Søg
Avatar billede hojben Novice
28. juli 2005 - 19:51 Der er 32 kommentarer og
1 løsning

så er vi her igen.. shutdown in 60 sec og hijackthis

Har installeret Avast 4 server version. Ingen virus fundet.

Logfile of HijackThis v1.99.1
Scan saved at 19:47:22, on 28-07-2005
Platform: Windows XP  (WinNT 5.01.3590)
MSIE: Internet Explorer v6.00 SP1 (6.00.3590.0000)

Running processes:
C:\XPSERVER\System32\smss.exe
C:\XPSERVER\system32\winlogon.exe
C:\XPSERVER\system32\services.exe
C:\XPSERVER\system32\svchost.exe
C:\XPSERVER\System32\svchost.exe
C:\XPSERVER\System32\svchost.exe
C:\XPSERVER\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\XPSERVER\System32\inetsrv\inetinfo.exe
C:\mailserver\MailFilter\MFSrv.exe
C:\mailserver\mlsrvnt.exe
C:\XPSERVER\System32\svchost.exe
C:\XPSERVER\system32\Dfssvc.exe
C:\XPSERVER\Explorer.EXE
C:\XPSERVER\System32\tp4mon.exe
C:\XPSERVER\System32\AEIWLSTA.EXE
C:\PROGRA~1\ALWILS~1\Avast4\aswDisp.exe
C:\Program Files\Time Sync\time.exe
C:\mailserver\mlsrv.exe
C:\virusfri\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ibm.com/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\XPSERVER\Downloaded Program Files\googlenav.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\XPSERVER\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [AEIWLSTA.EXE] AEIWLSTA.EXE START
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\aswDisp.exe
O4 - HKLM\..\Run: [Time Sync] C:\Program Files\Time Sync\time.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [ArGoSoftMailServer] C:\mailserver\mlsrv.exe
O8 - Extra context menu item: &Google Search - res://C:\XPSERVER\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\XPSERVER\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\XPSERVER\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\XPSERVER\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\XPSERVER\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\XPSERVER\web\related.htm
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122068798581
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{106B44C6-D3EF-4D15-82EB-446CFEB2FDB2}: NameServer = 83.136.89.6,83.136.89.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{106B44C6-D3EF-4D15-82EB-446CFEB2FDB2}: NameServer = 83.136.89.6,83.136.89.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{106B44C6-D3EF-4D15-82EB-446CFEB2FDB2}: NameServer = 83.136.89.6,83.136.89.4
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswWebSv.exe" /service (file missing)
O23 - Service: .NET Framework Support Service (CORRTSvc) - Unknown owner - %WinDIR%\System32\svchost.exe (file missing)
O23 - Service: MailFilter Service (MFHelper) - Innovative Communications - C:\mailserver\MailFilter\MFSrv.exe
O23 - Service: ArGoSoft Mail Server (msServerForm) - ArGo Software Design - C:\mailserver\mlsrvnt.exe

Mailserver og www installeret på .NET standard server.. Ingen mulighed for windows update grundet fejl på siden (har altid været sådan) Serveren er nyinstalleret..

/hojben
Avatar billede hojben Novice
28. juli 2005 - 19:52 #1
Har kørt shutdown -a og venter nu.
Avatar billede ksoren Nybegynder
28. juli 2005 - 20:09 #2
Hvis du ikke har mulighed for at opdatere, det første du så gør er, at du aktiverer den indbyggede firewall inden du går på nettet. Så bliver du ikke genereret af diverse orme.
Avatar billede johnstigers Seniormester
28. juli 2005 - 20:12 #3
tjekker log
Avatar billede majsmarken Nybegynder
28. juli 2005 - 20:41 #4
Jeg tror at du har fået det at vide før - men alligevel:
"Ubeskyttede pc’er holder i 20 minutter" => http://forum.mib-eu.dk/forum_posts.asp?TID=44

Istedet for at rulle "WindowsUpdate"'s side ka' du jo ta' ServicePack2 som 'løs' fil og rulle den UDEN INTERNET PÅ... osv osv osv...
Avatar billede johnstigers Seniormester
28. juli 2005 - 20:41 #5
Undskyld ventetiden!
Den er ren.
men du mangler Servicepack m.m. - som du sikkert selv er klar over.
Find Servicepacks m.m. her: http://intern.sdu.dk/enheder/it-service/tjenester/ftphotel/ftpindhold/
Avatar billede hojben Novice
28. juli 2005 - 21:16 #6
The version of Windows you have installed does not match the update you are trying to install.. Denne fejl blandt andet får jeg når jeg vil opdatere..

Windowsupdate:
[Error number: 0x800A0007]
  The website has encountered a problem and cannot display the page you are trying to view. The options provided below might help you solve the problem.
For self-help options:

Frequently Asked Questions

Find Solutions

Windows Update Newsgroup
For assisted support options:

Microsoft Online Assisted Support (no-cost for Windows Update issues)
Avatar billede hojben Novice
28. juli 2005 - 21:19 #7
The version of Windows you have installed does not match the update you are trying to install.. Denne fejl blandt andet får jeg når jeg vil opdatere..

(Med SP1)
Avatar billede frewald Nybegynder
28. juli 2005 - 21:21 #8
Vær opmærksom på at shutdown-kommandoen kan være et tegn på at en anden maskine på dit netværk er inficeret med en virus; Hvis du har mere en een maskine i netværket, bør alle maskiner checkes igennem. Brug evt. online scanner fra eks. panda. Link osv kan du se på www.arlet.dk
Avatar billede hojben Novice
28. juli 2005 - 21:21 #9
Den interne firewall er slået til men blir "dræbt" når shutdown kommer eller jeg laver shutdown -a. ved ikke helt hvornår den smutter..
Avatar billede hojben Novice
28. juli 2005 - 21:23 #10
Serveren står på eget ip område.. så det burde ikke være problemet..
Avatar billede majsmarken Nybegynder
28. juli 2005 - 21:35 #11
DERFOR: DL ServicePack2 (SP2) fra nævnte
http://intern.sdu.dk/enheder/it-service/tjenester/ftphotel/ftpindhold/
som 'løs' fil.
Afbryd fra alt andet netværk - (stikket ud).
og install denne SP2 - og se hvad der så sker...
Avatar billede hojben Novice
28. juli 2005 - 21:38 #12
Derfor nej.. Det er stadig windows 2003 .NET standard server..
Avatar billede hojben Novice
28. juli 2005 - 21:41 #13
SP 2 eksisterer ikke til denne server version.
Avatar billede majsmarken Nybegynder
28. juli 2005 - 21:49 #14
OK - jeg så bare at der stod [Platform: Windows XP  ...] i loggen
Avatar billede majsmarken Nybegynder
28. juli 2005 - 21:50 #15
Hvad så med [Windows 2003 Server Service Pack 1] samme sted fra ?
Avatar billede hojben Novice
28. juli 2005 - 21:51 #16
The version of Windows you have installed does not match the update you are trying to install.. Denne fejl blandt andet får jeg når jeg vil opdatere..

(Med SP1) så nej heller ikke den gg
Avatar billede johnstigers Seniormester
28. juli 2005 - 21:57 #17
Du må kunne hente opdateringer herfra: http://v4.windowsupdate.microsoft.com/catalog/da/
Avatar billede frewald Nybegynder
28. juli 2005 - 22:20 #18
For at løse shutdown problemet kan du filtrere port 135 fra i din firewall/router (hvis du har en). Det er på den port at DCOM RPC svagheden bliver udnyttet. Dette hjælper dog ikke hvis det er en intern maskine der er inficeret.
Avatar billede hojben Novice
28. juli 2005 - 22:20 #19
nix John, jeg får samme fejl ved alle opdateringer der er hentet..
Avatar billede frewald Nybegynder
28. juli 2005 - 22:21 #20
Bare husk at du stadig har MEGET brug for diverse hotfixes (serivcepacks m.m.)
Avatar billede hojben Novice
28. juli 2005 - 22:21 #21
Har router (derfor også at den står på sit eget net) kigger lige på det router noget
Avatar billede hojben Novice
28. juli 2005 - 22:24 #22
har sat indgående trafik på port 135 til at gå til intern ip .250 så den burde vel ikke komme igen da .250 ikke eksisterer?`?
Avatar billede frewald Nybegynder
28. juli 2005 - 22:24 #23
Du kan checke om du er sårbar udefra (internettet) ved at klikke på dette link https://www.grc.com/x/portprobe=135
Avatar billede hojben Novice
28. juli 2005 - 22:26 #24
Port
Status Protocol and Application

135
Stealth dcom-scm
DCOM Service Control Manager
Avatar billede frewald Nybegynder
28. juli 2005 - 22:28 #25
Det tyder på at det ikke er udefra at problemet kommer; Enten er din maskine inficeret, eller også er der en maskine på det interne net der er inficeret.
Avatar billede hojben Novice
28. juli 2005 - 22:30 #26
hmm har godt nok pillet en maskine af dette net og smidt på et andet og der har faktisk ikke været noget efter.. Må lige få smidt et nyt spørgsmål fra den maskine gg
Avatar billede frewald Nybegynder
28. juli 2005 - 22:34 #27
start evt med at onlinescanne den maskine - følg dette link: http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm
Avatar billede ksoren Nybegynder
28. juli 2005 - 23:03 #28
Sasser kommer ind via port 445
Avatar billede hojben Novice
28. juli 2005 - 23:34 #29
kørte scan på pc 2 og fandt 13 spyware og adware.. men ingen mulighed for at slette..
Avatar billede frewald Nybegynder
28. juli 2005 - 23:42 #30
prøv med xcleaner til at starte med - og følg ellers anvisningerne fra www.arlet.dk ... Held og lykke ;)
Avatar billede hojben Novice
29. juli 2005 - 00:00 #31
pc2 log:
Logfile of HijackThis v1.99.1
Scan saved at 23:59:56, on 28-07-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\System32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINXP\system32\spoolsv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINXP\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\RunDll32.exe
C:\WINXP\htpatch.exe
C:\Programmer\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programmer\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programmer\Copystar\Fantom CD\fcdm.exe
C:\Programmer\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\QuickTime\qttask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINXP\system32\rundll32.exe
C:\WINXP\system32\msiexec.exe
C:\Documents and Settings\MICHAEL.ANETTE\Skrivebord\hijack\xclean_micro.exe
C:\Documents and Settings\MICHAEL.ANETTE\Skrivebord\hijack\hjt.exe
C:\Programmer\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.danskebank.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINXP\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINXP\SiSUSBrg.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmer\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programmer\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [Fantom CD Autorun] C:\Programmer\Copystar\Fantom CD\fcdm.exe /startup
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~2\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~2\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101769212048
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - Winlogon Notify: NavLogon - C:\WINXP\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXP\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
Avatar billede kalp Novice
31. juli 2005 - 10:17 #32
Et hurtigt kig, men kunne ikke se noget i log 2..
Avatar billede hojben Novice
01. august 2005 - 17:55 #33
Takker.. der kommer en ny log da konen og ungerne har fået den maskine og allerede har slagtet den :(
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 10:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
I går 19:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
I går 12:23 Facebook Af hkv i Sociale medier
I går 11:38 JAVASCRIPT omdan ekstern variabel til søjleværdi .. Af snestrup2000 i Programmeringsværktøjer
I går 09:50 jeg mangler hjælp til opsætning af shop og Google ADS Af Hightech i Webhotel
White papers
Flere white papers »