Fjatle Skrevet 28. september 2004 Del Skrevet 28. september 2004 Hei. Jeg har AVG Antivirus, kjører win 2000 og har fått følgende virus dukkende til stadighet opp i den siste tiden: Downloader.Agent.AS Dropper.Inor Dropper.Delf.3.L Downloader.Istbar.4.AG AVG klarer av og til å fjerne de, men da bare midlertidig for noen timer. Scannet over med CoolWebSearch, men den sa at alt var i orden. Deretter lastet jeg ned Hijackthis! og den kom opp med følgende liste Logfile of HijackThis v1.98.2 Scan saved at 17:37:14, on 28.09.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\SYSTEM32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\Explorer.exe C:\Program Files\CCProxy\CCProxy.exe C:\WINNT\loadqm.exe C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\WINNT\System32\cerf.exe C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\temp\msbb.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\PROGRA~1\INTERN~1\iexplore.exe C:\Program Files\BullsEye Network\bin\bargains.exe C:\WINNT\System32\internat.exe C:\WINNT\System32\setver32.exe C:\Program Files\AGC\agc.exe C:\Program Files\TechniSat DVB\bin\Server4PC.exe C:\WINNT\System32\CMMON32.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator.DRITTMASKIN\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\System32\msbe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [CCProxy] C:\Program Files\CCProxy\CCProxy.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [Advanced Internet Protocol] cerf.exe O4 - HKLM\..\Run: [Windows secure] setver32.exe O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [jgzgf] C:\WINNT\jgzgf.exe O4 - HKLM\..\Run: [bullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe O4 - HKLM\..\RunServices: [Advanced Internet Protocol] cerf.exe O4 - HKLM\..\RunServices: [Windows secure] setver32.exe O4 - HKLM\..\RunOnce: [Windows secure] setver32.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Windows secure] setver32.exe O4 - HKCU\..\RunOnce: [Windows secure] setver32.exe O4 - Global Startup: AGC.lnk = AGC\agc.exe O4 - Global Startup: Server4PC.lnk = C:\Program Files\TechniSat DVB\bin\Server4PC.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: v2cab - http://1517.searchmiracle.com/cab/v2cab.cab O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.skandiabanken.no/CertControl/5.....0/xenrlinf.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...143e0c0991b9912 O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{05BCBB86-AB02-4B4E-B016-462F6EAB9754}: NameServer = 62.92.133.202 148.122.208.99 O17 - HKLM\System\CS1\Services\Tcpip\..\{05BCBB86-AB02-4B4E-B016-462F6EAB9754}: NameServer = 62.92.133.202 148.122.208.99 ------------------------------------------------------------------------------------ Denne lista forteller meg ingenting, og jeg lurer på om dere kan velge ut for meg hva jeg skal slette her. Om det er noen rutiner jeg bør gjøre i tilleg til å fixe opp med nevnte program, så vil jeg gjerne vite hva. mvh. Atle Lenke til kommentar
Penneknekt Skrevet 28. september 2004 Del Skrevet 28. september 2004 (endret) Hei, Atle! Jeg er ingen ekspert, men har brukt HijackThis et par ganger før. Ser av loggen at du er infisert av en trojaner som tilkjennegir seg som setver32.exe. Fikk mange treff da jef søkte på filnavnet med Google. Du bør iallfall huke av og fikse alle linjer i loggen din merket med rødt. Elementer merket med oransje er også mistenkelige, men ikke gjør noe med dem før du har konsultert folka på ComputerCops-forumet (link under): R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\System32\msbe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [CCProxy] C:\Program Files\CCProxy\CCProxy.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [Advanced Internet Protocol] cerf.exe O4 - HKLM\..\Run: [Windows secure] setver32.exe O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [jgzgf] C:\WINNT\jgzgf.exe O4 - HKLM\..\Run: [bullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe O4 - HKLM\..\RunServices: [Advanced Internet Protocol] cerf.exe O4 - HKLM\..\RunServices: [Windows secure] setver32.exe O4 - HKLM\..\RunOnce: [Windows secure] setver32.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Windows secure] setver32.exe O4 - HKCU\..\RunOnce: [Windows secure] setver32.exe O4 - Global Startup: AGC.lnk = AGC\agc.exe O4 - Global Startup: Server4PC.lnk = C:\Program Files\TechniSat DVB\bin\Server4PC.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: v2cab - http://1517.searchmiracle.com/cab/v2cab.cab O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.skandiabanken.no/CertControl/5.....0/xenrlinf.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...143e0c0991b9912 O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{05BCBB86-AB02-4B4E-B016-462F6EAB9754}: NameServer = 62.92.133.202 148.122.208.99 O17 - HKLM\System\CS1\Services\Tcpip\..\{05BCBB86-AB02-4B4E-B016-462F6EAB9754}: NameServer = 62.92.133.202 148.122.208.99 NB! Husk at du også må slette disse filene manuelt fra disken. Det er ikke alltid du får fjernet dem sånn helt uten videre, start derfor opp maskinen i Safe Mode. Som sagt kan det hende det er mer som bør fjernes, men det kan jeg ikke si med sikkerhet. Post loggen din på dette forumet, de har eksperter som kan hjelpe. Lykke til Endret 28. september 2004 av Antikapitalist Lenke til kommentar
Fjatle Skrevet 28. september 2004 Forfatter Del Skrevet 28. september 2004 Tusen tusen takk!! ... ...og takk en gang til!! Lenke til kommentar
Penneknekt Skrevet 28. september 2004 Del Skrevet 28. september 2004 Always a pleasure! Du får bare gi beskjed om det er noe du lurer på. Håper det ordner seg for deg! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå