HJT Log

Af Supporter Aspirant Gaarde | 15-04-2005 09:09 | 1167 visninger | 7 svar, hop til seneste

Min computer spassede fuldstændig lige nu :-( Nogen der vil kigge min log igennem. Den kom pludselig med en trojan advarsel. Logfile of HijackThis v1.99.0 Scan saved at 09:05:22, on 15-04-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:ProgrammerSygateSPFsmc.exe C:WINDOWSsystem32spoolsv.exe C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe C:WINDOWSExplorer.EXE C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe C:WINDOWSSystem32 vsvc32.exe C:WINDOWSSystem32svchost.exe C:WINDOWSSystem32helper.exe C:WINDOWSpopuper.exe C:WINDOWSSOUNDMAN.EXE C:ProgrammerD-Toolsdaemon.exe C:ProgrammerFælles filerInstallShieldUpdateServiceissch.exe C:ProgrammerJavajre1.5.0_01injusched.exe C:WINDOWSSystem32intmonp.exe C:PROGRA~1GrisoftAVGFRE~1avgcc.exe C:PROGRA~1GrisoftAVGFRE~1avgemc.exe C:wp.exe C:Documents and SettingsLars.GSkrivebordUbenyttede skrivebordsgenvejeHijackThis.exe R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.searchmaid.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.searchmaid.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://searchmaid.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.searchmaid.com[...] R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.searchmaid.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.searchmaid.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.searchmaid.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://searchmaid.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.searchmaid.com[...] R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.searchmaid.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.searchmaid.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://www.searchmaid.com[...] R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.searchmaid.com[...] R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://www.searchmaid.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://www.searchmaid.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://www.searchmaid.com[...] R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://www.searchmaid.com[...] R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://www.searchmaid.com[...] F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:PROGRA~1VIRTUA~1VIRTUA~1.DLL O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM..Run: [ATIPTA] C:ProgrammerATI TechnologiesATI Control Panelatiptaxx.exe O4 - HKLM..Run: [ashMaiSv] C:PROGRA~1ALWILS~1Avast4ashmaisv.exe O4 - HKLM..Run: [WinampAgent] "C:ProgrammerWinamp3winampa.exe" O4 - HKLM..Run: [DAEMON Tools-1033] "C:ProgrammerD-Toolsdaemon.exe" -lang 1033 O4 - HKLM..Run: [ISUSPM Startup] C:PROGRA~1FLLESF~1INSTAL~1UPDATE~1ISUSPM.exe -startup O4 - HKLM..Run: [ISUSScheduler] "C:ProgrammerFælles filerInstallShieldUpdateServiceissch.exe" -start O4 - HKLM..Run: [SmcService] C:PROGRA~1SygateSPFsmc.exe -startgui O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup O4 - HKLM..Run: [Windows AdStatus] C:Program FilesWindows AdStatusWinStat.exe O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe O4 - HKLM..Run: [SunJavaUpdateSched] C:ProgrammerJavajre1.5.0_01injusched.exe O4 - HKLM..Run: [MSN Messenger] C:WINDOWSSystem32msmsgs.exe O4 - HKLM..Run: [Security iGuard] C:ProgrammerSecurity iGuardSecurity iGuard.exe O4 - HKLM..Run: [AVG7_CC] C:PROGRA~1GrisoftAVGFRE~1avgcc.exe /STARTUP O4 - HKLM..Run: [AVG7_EMC] C:PROGRA~1GrisoftAVGFRE~1avgemc.exe O4 - HKCU..Run: [WindowsFY] c:wp.exe O4 - Startup: PowerReg Scheduler.exe O4 - Startup: Registration Brothers In Arms.LNK = H:SupportRegisterRegistrationReminder.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:ProgrammerWIDCOMMBluetooth Softwaretsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammerJavajre1.5.0_01in pjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammerJavajre1.5.0_01in pjpi150_01.dll O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengerMSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengerMSMSGS.EXE O9 - Extra button: Microsoft AntiSpyware helper - {56842ED5-4BA7-4D40-BC6F-4EC2CA6BD931} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {56842ED5-4BA7-4D40-BC6F-4EC2CA6BD931} - (no file) (HKCU) O13 - WWW. Prefix: http:// O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com[...] O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com[...] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com[...] O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://www.kortal.dk[...] O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com[...] O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com[...] O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com[...] O23 - Service: Adobe LM Service - Unknown - C:ProgrammerFælles filerAdobe Systems SharedServiceAdobelmsvc.exe O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:WINDOWSSystem32 vsvc32.exe O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:ProgrammerSygateSPFsmc.exe
--

AaaaaaaaaB ;-)

#1
guanomo
Giga Nørd
15-04-2005 09:14

Rapporter til Admin

Jeg må sige at nogle af os der tjekker hijacklog filer ik tjekker når man ik har minimum sp1 installeret fordi dit system er meget hullet og der ik vil gå længe inden man er inficeret igen Jeg anbefaler du opdatere din XP, dog ik med sp2 endnu, men med sp1 og ligger en ny log bagefter.
--
En høj bruger rating har intet med viden at gøre, men om nysgerrighed ;o). en onersøjelse har bivist , at mænsker der er goe ælskeer, er dålie til at stave, vordan stave du?

#2
Gaarde
Supporter Aspirant
15-04-2005 09:21

Rapporter til Admin

Skal jeg gøre det via windows update ?
--
AaaaaaaaaB ;-)

#3
guanomo
Giga Nørd
15-04-2005 09:24

Rapporter til Admin

Den fulde sp1 skulle gerne være her .. http://www.microsoft.com[...] men virker det ik kan du tage via update hvis det kan lade sig gøre, men sp2 skal du ik have nu, for er et system inficiret kan det lave rav i det hvis man installere sp2.
--
En høj bruger rating har intet med viden at gøre, men om nysgerrighed ;o). en onersøjelse har bivist , at mænsker der er goe ælskeer, er dålie til at stave, vordan stave du?

#4
Gaarde
Supporter Aspirant
15-04-2005 11:22

Rapporter til Admin

Det tager over 3 timer og hente det ned... Den kører ikke engang med 5 i sekundet :-( Er det vigtigt og få lagt ind inden jeg får renser computeren ??
--
AaaaaaaaaB ;-)

#5
guanomo
Giga Nørd
15-04-2005 11:34

Rapporter til Admin

ellers hjælper rensningen ik meget..det kommer hurtigt igen... 5 kb? hvad er det for en forbindelse?
--
En høj bruger rating har intet med viden at gøre, men om nysgerrighed ;o). en onersøjelse har bivist , at mænsker der er goe ælskeer, er dålie til at stave, vordan stave du?

#6
guanomo
Giga Nørd
15-04-2005 12:00

Rapporter til Admin

Vi kan lige rette nogle ting og så prøver du igen bagefter..så burde det gå hurtigere for dig. Hent Aboutbuster: http://www.malwarebytes.biz[...] (pak Aboutbuster ud til sin egen mappe på Skrivebordet). Hent cwsserviceremove.reg her: http://www.fbeej.dk[...] (pak cwsserviceremove.zip ud til Skrivebordet) Hent denne Kaspersky scanner, den skal du bruge senere. http://www.spywareinfo.dk[...] - Virusscanner. Under dette fix, må du ikke have Internet Explorer åben, så det bedste er at printe instruktionen ud - næstbedst at kopiere den over i Notepad, så du kan læse den derfra. Genstart i Fejlsikret tilstand, ved at taste F8 under opstart og vælge Fejlsikret tilstand. Gå tilføj/fjern og find den her iGuard.exe og se om der ik skulel være noget med sreachbar og fjern det også. For at kunne se alle filer: Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis. Fjern flueben ved "Skjul beskyttede operativsystemfiler". Fjern flueben ved "Skjul filtypenavne for kendte filtyper". Sæt prik i "Vis skjulte filer og mapper". tryk ctrl+alt+del og luk dem her (hvis de kører) C\:WINDOWS\popuper.exe C:\WINDOWS<<System32\intmonp.exe C:\wp.exe Find og slet C\:WINDOWS\popuper.exe C:\WINDOWS<<System32\intmonp.exe C:\wp.exe Dobbeltklik på cwsserviceremove.reg, som du hentede i begyndelsen. Kør AboutBuster - to gange. - klik OK - klik Start og OK for at scanne for Alternate Data Streams - klik Yes for at tillade nedlukning af Explorer.exe - klik Yes for at tillade nr. 2 scanning. Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv. Kør nu programmet mwav Klik på den fil du har hentet: mwav.exe Klik på unzip og det pakker sig ud i en mappe som det selv opretter på C:Kasperskky – klik på OK. Sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services. Sæt prik i følgende: All local drives og Scan all files Klik på scan. Lad scanneren fjerne alt hvad den selv foreslår. Det kan godt tage et par timer, men den er også meget grundig. :-) Genstart normal og lad os se om download ik går hurtigere.
--
En høj bruger rating har intet med viden at gøre, men om nysgerrighed ;o). en onersøjelse har bivist , at mænsker der er goe ælskeer, er dålie til at stave, vordan stave du?

#7
guanomo
Gæst
18-04-2005 12:14

Rapporter til Admin

#0 hvordan går det?
--
Gæstebruger, opret dit eget login og få din egen signatur.