Kestas Skrevet 2. november 2008 Del Skrevet 2. november 2008 Malwarebytes Anti-Malware logg Malwarebytes' Anti-Malware 1.30 Database versjon: 1357 Windows 5.1.2600 Service Pack 3 02.11.2008 20:27:10 mbam-log-2008-11-02 (20-27-10).txt Skanntype: Rask Skann Objekter skannet: 47770 Tid tilbakelagt: 3 minute(s), 41 second(s) Minneprosesser infisert: 0 Minnemoduler infisert: 0 Registernøkler infisert: 0 Registerverdier infisert: 0 Registerfiler infisert: 0 Mapper infisert: 0 Filer infisert: 1 Minneprosesser infisert: (Ingen mistenkelige filer funnet) Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: (Ingen mistenkelige filer funnet) Registerverdier infisert: (Ingen mistenkelige filer funnet) Registerfiler infisert: (Ingen mistenkelige filer funnet) Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully. Combofix(fikk ikke noe logg) "C:\WINDOWS\system32\ gjenkjennes ikke som en intern eller ekstern kommando, kjørbart program eller satsvis fil. Hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:56, on 2008-11-02 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Lavasoft\Ad-Aware\aawservice.exe C:\Programfiler\Alwil Software\Avast4\aswUpdSv.exe C:\Programfiler\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe C:\Programfiler\Microsoft Office\Office12\GrooveMonitor.exe C:\Programfiler\Alwil Software\Avast4\ashDisp.exe C:\Programfiler\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\Eier\Lokale innstillinger\Programdata\Google\Update\GoogleUpdate.exe C:\WINDOWS\System32\gearsec.exe C:\Programfiler\Java\jre6\bin\jqs.exe C:\Programfiler\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\Programfiler\Trend Micro\test.exe\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:9000/proxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O1 - Hosts: 67.15.126.34 www.japsclan.com O1 - Hosts: 67.15.126.34 www.japsclan.info O1 - Hosts: 67.15.126.34 japsclan.info O1 - Hosts: 67.15.126.34 japsclan.com O1 - Hosts: 67.15.126.34 irc.japsclan.com O1 - Hosts: 67.15.126.34 www.japsclan.us O1 - Hosts: 67.15.126.34 japsclan.us O1 - Hosts: 67.15.126.34 www.japsclan.org O1 - Hosts: 67.15.126.34 japsclan.org O1 - Hosts: 67.15.126.34 rxp-clan.us O1 - Hosts: 67.15.126.34 www.rxp-clan.us O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programfiler\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programfiler\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programfiler\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [synTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cpqset] C:\Programfiler\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programfiler\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avast!] "C:\Programfiler\Alwil Software\Avast4\ashDisp.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: {82CF9738-0BDA-4AAF-AB08-5AC5875FF3BB} (YMultiRecord Class) - http://cyberbook-app02.uio.no/mod/hacp/run.../yrecording.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jdk...ows-i586-jc.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programfiler\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FELLES~1\Skype\Skype4COM.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programfiler\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programfiler\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programfiler\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programfiler\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programfiler\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe O23 - Service: iPod-tjeneste (iPodService) - Unknown owner - C:\Programfiler\iPod\bin\iPodService.exe (file missing) O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programfiler\Java\jre6\bin\jqs.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programfiler\Fellesfiler\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programfiler\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 7326 bytes Lenke til kommentar
Tosha0007 Skrevet 2. november 2008 Del Skrevet 2. november 2008 (endret) legg Combofix på skrivebordet så kan det hende det går. Combofix loggen skal legga seg i C:\Combofix.txt edit: Fekk du køyrd Combofix eller ikkje? Endret 2. november 2008 av tosha0007 Lenke til kommentar
Pizzaen Skrevet 2. november 2008 Del Skrevet 2. november 2008 (endret) Gå til C:\combofix.txt, der finner du loggen, viss ikke prøv og kjør Combofix på nytt og sjekk om du får noen logg da. Edit: Opps, var litt treg der Endret 2. november 2008 av Pizzaen Lenke til kommentar
Kestas Skrevet 2. november 2008 Forfatter Del Skrevet 2. november 2008 ComboFix 08-11-02.02 - Eier 2008-11-02 20:37:05.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1044.18.158 [GMT 1:00] Running from: C:\Documents and Settings\Eier\Mine dokumenter\Nedlastinger\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . Den? Lenke til kommentar
Tosha0007 Skrevet 2. november 2008 Del Skrevet 2. november 2008 (endret) ja. bare få med heile loggen. Du må legge Combofix.exe på skrivebordet Endret 2. november 2008 av tosha0007 Lenke til kommentar
r2d290 Skrevet 2. november 2008 Del Skrevet 2. november 2008 Ja, men det mangler ganske mye. Dessuten viser loggen at du ikke kjører combofix fra skrivebordet. Dette er viktig! Last ned combofix på nytt, legg det på skrivebordet, og kjør det Lenke til kommentar
Kestas Skrevet 2. november 2008 Forfatter Del Skrevet 2. november 2008 Nå har jeg gjort det(kjørte den fra skrivebordet) men får akkurat det samme som før(det er bare tid som har forandret seg). Den går fint til stage 50 så kommer det melding: "C:\WINDOWS\system32\ gjenkjennes ikke som en intern eller ekstern kommando, kjørbart program eller satsvis fil. Og det er her jeg går for å se loggen: http://img523.imageshack.us/my.php?image=cobofixxr0.png I tillegg mister jeg internett og må fornye ip adressen. Lenke til kommentar
Tosha0007 Skrevet 2. november 2008 Del Skrevet 2. november 2008 tidligere fekk du opp begynnelsen av loggen. Er det heile loggen eller er det mer du ikkje har postet her? Lenke til kommentar
Kestas Skrevet 2. november 2008 Forfatter Del Skrevet 2. november 2008 tidligere fekk du opp begynnelsen av loggen. Er det heile loggen eller er det mer du ikkje har postet her? Jeg har postet alt som var i den dokumenten, det var ikke mere. Lenke til kommentar
Kestas Skrevet 2. november 2008 Forfatter Del Skrevet 2. november 2008 (endret) Ok, jeg har funnet litt informasjon om dette problemet her: http://www.geekstogo.com/forum/Recovery-Co...ns-t187950.html Nå for jeg kort logg med combofix, men har i hvertfall installert recovery console: ComboFix 08-11-02.02 - Eier 2008-11-02 22:04:50.5 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1044.18.264 [GMT 1:00] Running from: C:\Documents and Settings\Eier\Skrivebord\ComboFix.exe Command switches used :: C:\Documents and Settings\Eier\Skrivebord\WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe * Created a new restore point . Endret 2. november 2008 av Kestas Lenke til kommentar
r2d290 Skrevet 2. november 2008 Del Skrevet 2. november 2008 (endret) Blei litt usikker nå: combofix-loggen tror jeg at skal ligge rett på c-disken, ikke inne i mappen som heter combofix. Se om det stemmer... edit: prøv eventuelt å søke etter combofix.txt Endret 2. november 2008 av r2d290 Lenke til kommentar
Kestas Skrevet 2. november 2008 Forfatter Del Skrevet 2. november 2008 Blei litt usikker nå: combofix-loggen tror jeg at skal ligge rett på c-disken, ikke inne i mappen som heter combofix. Se om det stemmer... edit: prøv eventuelt å søke etter combofix.txt Det står ikke noe dokumenter i C disken, jeg må gå inn til mappe først for å åpne den(som i bilde). Prøvde å søke så fant jeg den samme jeg har postet allerede. Lenke til kommentar
r2d290 Skrevet 2. november 2008 Del Skrevet 2. november 2008 Prøv å starte maskinen i Sikkerhetsmodus: Restart maskinen på vanlig måte Trykk mange ganger på F8 rett før Windows starter å laste inn. Velg alternativet Sikkerhetsmodus. Til slutt logger du deg inn på brukeren din, og velger det passordet du pleier å bruke. Merk: I noen tilfeller logger Windows seg inn på en bruker automatisk, og du trenger da ikke å skrive inn brukernavn eller passord. Deretter vanlig prosedyre for å kjøre combofix. se om du kommer lenger nå... Lenke til kommentar
Kestas Skrevet 2. november 2008 Forfatter Del Skrevet 2. november 2008 (endret) Jeg får akkurat det samme, kommer til (50 stage complete) også for jeg melding ("C:\WINDOWS\system32\ gjenkjennes ikke som en intern eller ekstern kommando, kjørbart program eller satsvis fil.) på combofix, da klikker jeg x for å stenge den boxen og går på loggen: ComboFix 08-11-02.02 - Eier 2008-11-02 22:58:03.7 - NTFSx86 MINIMAL Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1044.18.374 [GMT 1:00] Running from: C:\Documents and Settings\Eier\Skrivebord\ComboFix.exe . Endret 2. november 2008 av Kestas Lenke til kommentar
norbat Skrevet 3. november 2008 Del Skrevet 3. november 2008 Last ned ny Combofix og prøv og kjør det igjen. Lenke til kommentar
Kestas Skrevet 3. november 2008 Forfatter Del Skrevet 3. november 2008 Last ned ny Combofix og prøv og kjør det igjen. Jeg har gjort det minst 7 ganger allerede. Egentlig så har jeg ingen problemer med pc'en min ville bare sjekke... takk for hjelpen alle sammen. Lenke til kommentar
norbat Skrevet 3. november 2008 Del Skrevet 3. november 2008 Du kjenner til disse? O1 - Hosts: 67.15.126.34 www.japsclan.com O1 - Hosts: 67.15.126.34 www.japsclan.info .... Lenke til kommentar
1915 Skrevet 3. november 2008 Del Skrevet 3. november 2008 hijackthis kan du faktisk sjekke selv, er easy, www.hijackthis.de Lenke til kommentar
Kestas Skrevet 3. november 2008 Forfatter Del Skrevet 3. november 2008 (endret) Du kjenner til disse?O1 - Hosts: 67.15.126.34 www.japsclan.com O1 - Hosts: 67.15.126.34 www.japsclan.info .... Nei, har aldri vært innom dem tror jeg. Endret 3. november 2008 av Kestas Lenke til kommentar
r2d290 Skrevet 3. november 2008 Del Skrevet 3. november 2008 hijackthis kan du faktisk sjekke selv, er easy, www.hijackthis.de Og hva slags nytte har en "gjennomsnitlig" bruker av en sånn side? Hva skal de gjøre hvis det kommer et rødt farlig X på en O4 linje? og hva gjør man med de tusen gule X-ene? Og spørsmålstegnene er ofte de som er virus. Hvorfor tror du veiledningen for bruk av hijackthis er så lang: http://www.bleepingcomputer.com/tutorials/tutorial42.html ? Å bruke den siden du refererer til, og å bruke hijackthis generelt uten å ha litt innsikt i hva du driver med, kan lett føre til større skade enn hjelp. Da er det bedre brukeren holder seg til antivirus og antispyware-program Men heldigvis er det noen på dette forumet som kan å analysere loggene Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå