Søg
Avatar billede ralph4 Nybegynder
15. september 2006 - 14:06 Der er 19 kommentarer og
1 løsning

HiJackThis-log tjekkes, tak

Logfile of HijackThis v1.99.1
Scan saved at 14:00:18, on 15-09-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\antispy\hijackthis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cfc.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4D257544-2B8D-0A07-1C6A-02938A1617AB} - C:\WINDOWS\system32\uihxmrd.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SetecCertUtil] C:\Programmer\Setec\Web and Email Security\Certutil.exe
O4 - HKLM\..\Run: [EnergyPlugIn] C:\Programmer\EnergyPlugIn\EnergyPlugin.exe
O4 - HKLM\..\Run: [8jfkZ] C:\WINDOWS\ayoeepeb.exe
O4 - HKLM\..\Run: [Á³# é"h'þ9ÓœU3rŲWC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\ayoeepeb.exe
O4 - HKLM\..\Run: [eTrust Realtime Monitor] C:\WINDOWS\system32\realmon.exe /start
O4 - HKLM\..\Run: [Recguard] C:\Programmer\HP\recguard.exe
O4 - HKLM\..\Run: [Apvxdwin] C:\WINDOWS\system32\APVXDWIN.EXE
O4 - HKLM\..\Run: [IPSecMon] C:\Programmer\Common files\VPN Network\IPSecMon.exe /vpncheck
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [gdbyyhk.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\gdbyyhk.dll,opxatt
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {020CF198-950F-5F24-2119-17025D7E7BDE} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {07129E87-8321-1FC9-F840-6ABD59D6B53B} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {0CA698B0-F87D-6987-A89C-06CE19FE72E6} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {11F48CEB-6C9E-5CF2-8CCF-2A151AFF66B1} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {14538BEE-B5CD-2BD0-5416-16E020358940} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {192D2083-B804-46A2-4407-51C06BD208DC} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {1D24B4B8-DE36-17F9-AB76-32C104055AA5} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {23A46507-ACEC-2BD2-6E90-42471ADD1E51} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {24581415-FF55-0420-0254-4E113AC776DB} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {2B93BCBB-CF79-190B-E3B4-1FDA63A96743} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {2DA1D9D7-678B-4A8A-EFC3-59160F702D1C} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {3957DF92-5616-66A1-2E50-0FEA2AF53F87} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {3B6DA96D-E9A4-515F-8419-649163ED7E7F} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {3EBFCCE2-699A-4D98-17E3-29D90E586DA6} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {422E7703-DBDA-5F87-3F1C-564064FEB30A} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {47D5014F-07ED-53D3-9BBB-091618F3ADE1} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {4A034E1E-BEDA-1FC8-D441-5A040C226FD1} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {4C56FAEC-C654-5E7D-417B-1D0952AB0B12} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {5304059B-19D2-4150-1FD8-52E212E5EFBF} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {5745AD26-D179-6A3A-A18A-29F371E6B2A1} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {57D56542-44AE-5286-0E49-435F0F01A08E} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {64CA181D-5082-2CA5-9ABE-0CA85F93A693} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {67C680E7-4558-01FF-50EB-01A03B2E7F82} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {6B2141EC-D2BB-5928-3978-7EAD6502326C} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {6BD6329E-88E8-2723-7D74-4FEC6BE8198E} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {6ECFF364-BB49-3247-84D1-39A717854DBC} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {709CC885-1E90-1AAC-FB2C-24736F1101B9} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {73F97DD9-5334-0753-F4E2-20930A75F5B9} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {747A9758-9BC1-21E9-4741-54937A18A61F} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {75758E1E-AF1F-5EAF-D383-265B4D8EC07C} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {781DA9E4-385D-3572-CCF4-3E1D72402F87} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {7B07579E-4096-25EA-B972-65CD4D2E90B6} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {7DC6B3C6-0158-01F2-6617-70B51F300DF9} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {C07E5288-22FB-11D7-962E-0004AC77C761} (Dataloen.ctlVirtuelDesktop) - http://activex.dataloen.dk/controls/Dataloen3324.CAB
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O18 - Filter: text/html - {78B49ABC-8F87-4DCC-BCCD-5F92147DFDA3} - C:\Documents and Settings\Erik\Lokale indstillinger\Application Data\microsoft\internet explorer\V0.39.dat
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)
Avatar billede var Nybegynder
15. september 2006 - 14:26 #1
tjekker den nu
Avatar billede var Nybegynder
15. september 2006 - 14:40 #2
Puha der er meget som skal fixes her *G*

Hent cwshredder her: http://www.spywareinfo.com/~merijn/files/cwshredder.zip
Hvis linket ikke virker, så hent den her: http://www.arlet.dk/cwshredder.exe
Kør CWShredder, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer, luk alle vinduer undtaget cwshredder, klik på Fix, så scanner den, når den er færdig, klik på Next, klik på Exit.

Genstart

Hent Blacklight her http://www.f-secure.com/blacklight/try.shtml Scroll ned på siden, og klik "iaccept". På næste side kan du downloade Blacklight til skrivebordet. Dobbeltklik filen, og klik scan. Hvis Blacklight finder noget, så kopier dens log her ind. Du skal ikke lade Blacklight fjerne noget endnu.

Download Gmer-rootkit scanner, og pak den ud til skrivebordet:
http://www.gmer.net/gmer.zip
Kør programmet, klik på fanebladet "Rootkit", og klik på "Scan". Når scanningen er færdig, skal du klikke på "Copy". Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v.

Gå til:
Start > Kontrolpanel > Tilføj/Fjern Programmer:
Fjern:

EnergyPlugin
ISTsvc
SideFind
Zesoft

Genstart

Åbn Hijackthis og sæt et flueben ved disse linier:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: (no name) - {4D257544-2B8D-0A07-1C6A-02938A1617AB} - C:\WINDOWS\system32\uihxmrd.dll
O4 - HKLM\..\Run: [EnergyPlugIn] C:\Programmer\EnergyPlugIn\EnergyPlugin.exe
O4 - HKLM\..\Run: [8jfkZ] C:\WINDOWS\ayoeepeb.exe
O4 - HKLM\..\Run: [Á³# é"h'þ9ÓœU3rŲWC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\ayoeepeb.exe
O4 - HKLM\..\Run: [gdbyyhk.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\gdbyyhk.dll,opxatt
O4 - Startup: .protected
O4 - Global Startup: .protected
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {020CF198-950F-5F24-2119-17025D7E7BDE} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {07129E87-8321-1FC9-F840-6ABD59D6B53B} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {0CA698B0-F87D-6987-A89C-06CE19FE72E6} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {11F48CEB-6C9E-5CF2-8CCF-2A151AFF66B1} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {14538BEE-B5CD-2BD0-5416-16E020358940} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {192D2083-B804-46A2-4407-51C06BD208DC} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {1D24B4B8-DE36-17F9-AB76-32C104055AA5} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {23A46507-ACEC-2BD2-6E90-42471ADD1E51} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {24581415-FF55-0420-0254-4E113AC776DB} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {2B93BCBB-CF79-190B-E3B4-1FDA63A96743} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {2DA1D9D7-678B-4A8A-EFC3-59160F702D1C} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {3957DF92-5616-66A1-2E50-0FEA2AF53F87} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {3B6DA96D-E9A4-515F-8419-649163ED7E7F} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {3EBFCCE2-699A-4D98-17E3-29D90E586DA6} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {422E7703-DBDA-5F87-3F1C-564064FEB30A} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {47D5014F-07ED-53D3-9BBB-091618F3ADE1} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {4A034E1E-BEDA-1FC8-D441-5A040C226FD1} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {4C56FAEC-C654-5E7D-417B-1D0952AB0B12} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {5304059B-19D2-4150-1FD8-52E212E5EFBF} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {5745AD26-D179-6A3A-A18A-29F371E6B2A1} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {57D56542-44AE-5286-0E49-435F0F01A08E} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {64CA181D-5082-2CA5-9ABE-0CA85F93A693} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {67C680E7-4558-01FF-50EB-01A03B2E7F82} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {6B2141EC-D2BB-5928-3978-7EAD6502326C} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {6BD6329E-88E8-2723-7D74-4FEC6BE8198E} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {6ECFF364-BB49-3247-84D1-39A717854DBC} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {709CC885-1E90-1AAC-FB2C-24736F1101B9} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {73F97DD9-5334-0753-F4E2-20930A75F5B9} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {747A9758-9BC1-21E9-4741-54937A18A61F} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {75758E1E-AF1F-5EAF-D383-265B4D8EC07C} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {781DA9E4-385D-3572-CCF4-3E1D72402F87} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {7B07579E-4096-25EA-B972-65CD4D2E90B6} - http://85.255.114.166/1/rdgFR2516.exe
O16 - DPF: {7DC6B3C6-0158-01F2-6617-70B51F300DF9} - http://85.255.114.166/1/rdgDK2516.exe
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

Luk alle vinduer og browsere undtagen HijackThis og klik Fix checked

Genstart

Find og slet disse mapper/filer:
C:\WINDOWS\system32\uihxmrd.dll
C:\Programmer\EnergyPlugIn
C:\Programmer\ISTsvc
C:\WINDOWS\ayoeepeb.exe
C:\WINDOWS\system32\gdbyyhk.dll
C:\WINDOWS\System32\shdocvw.dll
C:\WINDOWS\zeta.exe

Genstart

Kom med en ny Hijackthis log, sammen med loggen fra Gmer og Black Light ;)
Avatar billede var Nybegynder
15. september 2006 - 15:05 #3
linket til Blacklight virker vist ikke.. her er det nye link :) :
http://www.f-secure.com/blacklight/try_blacklight.html
Avatar billede ralph4 Nybegynder
15. september 2006 - 15:19 #4
Det har jeg fundet ud af, men her er første trin fra GMER, vender tilbage

GMER 1.0.11.11349 - http://www.gmer.net
Rootkit 2006-09-15 15:18:18
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT    85549430                        ZwConnectPort
SSDT    854E05B0                        ZwOpenProcess
SSDT    85787E78                        ZwOpenThread

---- Processes - GMER 1.0.11 ----

Process  CCEVTMGR.EXE (*** hidden *** )  [1596] 850F9460 
Process  NAVAPSVC.EXE (*** hidden *** )  [1240] 853F0340 
Process  SNDSrvc.exe (*** hidden *** )  [1416] 854629F0 
Process  symlcsvc.exe (*** hidden *** )  [1476] 8562F2D0 
Process  CCAPP.EXE (*** hidden *** )    [936] 8414CB80 
Process  CCSETMGR.EXE (*** hidden *** )  [1196] 85407B28 
Process  SPBBCSvc.exe (*** hidden *** )  [1448] 85477C68 

---- Files - GMER 1.0.11 ----

ADS      ...                           

---- EOF - GMER 1.0.11 ----
Avatar billede var Nybegynder
15. september 2006 - 15:26 #5
Det er bare iorden ;) venter ..
Avatar billede ralph4 Nybegynder
15. september 2006 - 15:46 #6
O4 - Startup: .protected
O4 - Global Startup: .protected

Disse to kunne ikke fjernes

C:\WINDOWS\System32\shdocvw.dll
denne kunne ikke slettes (heller ikke i fejlsikret)

Og så var der nogle programmer allerede var væk, men mon ikke det er scanningen der har gjort det?

Blacklight fandt ingenting



Logfile of HijackThis v1.99.1
Scan saved at 15:42:04, on 15-09-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Setec\Web and Email Security\Certutil.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\antispy\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cfc.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SetecCertUtil] C:\Programmer\Setec\Web and Email Security\Certutil.exe
O4 - HKLM\..\Run: [eTrust Realtime Monitor] C:\WINDOWS\system32\realmon.exe /start
O4 - HKLM\..\Run: [Recguard] C:\Programmer\HP\recguard.exe
O4 - HKLM\..\Run: [Apvxdwin] C:\WINDOWS\system32\APVXDWIN.EXE
O4 - HKLM\..\Run: [IPSecMon] C:\Programmer\Common files\VPN Network\IPSecMon.exe /vpncheck
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
Avatar billede var Nybegynder
15. september 2006 - 15:52 #7
Det var meget bedre ;)

Genstart i fejlsikret tilstand (F8 under opstart)

Åbn Hijackthis og sæt et flueben ved disse linier:

O4 - Startup: .protected
O4 - Global Startup: .protected

Luk alle vinduer og browsere undtagen HijackThis og klik Fix checked

Genstart og kom med en ny log
Avatar billede var Nybegynder
15. september 2006 - 15:54 #8
Jeg vil også gerne have du kører en skanning med SuperAntispyware og kopier raport logfilen herind :)
Avatar billede ralph4 Nybegynder
15. september 2006 - 16:07 #9
Genstart i fejlsikret tilstand (F8 under opstart)

Åbn Hijackthis og sæt et flueben ved disse linier:

O4 - Startup: .protected
O4 - Global Startup: .protected

Det havde jeg faktisk allerede prøvet, men de kan ikke fixes fordi filen er i brug
Iøvrigt er det kun den øverste den finder i fejsikret?

Jeg har faktisk også kørt SAS, men glemte at lave en log, og nu vil konen have mig med ned i byen, så jeg vender tilbage når den er færdigscannet.
Avatar billede var Nybegynder
15. september 2006 - 16:34 #10
det er bare iorden.. imellemtiden finder jeg en løsning på disse linier:

O4 - Startup: .protected
O4 - Global Startup: .protected

;)

du må have en god tur i byen
Avatar billede var Nybegynder
15. september 2006 - 16:38 #11
Så fandt jeg en metode ;)

Hent Smitfraudfix:
http://www.bleepingcomputer.com/resources/link243.html

Genstart i fejlsikret tilstand (F8 under opstart)

Udpak Smitfraudfix.zip og klik på smitfraudfix.bat
Når den er startet trykker du på "2" og så starter fixet, efter fixet vil notesblok åbne. Kopier indholdet herind.

Åbn Hijackthis (Stadig i Fejlsikret!)
Fix disse linier:

O4 - Startup: .protected
O4 - Global Startup: .protected

Genstart og kom med en ny log fra hijackthis samt loggen fra SmitfraudFix ;)
Avatar billede ralph4 Nybegynder
15. september 2006 - 17:46 #12
SmitFraudFix v2.88

Scan done at 17:41:26,81, 15-09-2006
Run from C:\Documents and Settings\Erik\Skrivebord\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning not selected.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Avatar billede ralph4 Nybegynder
15. september 2006 - 17:47 #13
Logfile of HijackThis v1.99.1
Scan saved at 17:42:49, on 15-09-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\antispy\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SetecCertUtil] C:\Programmer\Setec\Web and Email Security\Certutil.exe
O4 - HKLM\..\Run: [eTrust Realtime Monitor] C:\WINDOWS\system32\realmon.exe /start
O4 - HKLM\..\Run: [Recguard] C:\Programmer\HP\recguard.exe
O4 - HKLM\..\Run: [Apvxdwin] C:\WINDOWS\system32\APVXDWIN.EXE
O4 - HKLM\..\Run: [IPSecMon] C:\Programmer\Common files\VPN Network\IPSecMon.exe /vpncheck
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
Avatar billede var Nybegynder
15. september 2006 - 20:46 #14
Det hele ser perfekt ud..

Har du stadig problemer?
Avatar billede ralph4 Nybegynder
15. september 2006 - 21:11 #15
Nej, det tror jeg ikke, men hvis jeg har så genstiller jeg spørgsmål, du har fuldt ud fortjent dine point.
Avatar billede var Nybegynder
15. september 2006 - 21:13 #16
tak for point ;)

Du opretter bare et nyt spørgsmål hvis du fpr brug for hjælp :)
Avatar billede ralph4 Nybegynder
15. september 2006 - 21:18 #17
Hvis du vil forklare lidt, så er jeg lutter øren.

Jeg forstår at:

Default_Page_URL = about:blank, skal væk

Vrøvl: O4 - HKLM\..\Run: [Á³# é"h'þ9ÓœU3rŲWC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\ayoeepeb.exe, skal væk

Sjove ord som: C:\WINDOWS\system32\gdbyyhk.dll
GooDBYe, skal væk.

Henvisninger til IP-adresse PLUS exe-fil skal væk?

Filer der beskyttes under startup: O4 - Global Startup: .protected, skal væk?

Er jeg helt forkert på den, eller?
Avatar billede var Nybegynder
15. september 2006 - 21:35 #18
"Sjove ord som: C:\WINDOWS\system32\gdbyyhk.dll
GooDBYe, skal væk."

Der står nu ikke Goodbye, men ja den skal væk, hvis du foretager en google søgning på filen, er der intet om den. Det er 98% virus/spyware/adware.

"Henvisninger til IP-adresse PLUS exe-fil skal væk?"

Ikke nødvendigvis. Nogle "slemme" Ip adresser skal væk, det skal nogle "slemme" exe-filer også :) du kan foretage en google søgning

"Filer der beskyttes under startup: O4 - Global Startup: .protected, skal væk?"

Nej, men den der skulle væk.. :)
Avatar billede var Nybegynder
15. september 2006 - 21:39 #19
hvis du vil lære hvordan man tjekker en Hijackthis så kig lidt her:

http://www.ejvindh.net/viewtopic.php?p=41
Avatar billede ralph4 Nybegynder
15. september 2006 - 23:59 #20
imorgen, g´nat
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 15:37 Sort skærm Af mort1 i Windows
I går 12:32 iPadOS 26.4.1 kan ikke opdatere Af claes57 i Apps til iOS
08/0410:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
06/0419:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
06/0417:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
White papers
Flere white papers »