Søg
Avatar billede frkolsen Nybegynder
10. marts 2005 - 15:11 Der er 11 kommentarer og
1 løsning

pestware - men hvilket?

Er der en der kan hjælpe med at tyde en hijackthis.log?

Den ser sådan ud:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\CA\eTrust Antivirus\InoRpc.exe
C:\Programmer\CA\eTrust Antivirus\InoRT.exe
C:\Programmer\CA\eTrust Antivirus\InoTask.exe
C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\wuauclt.exe
I:\admin\bin\hijackthis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Spywareguard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.dk
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domstc.local
O17 - HKLM\Software\..\Telephony: DomainName = domstc.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domstc.local
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
Avatar billede ejvindh Ekspert
10. marts 2005 - 15:19 #1
Jeg har kigget din log igennem, og ser ingen tegn på snavs. Dog er jeg ikke helt sikker på disse:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domstc.local
O17 - HKLM\Software\..\Telephony: DomainName = domstc.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domstc.local

siger domænet "domstc.local" dig noget? Hvilke grunde har du til at tro, at der er pestware på din pc?
Avatar billede frkolsen Nybegynder
10. marts 2005 - 15:52 #2
domstc.local er det domæne putten er i, så den er go nok.
Brugerne klager over langsommelighed. Havde et pestwareangreb af en slags i sidste uge som åd al cpu-kraft, så tolerancetærsklen er ikke så høj for tiden.
Avatar billede ejvindh Ekspert
10. marts 2005 - 16:06 #3
Hvis computeren har været udsat for et angreb, og er blevet renset, kan det godt nogle gange gå ud over nogle af de legale Windows-filer. Det kan man forsøge at fixe ved at køre et sfc-scan eller en Repair (så skal man bare huske at opdatere Windows igen bagefter, idet repair kører Windows tilbage til det opdateringsniveau, der ligger på cd'en).

Inden du gør det, kan du prøve at gå ind i jobliste-processer og så se hvilke processer der tager megen processor-kraft, og melde tilbage hvilke det drejer sig om.
-----------------------------
Du kan også prøve at køre et scan med mwav.exe som nogle gange finder noget, der ikke kan ses i loggen:
Download og gem denne scanner på skrivebordet. http://www.spywareinfo.dk/download/mwav.exe
Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Klik på scan clean. Det kan godt tage lang tid (nogle timer), men den er også meget effektiv.
---------------------------------
Endelig kan du også fjerne nogle af de programmer der er sat til at starte op under opstarten uden at være nødvendige (de kan godt tage computerkraft). Jeg vil foreslå følgende:

C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\Microsoft Office\Office\OSA9.EXE

Klik Start-kør, tast msconfig, klik på fanebladet Start, og fjern flueben udfor disse programmer (ved næste genstart vil du få at vide at du har ændret opstarten. Det skal du bare godkende).
Avatar billede frkolsen Nybegynder
10. marts 2005 - 17:10 #4
Jeg har lige en med sådan et par stykker
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
Avatar billede frkolsen Nybegynder
10. marts 2005 - 17:21 #5
Prøver først med en mwav, den kan få lov at tykke på tingene til i morgen
Avatar billede frkolsen Nybegynder
10. marts 2005 - 18:43 #6
Har vist fundet synderen: winlogon.exe !??!?
Den tager al cpu-kraft. Og kan jobliste kan ikke stoppe den.
Avatar billede ejvindh Ekspert
11. marts 2005 - 09:05 #7
De 2 O4-entries er også ok.
Winlogon.exe er en legal fil og bør som sådan ikke stoppes
http://www.liutilities.com/products/wintaskspro/processlibrary/winlogon/

Men den kan også hijackes af virus, men så ville mwav stoppe den.

Det kan også hænge sammen med at du har et printerjob hængende. Prøv at checke alle tilsluttede printere for om de har et printerjob hængende, og hvis ja, så slet dem. Omkring sammenhængen mellem Winlogon og spoolsv ser her (godt nok om win2000, men det kunne jo være at det også gælder for xp):
http://support.microsoft.com/default.aspx?scid=kb;en-us;822834
--------------------
Du kan også prøve dette her (som et led i fejlfinding): Klik på start-kør, skriv services.msc og tryk enter.
Find Print Spooler, højreklik den og vælg stop.

Åbn så en explorer og find denne sti:
C:\WINNT\System32\spool\PRINTERS\

Slet hele indholdet af mappen.

Start så Print Spooleren igen. Gør det nogen forskel?
Avatar billede frkolsen Nybegynder
11. marts 2005 - 10:54 #8
Jeg vil prøve det med print spool når problemet viser sig igen.
Men nu har jeg et par gange set at winlogon blokerer cpu'en, ellers kan 'aktiv systemproces' også gøre det. Men noget tyder på at mwav har stoppet en pestbefængt winlogon i nat.
Avatar billede ejvindh Ekspert
11. marts 2005 - 10:57 #9
Det lyder godt, hvis Mwav har klaret sagerne. Det undrer mig dog at der så overhovedet ikke var andre tegn på virus i loggen... Men sådan er der jo så meget :-)
Avatar billede frkolsen Nybegynder
11. marts 2005 - 11:18 #10
lad os nu se når vi kommer lidt længere op af dagen, jeg har mere en pc der sveder
Avatar billede frkolsen Nybegynder
14. marts 2005 - 16:48 #11
Jeg takker. Tog en ordentlig tørn med mwav fredag, og den kunne altså noget som i al fald housecall, eTrust, Adaware og Spybot ikke fandt. Men den er også lidt frustrerende. Har lige kørt den igen på min egen pc, hvor den påstår at have fundet 10 viruses, men number of deleted og renamed er 0. Så kørte jeg den en gang mere hvor den fandt 2 og stadig 0 deleted og renamed. Så hvor ren en maskine jeg har er ikke til at vide. Du her til sidst en go ide til hvordan jeg finder ud af hvad der kan være galt?
Avatar billede ejvindh Ekspert
14. marts 2005 - 17:17 #12
Takker for point :-)
Angående mwav: Det sker jævnligt at den ikke sletter det hele. Den inddeler det den finder i 3 kategorier.

Virus > slettes eller renses
Spyware > renames, så det ikke kan køres
Andre som kan have en mistænkelig adfærd > Gør intet men oplys om programmet til brugeren

Du kan efterfølgende vælge at gå ind og slette de ikke-slettede entries manuelt, men generelt set er det ikke nødvendigt. Ofte vil Adaware eller Spybot kunne tage disse filer.

Hvis det virkelig ER virusser den finder, så prøv at køre den fra fejlsikret. Her plejer den at have nemmere ved at slette filerne.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
31/0310:22 Makro der gemmer vedhæftet fil fra Msg og omdøber filen Af lokesa i Excel
30/0313:45 Kablet forbindelse mellem android telefon og windows 11 pc Af 1Dorte i Android
30/0312:04 Elementtype vises - og ikke billedet? Af hkprofil i Billedbehandling
29/0312:08 Problemer med replay af købte kursusvideoer Af annam i Browsere
28/0311:18 DENVER DVB-tMPEG-4 HD TUNER Af ole falsted i Fjernsyn & projektorer
White papers
Flere white papers »