Søg
Avatar billede Dan Hansen Juniormester
17. oktober 2007 - 19:42 Der er 7 kommentarer og
1 løsning

HiJackThis Log - hvem vil hjælpe

Hvem vil lige kigge denne igennem!
-----------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:53, on 17-10-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmer\CA\eTrust Antivirus\InoRpc.exe
C:\Programmer\CA\eTrust Antivirus\InoRT.exe
C:\Programmer\CA\eTrust Antivirus\InoTask.exe
C:\Programmer\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Nero\Nero 7\InCD\InCD.exe
C:\Programmer\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programmer\Microsoft IntelliType Pro\type32.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programmer\Windows Defender\MSASCui.exe
C:\Programmer\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmer\HJTrenamed.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programmer\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [type32] "C:\Programmer\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programmer\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmer\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Stitch2Setup.exe] C:\DOWNLO~1\STITCH~1.EXE /r
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmer\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Åbn på ny baggrundsfane - res://C:\Programmer\Windows Live Toolbar\Components\da-dk\msntabres.dll.mui/229?b44a557c82a84aa48a8c29856e5e919f
O8 - Extra context menu item: Åbn på ny forgrundsfane - res://C:\Programmer\Windows Live Toolbar\Components\da-dk\msntabres.dll.mui/230?b44a557c82a84aa48a8c29856e5e919f
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: www.888.com
O15 - Trusted Zone: www.pacificpoker.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142034404437
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmer\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmer\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programmer\RealVNC\VNC4\WinVNC4.exe

--
End of file - 6566 bytes
Avatar billede ejvindh Ekspert
17. oktober 2007 - 19:44 #1
Kigger lige :-)
Avatar billede Dan Hansen Juniormester
17. oktober 2007 - 19:48 #2
her er en combofix...
Skal du have den også!?

------------------------------
ComboFix 07-10-17.8@ - Gurli M. Nielsen 2007-10-17 19:44:56.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1030.18.310 [GMT 2:00]
Running from: C:\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((  Files Created from 2007-09-17 to 2007-10-17  )))))))))))))))))))))))))))))))
.

2007-10-17 19:44    51,200    --a------    C:\WINDOWS\NirCmd.exe
2007-10-17 19:43    1,390,345    --a------    C:\ComboFix.exe
2007-10-17 19:40    401,720    --a------    C:\Programmer\HJTrenamed.exe
2007-10-17 19:36    <DIR>    d--------    C:\WINDOWS\pss
2007-10-03 21:36    438,272    --a------    C:\WINDOWS\system32\vp6vfw.dll
2007-10-03 21:36    118,832    --a------    C:\WINDOWS\system32\SHW32.DLL
2007-10-03 21:25    <DIR>    d--------    C:\Programmer\EA Sports
2007-10-03 21:23    2,297,552    --a------    C:\WINDOWS\system32\d3dx9_26.dll
2007-10-03 20:52    <DIR>    d--------    C:\Programmer\Codemasters
2007-10-03 20:45    <DIR>    d--------    C:\Programmer\D-Tools
2007-10-03 20:45    156,800    --a------    C:\WINDOWS\system32\drivers\d346bus.sys
2007-10-03 20:45    5,248    --a------    C:\WINDOWS\system32\drivers\d346prt.sys
2007-09-18 14:14    <DIR>    d--------    C:\Programmer\Microsoft CAPICOM 2.1.0.2
2007-09-18 12:22    271,224    --a------    C:\WINDOWS\system32\mucltui.dll
2007-09-18 12:22    207,736    --a------    C:\WINDOWS\system32\muweb.dll
2007-09-17 09:20    <DIR>    d--------    C:\Documents and Settings\Gurli M. Nielsen\Contacts
2007-09-17 09:20    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\Windows Live Toolbar
2007-09-17 09:15    <DIR>    d--------    C:\Programmer\Windows Live Toolbar
2007-09-17 09:12    <DIR>    d----c---    C:\WINDOWS\system32\DRVSTORE

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-17 17:40    6,567    ----a-w    C:\Programmer\hijackthis.log
2007-10-17 17:32    ---------    d-----w    C:\Programmer\Google
2007-10-17 17:31    ---------    d-----w    C:\Programmer\Java
2007-10-03 19:36    ---------    d--h--w    C:\Programmer\InstallShield Installation Information
2007-09-17 07:13    ---------    d-----w    C:\Programmer\MSN Messenger
2007-09-17 07:13    ---------    d-----w    C:\Programmer\Fælles filer\Microsoft Shared
2007-09-01 19:51    ---------    d-----w    C:\Programmer\PacificPoker
2007-08-30 11:40    ---------    d-----w    C:\Programmer\Intel
2007-08-30 11:19    43,520    ----a-w    C:\WINDOWS\system32\CmdLineExt03.dll
2007-08-23 07:03    ---------    d-----w    C:\Programmer\Microsoft IntelliType Pro
2007-08-21 06:17    683,520    ----a-w    C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19    92,504    ----a-w    C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19    549,720    ----a-w    C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19    53,080    ----a-w    C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19    43,352    ----a-w    C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19    325,976    ----a-w    C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19    203,096    ----a-w    C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19    1,712,984    ----a-w    C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18    33,624    ----a-w    C:\WINDOWS\system32\wups.dll
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 06:46 C:\WINDOWS\SOUNDMAN.EXE]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"InCD"="C:\Programmer\Nero\Nero 7\InCD\InCD.exe" [2005-10-20 15:45]
"Cmaudio"="cmicnfg.cpl" []
"Norton Ghost 9.0"="C:\Programmer\Symantec\Norton Ghost\Agent\GhostTray.exe" [2004-07-29 05:41]
"type32"="C:\Programmer\Microsoft IntelliType Pro\type32.exe" [2004-06-03 10:51]
"IntelliPoint"="C:\Programmer\Microsoft IntelliPoint\point32.exe" [2004-06-03 10:50]
"AntivirusRegistration"="C:\Programmer\CA\Etrust Antivirus\Register.exe" [2005-08-23 00:05]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2004-04-06 18:14]
"Windows Defender"="C:\Programmer\Windows Defender\MSASCui.exe" [2006-11-03 18:20]
"SunJavaUpdateSched"="C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"DAEMON Tools-1033"="C:\Programmer\D-Tools\daemon.exe" [2004-03-12 22:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-27 14:00]
"MsnMsgr"="C:\Programmer\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"Stitch2Setup.exe"="C:\DOWNLO~1\STITCH~1.exe" []

C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\
Adobe Reader Hurtigstart.lnk - C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
Microsoft Office.lnk - C:\Programmer\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56]

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys
R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys
R0 Si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\DRIVERS\si3112r.sys
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys

*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2007-10-17 17:27:27 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programmer\Windows Defender\MpCmdRun.exe
"2007-10-17 17:35:00 C:\WINDOWS\Tasks\Søg efter opdateringer til Windows Live Toolbar.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-17 19:46:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...
Avatar billede ejvindh Ekspert
17. oktober 2007 - 19:50 #3
Du bør fixe disse 3 linier, genstarte, og checke at de er forsvundet:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O15 - Trusted Zone: www.888.com
O15 - Trusted Zone: www.pacificpoker.com

Derudover er der en enkelt, som jeg ikke kender:
O4 - HKCU\..\Run: [Stitch2Setup.exe] C:\DOWNLO~1\STITCH~1.EXE /r

Ved du selv hvad det er? Hvis nej, så prøv lige følgende:

Prøv at gå ind på følgende hjemmeside:
http://www.virustotal.com/en/indexx.html

Klik på Gennemse, og klik dig så frem til C:\DOWNLO~1\STITCH~1.EXE

Klik så Send. Så vil siden efter lidt tid begynde at scanne filen. Under scanningen vil der øverst på siden stå "STATUS: SCANNING". Når scanningen er færdig, vil der stå "STATUS: FINISHED". Kopier resultatet af scanningen herind i tråden (du kan markere teksten med musen, højreklikke på det markerede, og vælge "kopier"; herefter kan du paste indholdet herind).


Derudover vil jeg også sige, at der efterhånden er mange ting, man ikke kan se i Hijackthis. Så hvis du vil have et lidt grundigere check, bør du køre den fulde procedure herfra:

http://www.eksperten.dk/artikler/1123

Læg de nævnte logs herind, så kigger jeg dem igennem.
Avatar billede ejvindh Ekspert
17. oktober 2007 - 19:51 #4
Nå, jeg kan se, at du HAR kørt Combofix nu. Så ser der ikke ud til at være andet på computeren, end det, jeg allerede har påpeget :-)
Avatar billede Dan Hansen Juniormester
17. oktober 2007 - 19:56 #5
de 888.com og pacificpoker.com - er de så slemme? spiller jo via begge!
Avatar billede ejvindh Ekspert
17. oktober 2007 - 20:31 #6
Især 888.com er ikke alt for fin i kanten. Den har enkelte gange udsendt smitfraud-infektioner. Derfor ville jeg i hvert fald ikke selv have dem liggende i "Trusted Zones" :-)

http://www.siteadvisor.com/sites/pacificpoker.com
http://www.siteadvisor.com/sites/888.com
Avatar billede ejvindh Ekspert
26. oktober 2007 - 09:04 #7
Husk at lukke tråden efter dig.
Avatar billede Dan Hansen Juniormester
20. november 2007 - 21:31 #8
undskyld den sene lukning - men tak for hjælpen :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Generator til strømafbrydelse Af arnepedersen i Andet sikkerhed 11 06/10/202510:26 07/10/202516:37
Sophus Scan og Clean på USB- samler den "snavs" op? Af Uvanga i Andet sikkerhed 7 24/09/202522:06 25/09/202518:27
synology surveillance Af johnnylassen i Andet sikkerhed 2 09/06/202514:49 09/06/202518:18
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
27/1222:02 Låse brugt iPad op Af drstein i iOS, iPhone & iPad
27/1219:21 Hvor finder jeg en oversigt over mine spørgsmål Af KurtG i Hjælp og fejl
27/1211:31 TP-Link Wifi extender opsat som accesspoint giver 50% up- og download, Af Uvanga i Wifi
26/1213:05 Hvorfor bliver tiff-filer større ved konvertering til samme format Af KurtG i Billedbehandling
23/1221:36 Gøre Ikonerne lidt større i proceslinjen (Windows 10) Af Ikke-ekspert i Windows
White papers
Flere white papers »