eller skal jeg bare bruge panda online scan.
Avatar billede tonnybrandt Nybegynder
01. marts 2005 - 13:42 #5
Blot spring over onlinescan eller tag panda online scan. Det er blot for at nappe det som ikke kan ses i loggen. Du kan evt senere køre en scan. Den er ikke pinedød nødvendig for at rense denne infektion.
Avatar billede jrr Nybegynder
01. marts 2005 - 13:50 #6
hej igen

jeg kørte panda og den fant følgende, hvis det kan hjælpe :

Adware:Adware/SearchAid                                                             
Spyware:Spyware/Petro-Line                                                                                Adware:Adware/CWS.008k                                           
Adware:Adware/ShowSearch               
Adware:Adware/SearchAid                 
Adware:Adware/SearchAid   

her er hijackthis log filen
                         
Logfile of HijackThis v1.99.1
Scan saved at 13:46:36, on 01-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Jesper\Skrivebord\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto Protect (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
Avatar billede tonnybrandt Nybegynder
01. marts 2005 - 14:02 #7
Loggen er ren.

Efter sådan en tur er det altid en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse  - genstart din computer - aktiver systemgendannelse.
(klik start | indstillinger | kontrolpanel | system, fanebladet systemgendannelse)

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Jeg går ud fra at panda fjernede det den fandt ?.
Der er ihvertfald intet spor af infektionen tilbage.
Avatar billede jrr Nybegynder
01. marts 2005 - 14:09 #8
panda har ikke fjernet noget, da det kun er virus den kan fjerne, men den kan finde spyware. maskine køre fint nu, jeg vedlæger lige det hele fra panda:

Adware:Adware/SearchAid  No disinfected Windows Registry                                                                                                                                                                                                                               
Spyware:Spyware/Petro-Line    No disinfected                C:\Documents and Settings\Jesper\Foretrukne\Only sex website.url                                                                                                                                                                                               
Adware:Adware/CWS.008k        No disinfected                C:\WINDOWS\system32\epl2.exe                                                                                                                                                                                                                                   
Adware:Adware/ShowSearch      No disinfected                C:\Documents and Settings\Jesper\Application Data\syszd\netno32.dll                                                                                                                                                                                           
Adware:Adware/SearchAid      No disinfected                C:\Documents and Settings\Jesper\Application Data\syszd\syszd.dll                                                                                                                                                                                             
Adware:Adware/SearchAid      No disinfected                C:\WINDOWS\crmj32.dll
Avatar billede tonnybrandt Nybegynder
01. marts 2005 - 14:33 #9
Ok, så er jeg med.

Slet manuelt disse foldere og filer:

Foldere:
C:\Documents and Settings\Jesper\Application Data\syszd

Filer:
C:\Documents and Settings\Jesper\Foretrukne\Only sex website.url
C:\WINDOWS\system32\epl2.exe
C:\WINDOWS\crmj32.dll

Tøm så papirkurven efterfølgende.

Download så AdAware her:
http://www.spywarefri.dk/vaerktoj.htm
Installer det og opdater det online.
Genstart så i fejlsikret tilstand og kør en fuld scanning med AdAware.

Det skulle gerne fjerne det sidste:
Adware:Adware/SearchAid  No disinfected Windows Registry
Avatar billede jrr Nybegynder
01. marts 2005 - 16:26 #10
det ser fint ud nu, jeg skal lige høre om der er nogen steder der hvor man kan se/lære hvilke filer i hijackthis der skal fjernes og hvordan, da det er ved at være ofte at jeg løber ind i maskiner med spyware, i har jo også andet at lave end at hjælpe mig :-)

Takker mange gange for hjælpen
Avatar billede tonnybrandt Nybegynder
01. marts 2005 - 18:26 #11
Velbekomme og takker for point.

Du kan selv gøre noget for at beskytte dig mod at blive inficeret. Du kan evt følge de råd du får. Jeg har ihvertfald renset din log en gang før og der skrev jeg at du skulle installere nogle af programmerne fra pakken. Jeg ser ingen spor af de programmer i loggen.

Mht at lære hvilke ting der skal fjernes og hvordan, er det hårdt arbejde med at læse en masse logs og se hvordan andre fjerner de ting. Der er ikke rigtigt nogen mellemvej.
Avatar billede jrr Nybegynder
01. marts 2005 - 20:11 #12
Jeg ved jeg godt at det er vigtigt at køre div programmer, men det er heller ikke min pc der er problemer med, problemet er at jeg hjælper en del andre, det er kun dem jeg ikke selv kan klare jeg poster her, så jeg er ikke helt "ny begynder", men jeg har bare ikke haft så meget brug for hijackthis før. men jeg syntes at spywaren er begyndt at blive sværre at fjerne, det er ikke altid nok at køre diverse  antispyware programmer igennem.
Men jeg vil fortsætte med at kigger en masse logs igennem.

Takker for hjælpen
Avatar billede tonnybrandt Nybegynder
01. marts 2005 - 20:18 #13
Nå ok på den måde, sorry *s*

Velbekomme.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 09:43 AI google.com Af Peter Olsen i Andre onlineløsninger
31/0310:22 Makro der gemmer vedhæftet fil fra Msg og omdøber filen Af lokesa i Excel
30/0313:45 Kablet forbindelse mellem android telefon og windows 11 pc Af 1Dorte i Android
30/0312:04 Elementtype vises - og ikke billedet? Af hkprofil i Billedbehandling
29/0312:08 Problemer med replay af købte kursusvideoer Af annam i Browsere
White papers
Flere white papers »