Log-fil

så må du gøre det i normal tilstand

der er mange processer som ikke er aktive i fejlsikret.

Det er sikkert fordi du ikke er logget ind med den samme bruger i fejlsikret tilstand, som du er logget på i normal tilstand. Hver bruger skal jo renses for sig.

Til tonnybrandt. Nej, når man er logget på som administrator renser man hele harddisken. Og til kalp. Man kan ikke gøre det i normal tilstand fordi Windows XP's systemgendannelse gendanner alt igen.Derfor er det meget vigtigt at man altid kun fjerner disse spywarekomponenter i fejlsikret tilstand.

så slår du da bare systemgendannelse fra og til igen når du er færdig.

>> "Til tonnybrandt. Nej, når man er logget på som administrator renser man hele harddisken"

Ikke hvis der er flere brugere på maskinen. Check selv i de forskellige brugerprofiler du har på maskinen om der ligger en fil: ntuser.dat i hver. Det er brugerens del af registreringsdatabasen. Hvordan vil du rense noget i en anden brugers reg-base, når den fil ikke er åben.

>> "Man kan ikke gøre det i normal tilstand fordi Windows XP's systemgendannelse gendanner alt igen"

Passer ikke ! Windows systemgendannelse gendanner intet, andet end hvis du kører en systemgendannelse, men windows file protection kan gendanne filer, men jeg har endnu ikke set en virus eller spyware der var beskyttet på denne måde.

>> "Derfor er det meget vigtigt at man altid kun fjerner disse spywarekomponenter i fejlsikret tilstand."

Dette er normalt rigtigt, men kan man få slået processerne ihjeld i normal tilstand er der faktisk ingen forskel på at fixe i normal og fejlsikret tilstand.

Det er altså nr 2 og 5 på toplisten i viruskategorien du har i spørgsmålet, så måske du skulle lytte istedet for at belære os.

Men læg din HiJackthis log herind så kan vi se hvad det er du slås med.

Du skal være mere end velkommen til at kigge på den.

    M.V.H. Mokof


Logfile of HijackThis v1.99.0
Scan saved at 08:26:25, on 13-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\windows\System32\svhost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Downloads\Winamp\winampa.exe
C:\Programmer\Java\jre1.5.0\bin\jusched.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\QuickTime\qttask.exe
C:\windows\isrvs\desktop.exe
C:\Downloads\ATnotes\ATnotes.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Downloads\Sikkerhed\hijackthis\HijackThis.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F3 - REG:win.ini: run=C:\windows\System32\svhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Downloads\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [USSShReg] c:\PROGRA~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ffis] C:\windows\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Desktop Search] C:\windows\isrvs\desktop.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Downloads\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [ToughTrucks_Setup.exe] C:\DOWNLO~1\TOUGHT~1.EXE /r
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0\bin\npjpi150.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programmer\Sygate\SPF\smc.exe

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart. Log ind med den samme bruger som du logger ind med i normal tilstand.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

F3 - REG:win.ini: run=C:\windows\System32\svhost.exe
O4 - HKLM\..\Run: [ffis] C:\windows\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Desktop Search] C:\windows\isrvs\desktop.exe
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

Jeg går ud fra at du selv har downloadet dette spil:
O4 - HKCU\..\Run: [ToughTrucks_Setup.exe] C:\DOWNLO~1\TOUGHT~1.EXE /r

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
C:\windows\isrvs

Filer:
C:\windows\System32\svhost.exe

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

Hej igen.
Nu har jeg kørt det hele igennem. Hvordan ser det så ud nu?
(Denne her er vist ikke så god, men den kommer lige så hurtigt som jeg sletter den
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://findallgood.com/)
                              M.V.H. Mokof


Logfile of HijackThis v1.99.0
Scan saved at 15:26:22, on 13-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Downloads\Winamp\winampa.exe
C:\Programmer\Java\jre1.5.0\bin\jusched.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\QuickTime\qttask.exe
C:\Downloads\ATnotes\ATnotes.exe
C:\Programmer\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Downloads\Sikkerhed\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://findallgood.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Downloads\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [USSShReg] c:\PROGRA~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ATnotes.exe] C:\Downloads\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0\bin\npjpi150.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programmer\Sygate\SPF\smc.exe

Så må vi lige have dig en tur i regedit og fixe det sidste manuelt.

Genstart i fejlsikret tilstand.

Klik start | kør, skriv regedit og tryk enter.
Find denne nøgle i registreringsdatabasen og marker den så du kan se de underliggende objekter ovre i højre side.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

I højre side:
Højreklik denne nøgle og vælg rediger:
Start Page

Skriv så din nye startside ind, f.eks http://www.google.com


Generelt:
Hvis du bliver nægtet adgang så udfør følgende for at sætte sikkerheden så du må slette:

Klik Nøglen så den er markeret.
Klik Rediger | Tilladelser.
Marker "Alle" og sæt kryds i Tillad i "Fuld kontrol".
Klik knappen Avanceret, og sæt kryds i den nederste: "Erstat tilladelsesposter på alle underobj......"
Klik Anvend og ok
Og igen Anvend og ok.

Luk regedit.

Genstart normalt og kom med en ny log.

Hej igen.
Nu har jeg været hele proceduren igennem og de første par gange jeg åbner google, efter at jeg har været i regedit, holder den, så kommer "findallgood" igen???  Skal man køre mwav scanneren for hver enkelt bruger?

                  M.V.H. Mokof


Logfile of HijackThis v1.99.0
Scan saved at 15:02:46, on 14-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\windows\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Downloads\Winamp\winampa.exe
C:\Programmer\Java\jre1.5.0\bin\jusched.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\QuickTime\qttask.exe
C:\Downloads\ATnotes\ATnotes.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Downloads\Marble Buster.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Downloads\Sikkerhed\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://findallgood.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://findallgood.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Downloads\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [USSShReg] c:\PROGRA~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ATnotes.exe] C:\Downloads\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0\bin\npjpi150.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programmer\Sygate\SPF\smc.exe

Hvad mener I, er der ikke andet at gøre end at geninstallere windows XP, for at slippe af med den ?
          M.V.H. Mokof

Nej, det bør være muligt at fjerne den. Vi skalk blot have fundet ind til hvad det er der sætter siden ind.

Hvad er dette progrm for noget: Marble Buster.exe ?

Det giver ikke nogen hits på google og det er normalt et dårligt tegn, altså det peger på at det måske er snavs.

Det kan nogle gange være lidt svært at lave en HJT-rensning, når der allerede HAR været foretaget indgreb i loggen. Derfor kunne det måske være en nyttig oplysning for Tonnybrandt og Kalp, om denne tråd er en fortsættelse af dette arbejde:
http://www.freefiles.dk/modules/newbb_plus/viewtopic.php?topic_id=2074&forum=81

Hej.
Marble buster er et spil der kommer her fra "http://winowin.de/product.php?pf=windows&prod_id=20971" men det har jeg da også brugt da jeg ikke havde virus.
Jeg troede ellers at jeg var blevet af med den trojaner jeg havde, men i aftes da jeg scannede systemet igennem med trojanhunter ( hentet fra Arlet
Renamed file C:\Documents and Settings\Mogens\Lokale indstillinger\Temporary Internet Files\Content.IE5\M1C3ET65\rdgDK1742[1].exe to C:\Documents and Settings\Mogens\Lokale indstillinger\Temporary Internet Files\Content.IE5\M1C3ET65\rdgDK1742[1].exe.tcf
Unable to rename file C:\WINDOWS\ceres.dll (Adgang nægtet). Scheduling file to be renamed on reboot
Unable to rename file C:\WINDOWS\isrvs\desktop.exe (Adgang nægtet). Scheduling file to be renamed on reboot
Unable to rename file C:\WINDOWS\isrvs\edmond.exe (Adgang nægtet). Scheduling file to be renamed on reboot
Unable to rename file C:\WINDOWS\isrvs\ffisearch.exe (Adgang nægtet). Scheduling file to be renamed on reboot
Unable to rename file C:\WINDOWS\isrvs\mfiltis.dll (Adgang nægtet). Scheduling file to be renamed on reboot
Unable to rename file C:\WINDOWS\isrvs\msdbhk.dll (Adgang nægtet). Scheduling file to be renamed on reboot
Trojan cleaning finished.

Hej.
Marble buster er et spil der kommer her fra "http://winowin.de/product.php?pf=windows&prod_id=20971" men det har jeg da også brugt da jeg ikke havde virus.

Jeg troede ellers at jeg var blevet af med den trojaner jeg havde, men i aftes da jeg scannede systemet igennem med trojanhunter (hentet fra Arlet`s hjemmeside) fandt den alligevel noget snavs, som den kun kunne slette en del af, resten blev der nægtet adgang til. Hvordan kommer jeg effektivt af med det sidste?

Renamed file C:\Documents and Settings\Mogens\Lokale indstillinger\Temporary Internet Files\Content.IE5\M1C3ET65\rdgDK1742[1].exe to C:\Documents and Settings\Mogens\Lokale indstillinger\Temporary Internet Files\Content.IE5\M1C3ET65\rdgDK1742[1].exe.tcf
Unable to rename file C:\WINDOWS\ceres.dll (Adgang nægtet). Scheduling file to be renamed on reboot
Unable to rename file C:\WINDOWS\isrvs\desktop.exe (Adgang nægtet). Scheduling file to be renamed on reboot
Unable to rename file C:\WINDOWS\isrvs\edmond.exe (Adgang nægtet). Scheduling file to be renamed on reboot
Unable to rename file C:\WINDOWS\isrvs\ffisearch.exe (Adgang nægtet). Scheduling file to be renamed on reboot
Unable to rename file C:\WINDOWS\isrvs\mfiltis.dll (Adgang nægtet). Scheduling file to be renamed on reboot
Unable to rename file C:\WINDOWS\isrvs\msdbhk.dll (Adgang nægtet). Scheduling file to be renamed on reboot
Trojan cleaning finished.

M.V.H. Mokof

Ifølge Castlecop kan Microsoft Antispyware fjerne skramlet fuldstændigt:
http://www.microsoft.com/athome/security/spyware/software/default.mspx

Så installer det og opdater definitioner. Kør så en fuld scanning bagefter. vis der stadig er rester bagefter den ikke kunne fjerne så genstart i fejlsikret tilstand og kør igen en fuld scanning.

Hvor mange brugere har du på maskinen og har du været logget ind med en af de andre brugere i melemtiden ?

Hej.
Microsoft Antispyware kunne heller ikke fjerne skidtet, og nu er der så meget (160 inficerede filer viser søgningerne)at jeg opgir og ominstallerer XP'en. Så mange tak for hjælpen, det var bare super.
            M.V.H. Mokof
PS. Hvordan giver jeg de point jeg satte ind?

Velbekomme.

Vi løste jo ikke problemet, så marker dit eget navn nede til venstre og tryk herefter Accepter for at lukke spørgsmålet og trække pointene tilbage.

Lidt surt at vi ikke fik den ren, men til tider står indsatsen ikke mål med resultatet. Så lang tid tager en formatering/geninstallation jo heller ikke.