Søg
Avatar billede m0rket Nybegynder
03. september 2006 - 15:58 Der er 11 kommentarer

hjælp - er blevet hijacked

Hej :)

håber nogen ka hjælpe mig... Har en proces ved navn fa_special.exe som trækker mit system ned... Hva gør jeg?

Følgende er min HJT-log:

Logfile of HijackThis v1.99.1
Scan saved at 15:55:35, on 03-09-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Winamp\winampa.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programmer\Fælles filer\TerraTec\Scheduler\TTTimer.exe
C:\Programmer\Fælles filer\TerraTec\Remote\TTTVRC.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programmer\ICQLite\ICQLite.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\PeerGuardian2\pg2.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\mIRC\mirc.exe
C:\Programmer\Winamp\winamp.exe
C:\Programmer\TerraTec\CinergyTV\TerraTV App.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\taskmgr.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
F:\Firefox downloads\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINNT\system32\ixt1.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programmer\Fælles filer\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programmer\Fælles filer\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programmer\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINNT\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmer\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O4 - Startup: mIRC.lnk = C:\Programmer\mIRC\mirc.exe
O4 - Startup: Winamp.lnk = C:\Programmer\Winamp\winamp.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157106652634
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1157107574199
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: wineij32 - C:\WINNT\SYSTEM32\wineij32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
Avatar billede var Nybegynder
03. september 2006 - 18:27 #1
tjekker den nu ;)
Avatar billede var Nybegynder
03. september 2006 - 18:32 #2
Hejsa ;)

download VundoFix til dit skrivebord(kør ikke en skanning endnu!):
http://www.atribune.org/ccount/click.php?id=4

Hent SmitfraudFix(kør ikke en skanning endnu!):
http://www.bleepingcomputer.com/files/smitfraudfix.php

Hent Prevx Gromozon removal tool(kør ikke en skanning endnu!):
http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL

Genstart til Fejlsikret tilstand  (F8 under opstart)

1) Klik på VundoFix.exe
2) Klik "Scan for Vundo"
3) Når den er færdig med Skanning så klik "Remove Vundo"
4) Der vil komme en prompt vindue op, klik på YES
5) Dit Skrivebord vil forsvinde og komme tilbage igen
6) Klik OK til at genstarte din Computer
7) Kopier indholdet af C:\vundofix.txt herind

Inde i SmitfraudFix mappen så Kør SmitfraudFix.cmd
vælg option "2"
Efter fixet vil Notepad Åbne kopier indholdet herind

Åbn Hijackthis og sæt check ved disse linier:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINNT\system32\ixt1.dll (file missing)
O20 - Winlogon Notify: wineij32 - C:\WINNT\SYSTEM32\wineij32.dll

Inden du klikker "fix checked" så luk alle vinduer og browsere undtagen Hijackthis

Genstart og kom med en ny Hijackthis log efterfulgt af loggene fra VundoFix og SmitfraudFix så kan vi se om der er mere ;)
Avatar billede var Nybegynder
03. september 2006 - 18:33 #3
Glemte at skrive at inde i Fejlsikret skal du også køre Gromozon removal tool
Avatar billede m0rket Nybegynder
03. september 2006 - 20:47 #4
hej igen :)

I mellemtiden har jeg hentet og kørt både SUPERAntiSpyware (som ved første full scan fandt ca. 30 trusler og ved anden scan fandt omkring 60(!)), og Ewido...

Sidenhen har jeg så fulgt din vejledning...

Logs ser nu ud som følger:
Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:44:31, on 03-09-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\ewido anti-spyware 4.0\guard.exe
C:\Programmer\Winamp\winampa.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmer\Fælles filer\TerraTec\Scheduler\TTTimer.exe
C:\Programmer\Fælles filer\TerraTec\Remote\TTTVRC.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\ICQLite\ICQLite.exe
C:\Programmer\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmer\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\PeerGuardian2\pg2.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\mIRC\mirc.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINNT\system32\taskmgr.exe
C:\WINNT\system32\NOTEPAD.EXE
F:\Firefox downloads\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programmer\Fælles filer\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programmer\Fælles filer\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programmer\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [!ewido] "C:\Programmer\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmer\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O4 - Startup: mIRC.lnk = C:\Programmer\mIRC\mirc.exe
O4 - Startup: Winamp.lnk = C:\Programmer\Winamp\winamp.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157106652634
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1157107574199
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmer\ewido anti-spyware 4.0\guard.exe

SmitfraudFix:

SmitFraudFix v2.83

Scan done at 20:16:17,54, 03-09-2006
Run from C:\Programmer\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

og VundoFix:

VundoFix V6.1.2

Checking Java version...

Sun Java not detected
Scan started at 20:08:15 03-09-2006

Listing files found while scanning....

C:\WINNT\system32\cbxxutt.dll
C:\WINNT\system32\efccaaw.dll

Beginning removal...

Attempting to delete C:\WINNT\system32\cbxxutt.dll
C:\WINNT\system32\cbxxutt.dll Has been deleted!

Attempting to delete C:\WINNT\system32\efccaaw.dll
C:\WINNT\system32\efccaaw.dll Has been deleted!

Performing Repairs to the registry.
Done!


...og tak for hjælpen so far :) Håber sgu ik der er mere...
Avatar billede m0rket Nybegynder
03. september 2006 - 20:58 #5
hov ja - og Prevx Gromozon remover spyttede denne log ud, forresten:

Armada.exe loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file:
Resetting file permissions...
Clearing attributes...
Filen C:\_cleaned.tmp blev ikke fundet.
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINNT
Scanning: C:\Programmer\Fælles filer


Trojan.Gromozon Removed!
Avatar billede var Nybegynder
03. september 2006 - 21:49 #6
Find og slet disse filer:

C:\WINNT\SYSTEM32\wineij32.dll < filen
C:\windows\system32\blank.htm < filen
C:\WINNT\system32\ixt1.dll < filen

du kan bruge start > søg til at finde filerne


Kopiér indholdet mellem de stiplede linier, ind i et notepad-vindue, og gem indholdet på skrivebordet. Når du gemmer filen, skal du udfor "filnavn" skrive c:\visai.bat, og du skal sikre dig, at der under "Filtyper" står "Alle filer":

------------
c:\WINDOWS\system32\reg.exe save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" applook.hiv
ren applook.hiv applook.txt
start c:\windows\notepad.exe applook.txt
------------
Klik så på Start-Kør, skriv CMD i feltet, og klik på OK. Så åbnes et lille dos-vindue. herinde skal du skrive følgende (efterfulgt af <enter>):
c:\visai.bat

Så vil der enten efter kort tid poppe et notepad-vindue op, hvis indhold du skal lægge herind. Eller også vil der komme en fejlmelding. Denne fejlmelding må du gerne lægge herind.

;)
Avatar billede var Nybegynder
03. september 2006 - 21:50 #7
har du stadig loggene fra ewido og superantispyware?
Avatar billede m0rket Nybegynder
03. september 2006 - 22:32 #8
Mit c:\windows dir hedder c:\winnt (opgraderet til xp fra win2000), så de stier funker ikke...

Og de tre filer jeg skulle slette, findes ikke (hvilket vel er godt nok ;)

Ewido har tilsyneladende ikke gemt en report, men følgende er fra SUPERAntiSpyware:

SUPERAntiSpyware Scan Log
Generated 09/03/2006 at 06:35 PM

Core Rules Database Version : 3072
Trace Rules Database Version: 1111

Memory threats detected  : 0
Registry threats detected : 18
File threats detected    : 12

Adware.Tracking Cookie
    C:\Documents and Settings\The Darkness\Cookies\the darkness@rambler[2].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@atwola[1].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@cgi-bin[1].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@atdmt[2].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@microsoftwga.112.2o7[1].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@www.pesttrap[1].txt

Trojan.Unknown Origin
    HKLM\SOFTWARE\Microsoft\MSSMGR
    HKLM\SOFTWARE\Microsoft\MSSMGR#Data
    HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
    HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
    HKLM\SOFTWARE\Microsoft\MSSMGR#Rid
    HKLM\SOFTWARE\Microsoft\MSSMGR#LID
    HKLM\SOFTWARE\Microsoft\MSSMGR#SCLIST
    HKLM\SOFTWARE\Microsoft\MSSMGR#SSLIST
    HKLM\SOFTWARE\Microsoft\MSSMGR#BSTV
    HKLM\SOFTWARE\Microsoft\MSSMGR#MSLIST
    HKLM\SOFTWARE\Microsoft\MSSMGR#BPTV
    HKLM\SOFTWARE\Microsoft\MSSMGR#PSTV
    HKLM\SOFTWARE\Microsoft\MSSMGR#SSTV

Adware.Toolbar888
    C:\Programmer\Toolbar888\Activate.exe
    C:\Programmer\Toolbar888\Uninst.exe
    C:\Programmer\Toolbar888
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888#DisplayName
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888#UninstallString

Trojan.Malware
    HKCR\MezziaCodec.Chl
    HKCR\MezziaCodec.Chl\CLSID

Trojan.Freeprod
    C:\Documents and Settings\The Darkness\Lokale indstillinger\Temporary Internet Files\Content.IE5\O1QFSHI7\wlzip32[1].exe

Adware.Vundo Variant
    C:\System Volume Information\_restore{5ADDCBCD-B913-4EC0-AE6F-9A92B9C9CF29}\RP19\A0005686.dll
    C:\WINNT\system32\byvuv.dll.vir
--------------------------------------------
SUPERAntiSpyware Scan Log
Generated 09/03/2006 at 07:06 PM

Core Rules Database Version : 3072
Trace Rules Database Version: 1111

Memory threats detected  : 3
Registry threats detected : 48
File threats detected    : 27

Trojan.Mezzia/Resident
    C:\WINNT\SYSTEM32\WINEIJ32.DLL
    C:\WINNT\SYSTEM32\WINEIJ32.DLL

Malware.Notifier
    C:\WINNT\SYSTEM32\ISHOST.EXE
    C:\WINNT\SYSTEM32\ISHOST.EXE
    C:\WINNT\SYSTEM32\ISSEARCH.EXE
    C:\WINNT\SYSTEM32\ISSEARCH.EXE
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run#ishost.exe [ ishost.exe ]
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run#issearch.exe [ issearch.exe ]
    C:\WINNT\Prefetch\ISHOST.EXE-2117F71E.pf
    C:\WINNT\Prefetch\ISSEARCH.EXE-10E436A3.pf

Adware.ToolBar888
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
    HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
    HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
    HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\InprocServer32
    HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\InprocServer32#ThreadingModel
    HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\ProgID
    HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\Programmable
    HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\TypeLib
    HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\VersionIndependentProgID
    C:\Programmer\ToolBar888\MyToolBar.dll
    HKLM\Software\Microsoft\Internet Explorer\Toolbar#{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
    HKCR\MyToolBar.MyToolBarObj.1
    HKCR\MyToolBar.MyToolBarObj.1\CLSID
    HKCR\MyToolBar.MyToolBarObj
    HKCR\MyToolBar.MyToolBarObj\CLSID
    HKCR\MyToolBar.MyToolBarObj\CurVer
    HKCR\TypeLib\{CD2A09D7-EE7E-4c25-993C-C2678ECFAD01}
    C:\Programmer\Toolbar888\Activate.exe
    C:\Programmer\Toolbar888\Uninst.exe
    C:\Programmer\Toolbar888
    HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}
    HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0
    HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\0
    HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\0\win32
    HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\FLAGS
    HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\HELPDIR
    HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}
    HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\ProxyStubClsid
    HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\ProxyStubClsid32
    HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\TypeLib
    HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\TypeLib#Version
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888#DisplayName
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888#UninstallString
    HKLM\Software\Classes\MyToolBar.MyToolBarObj
    HKLM\Software\Classes\MyToolBar.MyToolBarObj\CLSID
    HKLM\Software\Classes\MyToolBar.MyToolBarObj\CurVer
    HKLM\Software\Classes\MyToolBar.MyToolBarObj.1
    HKLM\Software\Classes\MyToolBar.MyToolBarObj.1\CLSID
    HKU\S-1-5-21-1644491937-1343024091-2144662835-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CBCC61FA-0221-4CCC-B409-CEE865CACA3A}
    C:\WINNT\Prefetch\ACTIVATE.EXE-0D2C00EF.pf

Adware.Tracking Cookie
    C:\Documents and Settings\The Darkness\Cookies\the darkness@rambler[2].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@atwola[1].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@cgi-bin[1].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@atdmt[2].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@microsoftwga.112.2o7[1].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@www.pesttrap[1].txt

Trojan.Unknown Origin
    HKLM\SOFTWARE\Microsoft\MSSMGR
    HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
    HKLM\SOFTWARE\Microsoft\MSSMGR#BPTV
    HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
    HKLM\SOFTWARE\Microsoft\MSSMGR#Rid
    HKLM\SOFTWARE\Microsoft\MSSMGR#LID
    HKLM\SOFTWARE\Microsoft\MSSMGR#SCLIST
    HKLM\SOFTWARE\Microsoft\MSSMGR#SSLIST
    HKLM\SOFTWARE\Microsoft\MSSMGR#PSTV
    HKLM\SOFTWARE\Microsoft\MSSMGR#BSTV
    C:\WINNT\system32\ot.ico
    C:\WINNT\system32\ts.ico

Trojan.Security Toolbar
    C:\Documents and Settings\All Users\Menuen Start\Online Security Guide.url
    C:\Documents and Settings\All Users\Menuen Start\Security Troubleshooting.url
    C:\Documents and Settings\The Darkness\Foretrukne\Antivirus Test Online.url
    C:\Documents and Settings\All Users\Skrivebord\Security Troubleshooting.url
    C:\Documents and Settings\All Users\Skrivebord\Online Security Guide.url

Unclassified.Unknown Origin/System
    C:\WINNT\system32\ixt0.dll

Trojan.WinFixer
    C:\WINNT\system32\jkkhf.dll

Trojan.Freeprod
    C:\WINNT\Temp\win33.tmp.exe
    C:\WINNT\Prefetch\WIN33.TMP.EXE-092A06D9.pf
-------------------------------------------------------------
SUPERAntiSpyware Scan Log
Generated 09/03/2006 at 07:51 PM

Core Rules Database Version : 3072
Trace Rules Database Version: 1111

Memory threats detected  : 0
Registry threats detected : 2
File threats detected    : 2

Adware.Tracking Cookie
    C:\Documents and Settings\The Darkness\Cookies\the darkness@rambler[2].txt
    C:\Documents and Settings\The Darkness\Cookies\the darkness@atdmt[1].txt

Trojan.Unknown Origin
    HKLM\SOFTWARE\Microsoft\MSSMGR
    HKLM\SOFTWARE\Microsoft\MSSMGR#SSTV
Avatar billede m0rket Nybegynder
03. september 2006 - 22:34 #9
Maskinen kører iøvrigt udemærket nu, og der har indtil videre ikke været nogen fejl eller virus-warnings. Eneste problem var, at min winamp ikke virkede, men den er så geninstalleret... :P
Avatar billede m0rket Nybegynder
04. september 2006 - 11:46 #10
Stadig ingen problemer, så det ser ud til at problemet er løst :D

Takker for assistancen :) Rart med hurtig og effektiv hjælp til den slags... :)
Avatar billede var Nybegynder
04. september 2006 - 15:19 #11
det er bare iorden :)

du kan bare lukke spørgsmålet
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 13:36 godt råd søges Alternativ styresystem på Mac pc Af luffe1955 i Andre styresystemer
I dag 11:32 Hjælp til kontrol af sygefravær Af Maja i Excel
I går 13:59 2 skærme til en stationær computer Af BIRGER i Skærme
26/0119:26 Opstart af ny computer Af Bent i Windows
25/0120:06 Hjemmeside der virker både på mobil og computer Af Strawberry i PHP
White papers
Flere white papers »