Hijack-hjælp?

Når alt er i orden, kan du læse: http://www.eksperten.dk/artikler/144
Jeg er sikker på, at vedkommendende der hjælper dig med loggen, har nogle gode råd..

Tak for link...

- men jeg mangler stadig hjælp til loggen :-)

Er der nogen derude?

ser på den:)

Jeg er hoppet ud af dette spm (abonnerer ikke længere på det = ingen mails)..
Hvis I har en vigtig besked til mig, skriv en henvisning her: http://www.eksperten.dk/spm/501654

Du må gerne lige se hvad denne fil tilhøre..
C:\WINNT\system32\NVC32.EXE
kan evt. være til antivirus. men mistænker den meget for at være virus!

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelt tjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

O4 - HKLM\..\RunServices: [mdx.exe] svcdhost.exe
O4 - HKLM\..\RunServices: [Ms Task Manager] tskmgr.exe

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet (Kig godt efter!!.. Det du ikke finder har hijackthis nok fjernet!)

Filerne

søg efter disse filer og slet dem "svcdhost.exe" og "tskmgr.exe"

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Genstart normalt og kopir en ny log herind så jeg kan se om vi fik ramt på det hele eller om noget er blevet overset:)

Cool - jeg går i gang nu :-)

Hvad mener du helt nøjagtigt med
>>Du må gerne lige se hvad denne fil tilhøre..
>> C:\WINNT\system32\NVC32.EXE

- hvordan finder jeg ud af, "hvad filen tilhører"?

Jeg kan se, at den ligger både i c:\winnt og c:\winnt\system32 og den har fildato 20-04-2005. Det kunne jo indikere et problem...

højreklik på den og vælge egenskaber.. se i filinfo hvem der har lavet den.
og ellers undersøger jeg det lige nærmere.. jeg er 90% på det er snavs.. som tilfældigvis har et navn som skal forvirre mig:))

Jeg kan se i eScan-loggen, at den har taget sig af NVC32.exe.

Filen er nu blevet omdøbt til NVC32.exe.mwt.

Jeg vender tilbage med log lige om lidt...

fint så er problemet løst med den:) eller det vil vise sig i din log:)

Jeg tager lige det med "lige om lidt" i mig igen...

Her er eScan-loggen:

File C:\WINNT\system32\NVC32.EXE infected by "Backdoor.Win32.Agobot.nq" Virus. Action Taken: File Renamed.
File C:\WINNT\NVC32.EXE infected by "Backdoor.Win32.Agobot.nq" Virus. Action Taken: File Renamed.
File C:\WINNT\wirs.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\ekeniyoha.exe infected by "Trojan-Proxy.Win32.Ranky.gen" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\msgfix.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\msgfix32.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\wirs.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Østen\wirs.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: File Deleted.



- og her er HiJack:


Logfile of HijackThis v1.99.1
Scan saved at 01:24:09, on 06-05-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Documents and Settings\Østen\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jp.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Genvej til IEXPLORE.lnk = C:\Programmer\Internet Explorer\IEXPLORE.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

yep det var en virus. men nu er den også ordnet:)

loggen er ren!!

Takker ydmygt...

selv tak:))