Gå til innhold
🎄🎅❄️God Jul og Godt Nyttår fra alle oss i Diskusjon.no ×

Fått virus, Kan noen hjelpe meg med hijackthis?


Anbefalte innlegg

Hei.

Jeg har AVG Antivirus, kjører win 2000 og har fått følgende

virus dukkende til stadighet opp i den siste tiden:

Downloader.Agent.AS

Dropper.Inor

Dropper.Delf.3.L

Downloader.Istbar.4.AG

 

AVG klarer av og til å fjerne de, men da bare midlertidig for noen timer.

Scannet over med CoolWebSearch, men den sa at alt var i orden.

Deretter lastet jeg ned Hijackthis! og den kom opp med følgende liste

 

Logfile of HijackThis v1.98.2

Scan saved at 17:37:14, on 28.09.2004

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG6\avgserv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\Explorer.exe

C:\Program Files\CCProxy\CCProxy.exe

C:\WINNT\loadqm.exe

C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe

C:\WINNT\System32\cerf.exe

C:\Program Files\Windows SyncroAd\SyncroAd.exe

C:\temp\msbb.exe

C:\Program Files\Windows SyncroAd\WinSync.exe

C:\PROGRA~1\INTERN~1\iexplore.exe

C:\Program Files\BullsEye Network\bin\bargains.exe

C:\WINNT\System32\internat.exe

C:\WINNT\System32\setver32.exe

C:\Program Files\AGC\agc.exe

C:\Program Files\TechniSat DVB\bin\Server4PC.exe

C:\WINNT\System32\CMMON32.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrator.DRITTMASKIN\Desktop\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\System32\msbe.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CCProxy] C:\Program Files\CCProxy\CCProxy.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [Advanced Internet Protocol] cerf.exe

O4 - HKLM\..\Run: [Windows secure] setver32.exe

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe

O4 - HKLM\..\Run: [jgzgf] C:\WINNT\jgzgf.exe

O4 - HKLM\..\Run: [bullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\RunServices: [Advanced Internet Protocol] cerf.exe

O4 - HKLM\..\RunServices: [Windows secure] setver32.exe

O4 - HKLM\..\RunOnce: [Windows secure] setver32.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Windows secure] setver32.exe

O4 - HKCU\..\RunOnce: [Windows secure] setver32.exe

O4 - Global Startup: AGC.lnk = AGC\agc.exe

O4 - Global Startup: Server4PC.lnk = C:\Program Files\TechniSat DVB\bin\Server4PC.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: v2cab - http://1517.searchmiracle.com/cab/v2cab.cab

O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.skandiabanken.no/CertControl/5.....0/xenrlinf.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...143e0c0991b9912

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{05BCBB86-AB02-4B4E-B016-462F6EAB9754}: NameServer = 62.92.133.202 148.122.208.99

O17 - HKLM\System\CS1\Services\Tcpip\..\{05BCBB86-AB02-4B4E-B016-462F6EAB9754}: NameServer = 62.92.133.202 148.122.208.99

 

------------------------------------------------------------------------------------

 

Denne lista forteller meg ingenting, og jeg lurer på om dere kan velge ut for

meg hva jeg skal slette her.

 

Om det er noen rutiner jeg bør gjøre i tilleg til å fixe opp med nevnte program,

så vil jeg gjerne vite hva.

 

mvh.

Atle

Lenke til kommentar
Videoannonse
Annonse

Hei, Atle!

 

Jeg er ingen ekspert, men har brukt HijackThis et par ganger før. Ser av loggen at du er infisert av en trojaner som tilkjennegir seg som setver32.exe. Fikk mange treff da jef søkte på filnavnet med Google. Du bør iallfall huke av og fikse alle linjer i loggen din merket med rødt. Elementer merket med oransje er også mistenkelige, men ikke gjør noe med dem før du har konsultert folka på ComputerCops-forumet (link under):

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\System32\msbe.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CCProxy] C:\Program Files\CCProxy\CCProxy.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [Advanced Internet Protocol] cerf.exe

O4 - HKLM\..\Run: [Windows secure] setver32.exe

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe

O4 - HKLM\..\Run: [jgzgf] C:\WINNT\jgzgf.exe

O4 - HKLM\..\Run: [bullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\RunServices: [Advanced Internet Protocol] cerf.exe

O4 - HKLM\..\RunServices: [Windows secure] setver32.exe

O4 - HKLM\..\RunOnce: [Windows secure] setver32.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Windows secure] setver32.exe

O4 - HKCU\..\RunOnce: [Windows secure] setver32.exe

O4 - Global Startup: AGC.lnk = AGC\agc.exe

O4 - Global Startup: Server4PC.lnk = C:\Program Files\TechniSat DVB\bin\Server4PC.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: v2cab - http://1517.searchmiracle.com/cab/v2cab.cab

O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.skandiabanken.no/CertControl/5.....0/xenrlinf.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...143e0c0991b9912

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{05BCBB86-AB02-4B4E-B016-462F6EAB9754}: NameServer = 62.92.133.202 148.122.208.99

O17 - HKLM\System\CS1\Services\Tcpip\..\{05BCBB86-AB02-4B4E-B016-462F6EAB9754}: NameServer = 62.92.133.202 148.122.208.99

 

NB! Husk at du også må slette disse filene manuelt fra disken. Det er ikke alltid du får fjernet dem sånn helt uten videre, start derfor opp maskinen i Safe Mode.

 

Som sagt kan det hende det er mer som bør fjernes, men det kan jeg ikke si med sikkerhet. Post loggen din på dette forumet, de har eksperter som kan hjelpe. Lykke til :thumbup:

Endret av Antikapitalist
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...