CurSe Skrevet 8. juni 2005 Del Skrevet 8. juni 2005 Trodde jeg ble kvitt dette viruset for en stund siden, men jevnt og trutt så dukker norton opp og sier at den har oppdaget W32.spybot.worm på datamaskinen og slettet den automatisk. Jeg har kjørt scan med følgende programmer(med oppdateringer): Norton Antirvirus 2004 MS Spyware XoftSpy Spybot Search&Destroy Men likevel så kommer den tilbake. Hvordan kan jeg unngå dette problemet i framtiden? Lenke til kommentar
zjulik Skrevet 8. juni 2005 Del Skrevet 8. juni 2005 Hvis viruset har en "mor" som befinner seg på maskinen så føder det unger hver gang du starter maskinen. Post en HijackThis-logg. Forøvrig har ikke XoftSpy *hatt* det beste ryktet akkurat...her er en debatt: http://www.spywarewarrior.com/viewtopic.php?t=2678 Lenke til kommentar
CurSe Skrevet 8. juni 2005 Forfatter Del Skrevet 8. juni 2005 (endret) Edit: Ligger en nyere HijackThis logg litt lenger nede Endret 13. juni 2005 av CurSe Lenke til kommentar
zjulik Skrevet 8. juni 2005 Del Skrevet 8. juni 2005 Hm...ser i grunnen sunt ut. Eneste jeg stusser ved er O4 - HKLM\..\RunServices: [N0TEP4D] iasss.exe Er denne ukjent for deg, ville jeg fjernet den. Lenke til kommentar
CurSe Skrevet 8. juni 2005 Forfatter Del Skrevet 8. juni 2005 (endret) Tror jeg fjerner den. O4 - HKLM\..\RunServices: [Micromedia Flash Update] takmanager.exe Heter det ikke Macromedia flash? Eller er det jeg som husker feil Edit: Ser den skummel ut? Endret 8. juni 2005 av CurSe Lenke til kommentar
Gjest Slettet+3124 Skrevet 8. juni 2005 Del Skrevet 8. juni 2005 O4 - HKLM\..\RunServices: [N0TEP4D] iasss.exe Dette er en trojaner, les her. Lenke til kommentar
zjulik Skrevet 8. juni 2005 Del Skrevet 8. juni 2005 Tror jeg fjerner den. O4 - HKLM\..\RunServices: [Micromedia Flash Update] takmanager.exe Heter det ikke Macromedia flash? Eller er det jeg som husker feil Edit: Ser den skummel ut? Hm...det var noe med den derre takmanager for en tid tilbake, her i forumet. Jeg husker ikke om vi kom frem til at det var styggedom eller bare trykkfeil fra en "snill" produsent...? Prøv å søk her i forumet på det. Det var en lang tråd...par uker siden? Lenke til kommentar
CurSe Skrevet 8. juni 2005 Forfatter Del Skrevet 8. juni 2005 Fant tråden: http://forum.hardware.no/index.php?showtopic=418142 Det som er litt rart er at jeg blokkerte den da med MS Antispyware, men nå er den tydeligvis tilbake igjen? Forsvinner iass.exe fra pc'n hvis jeg tar "fix selected problems" i HijcakThis? Lenke til kommentar
zjulik Skrevet 8. juni 2005 Del Skrevet 8. juni 2005 Den forsvinner nok fra Run-delen av registeret, ja. Etter fjerning med HijackThis anbefales en omstart i Safe Mode. Gå først inn i Windows- og System32-mappen og se om du finner iasss.exe. Slett. Gå deretter inn i start / run / regedit og søk etter samme fil. Slett referanser til den. Pass på hva du sletter - kun styggedommen! Ikke la deg forlede av filnavn som ligner - det er kun iasss.exe det gjelder nå. Lenke til kommentar
CurSe Skrevet 8. juni 2005 Forfatter Del Skrevet 8. juni 2005 Vet desverre ikke hvordan man starter i safe mode med denne pc'n. Det trådløse tastaturet virker tydeigvis ikke under oppstarten. Det skjer ihvertfall ikke noe når jeg holder F8(eller noen av de andre F-tastene) inne under oppstart. Søkte i registret og oppdaget en liten luring, nemlig takmanager.exe. Er det dømt til å være styggedom nå? Lenke til kommentar
zjulik Skrevet 8. juni 2005 Del Skrevet 8. juni 2005 Se der je. Der har du i alle fall iasss.exe. Få den vekk. Angående takmanager...jeg vet sannelig ikke hva det dreier seg om - det kommer ikke resultater som tyder på hverken at den er snill eller slem... Lenke til kommentar
ivara Skrevet 9. juni 2005 Del Skrevet 9. juni 2005 Lurer på en ting: Du har voldsomt mange "unødvendige" prosesser kjørende, vurdert å stenge ned noen av de? Disse anser jeg som sannsynligig virus, det heter macromedia, ikke micromedia, og WINS er normalt ikke en compaq tjeneste O4 - HKLM\..\Run: [Micromedia Flash Update] takmanager.exe O4 - HKLM\..\RunServices: [N0TEP4D] iasss.exe O4 - HKLM\..\RunServices: [Micromedia Flash Update] takmanager.exe O4 - HKCU\..\Run: [Compaq Service Drivers] WINS.exe O4 - HKCU\..\RunServices: [Compaq Service Drivers] WINS.exe Denne er jeg usikker på , søk den opp på google: O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Disse anser jeg som helt unødvendig å ha i oppstarten , bare unødig bloat O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\j2re1.4.2_06\bin\jusched.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programfiler\WinZip\WZQKPICK.EXE Lenke til kommentar
CurSe Skrevet 11. juni 2005 Forfatter Del Skrevet 11. juni 2005 Denne er jeg usikker på , søk den opp på google:O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe http://www.processlibrary.com/directory/files/slserv/ Den virker ikke å være en trussel. Lurer på en ting: Du har voldsomt mange "unødvendige" prosesser kjørende, vurdert å stenge ned noen av de? Har vurdert å gjøre det, men jeg vet ikke helt hvordan man gjør det. Jeg er ikke trygg i registret så jeg tør ikke gjøre noe med det. Hvis du eller noen andre vet hvordan man fjerner de så hadde jeg satt stor pris på det. Kan man gjøre det i HijackThis? Fjerner de bare programmet fra oppstarten eller sletter de filene? Lenke til kommentar
zjulik Skrevet 11. juni 2005 Del Skrevet 11. juni 2005 Mange programmer legger seg på oppstart uten å spørre deg, når du installerer dem. Ofte kan du etter installasjon finne en innstilling i programmet som du kan skru av og derved fjerne fra oppstart. Men ja, du kan også gjøre det i HJT. Det er registeret som berøres. Lenke til kommentar
CurSe Skrevet 12. juni 2005 Forfatter Del Skrevet 12. juni 2005 Denne er ny Logfile of HijackThis v1.99.1 Scan saved at 02:25:50, on 12.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\ATI-CPanel\atiptaxx.exe C:\Programfiler\Eicon\Diva\DiTask.exe C:\Programfiler\Eicon\Diva\Divamon.exe C:\Programfiler\Eicon\Diva\watch.exe C:\Programfiler\Eicon\Diva\cgserver.exe C:\Programfiler\QuickTime\qttask.exe C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe C:\Programfiler\ScanSoft\OmniPageSE\opware32.exe C:\Programfiler\Java\j2re1.4.2_06\bin\jusched.exe C:\Programfiler\Eicon\Diva\diinfo.exe C:\Programfiler\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programfiler\Microsoft AntiSpyware\gcasServ.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe C:\Programfiler\MSN Apps\Updater\01.02.3000.1001\no\msnappau.exe C:\WINDOWS\System32\ctfmon.exe C:\Programfiler\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\System32\spoolnt.exe C:\Programfiler\Nikon\PictureProject\NkbMonitor.exe C:\Programfiler\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\PROGRA~1\MSDE\binn\sqlservr.exe C:\Programfiler\Norton AntiVirus\navapsvc.exe C:\Programfiler\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe C:\Programfiler\Norton AntiVirus\SAVScan.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\Programfiler\MSN Messenger\msnmsgr.exe C:\Programfiler\Winamp\winamp.exe D:\Sigg\DownloadZ\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hardware.no R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.c2i.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hardware.no R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programfiler\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\MSN Apps\MSN Toolbar\01.02.4000.1001\no\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\MSN Apps\MSN Toolbar\01.02.4000.1001\no\msntb.dll O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [DiTask.exe] "C:\Programfiler\Eicon\Diva\DiTask.exe" O4 - HKLM\..\Run: [Divamon.exe] "C:\Programfiler\Eicon\Diva\Divamon.exe" O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Programfiler\Eicon\Diva\watch.exe" O4 - HKLM\..\Run: [CGServer] "C:\Programfiler\Eicon\Diva\cgserver.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Omnipage] C:\Programfiler\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programfiler\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [Compaq Print Fax] cpqa1000.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programfiler\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [msnappau] "C:\Programfiler\MSN Apps\Updater\01.02.3000.1001\no\msnappau.exe" O4 - HKLM\..\Run: [start Upping] spoolnt.exe O4 - HKLM\..\RunServices: [Compaq Print Fax] cpqa1000.exe O4 - HKLM\..\RunServices: [start Upping] spoolnt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Compaq Service Drivers] WINS.exe O4 - HKCU\..\Run: [start Upping] spoolnt.exe O4 - HKCU\..\RunServices: [Compaq Print Fax] cpqa1000.exe O4 - HKCU\..\RunServices: [Compaq Service Drivers] WINS.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programfiler\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: Service Manager.lnk = C:\Programfiler\MSDE\Binn\sqlmangr.exe O8 - Extra context menu item: Open Picture in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~4\Office\1033\phdintl.dll/phdContext.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Microsoft AntiSpyware helper - {108DFDCA-C908-4056-A3F7-D3D7F973B7AE} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {108DFDCA-C908-4056-A3F7-D3D7F973B7AE} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {450E09BB-6003-4922-ABC3-BF0770BE1E42} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {450E09BB-6003-4922-ABC3-BF0770BE1E42} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {A919B054-0F9F-4C09-A4EF-AFFDE65D0CA5} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {A919B054-0F9F-4C09-A4EF-AFFDE65D0CA5} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {ADF96673-4497-4B9F-8D52-90271C84F3FD} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {ADF96673-4497-4B9F-8D52-90271C84F3FD} - (no file) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.c2i.net/ O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{10A4A4B0-92E0-4270-AB12-034423754A32}: NameServer = 193.216.1.10 193.216.69.10 O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programfiler\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programfiler\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programfiler\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe Denne dukket opp i MS Antispyware tidligere i dag: O4 - HKLM\..\Run: [start Upping] spoolnt.exe http://www.sophos.com/virusinfo/analyses/w32rbottm.html Finner dere noe mer som kan virke skummelt? Den blokket jeg fra å legge seg i oppstarten, men nå er den tydeligvis der likevel. Jeg fikk også beskjed om at WIN32.Spybot.worm var tilbake igjen. Når det gjelder de unødvendige prosessene så vil jeg egentlig bare få bekreftet at jeg kan fjerne disse: Disse anser jeg som helt unødvendig å ha i oppstarten , bare unødig bloatO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\j2re1.4.2_06\bin\jusched.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programfiler\WinZip\WZQKPICK.EXE Tusen takk for hjelpen hittil Lenke til kommentar
CurSe Skrevet 12. juni 2005 Forfatter Del Skrevet 12. juni 2005 (endret) Tok en scan med housecall og fikk dette: Results: We have detected 15 infected file(s) with 15 virus(es) on your computer. Only 0 out of 0 infected files are displayed. Detected File Associated Virus Name C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temp\cdhfnlk.exe WORM_RBOT.GEN C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temp\dyyhfa.exe WORM_RBOT.GEN C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temp\elkhxl.exe WORM_RBOT.GEN C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temp\hqsnbtj.exe WORM_RBOT.GEN C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temp\oqyyyja.exe WORM_RBOT.GEN C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temp\pdasgdgw.exe WORM_RBOT.GEN C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temp\swjbwesg.exe WORM_RBOT.GEN C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temporary Internet Files\Content.IE5\0DM7OXQN\counter[1].htm JS_MHTREDIR.P C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temporary Internet Files\Content.IE5\OXYV05IZ\opir[1].exe WORM_RBOT.GEN C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temporary Internet Files\Content.IE5\QTNXS30X\nzm[1].exe WORM_RBOT.GEN C:\Documents and Settings\Steinar Engstad\Lokale innstillinger\Temporary Internet Files\Content.IE5\SPEJG9U7\opir[1].exe WORM_RBOT.GEN C:\Documents and Settings\Steinar Engstad\Programdata\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv645.jar-66df69d1-73e5ded0.zip - Dummy.class JAVA_BYTEVER.A C:\Documents and Settings\Steinar Engstad\Programdata\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv7.jar-2a27a39b-2ef8614e.zip - Dummy.class JAVA_BYTEVER.A C:\WINDOWS\system32\iasss.exe WORM_RBOT.GEN C:\WINDOWS\system32\spoolnt.exe WORM_RBOT.GEN What we checked: Malicious activity by a Trojan horse program. Although a Trojan seems like a harmless program, it contains malicious code and once installed can cause damage to your computer. Results: We have detected 1 Trojan horse program(s) and worm(s) on your computer. Only 0 out of 0 Trojan horse programs and worms are displayed. Trojan/Worm Name Trojan/Worm Type WORM_RBOT.PF Worm What we checked: Whether personal information was tracked and reported by spyware. Spyware is often installed secretly with legitimate programs downloaded from the Internet. Results: We have detected 1 spyware(s) on your computer. Only 0 out of 0 spywares are displayed. Spyware Name Spyware Type COOKIE_1362 Cookie Dette finner ikke noen av de programmene jeg har installert på pc'n. Kan jeg slette de filene som er infisert uten at det skjer noe mystisk med pc'n? Endret 13. juni 2005 av CurSe Lenke til kommentar
zjulik Skrevet 12. juni 2005 Del Skrevet 12. juni 2005 Du får lese nøye dette: http://www.trendmicro.com/vinfo/virusencyc...%2EGEN&VSect=Sn ..og gjøre det som står der. Kort fortalt går det ut på å - slette filene det gjelder - slette referanser til dem i registeret. I dette tilfellet lar du housecall slette alt den finner. Deretter sletter du registerreferansen. Deretter går du for sikkerhetsskyld inn i Kontrollpanel/Alternativer for internett og sletter cookies, historie og filer. Så starter du i Safe Mode og sletter disse to: C:\WINDOWS\system32\iasss.exe C:\WINDOWS\system32\spoolnt.exe Uten å omstarte, kjører du en søk/slett i Start/Run/regedit etter iasss.exe spoolnt.exe Så rebooter du og kjører en ny housecall. Lenke til kommentar
ivara Skrevet 12. juni 2005 Del Skrevet 12. juni 2005 (endret) Når det gjelder de unødvendige prosessene så vil jeg egentlig bare få bekreftet at jeg kan fjerne disse: Du kan bruke MSconfig for å slå av/på hva som skal lastes ved oppstart. Her kan du også slå på igjen hvis du finner ut at du slo av for mye. O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe Disse 3 ATI tjenestene trengs ikke hvis du stort sett kjører samme skjermoppsett hele tida, funksjonene nås også fra kontrollpanel. O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime Systemtray ikon for quicktime. ikke nødvendig for å vise qt filmer O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\j2re1.4. 2_06\bin\jusched.exe update sjekk for works, nero og java , kan kjøres manuelt dersom det er nødvendig. O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe Brukes for fargekalibrering i photoshop , behold hvis du driver med bildebehandling. O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office\OSA9.EXE Hva denne egentlig gjør aner jeg ikke, men den skal visstnok gjøre at office programmene starter fortere... O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programfiler\WinZip\WZQKPICK.EXE Hjelpeprog for winzip Endret 13. juni 2005 av ivara Lenke til kommentar
CurSe Skrevet 13. juni 2005 Forfatter Del Skrevet 13. juni 2005 (endret) Fant ikke alle som du skrev i msconfig, så jeg må spørre bare for å være helt 100% sikker. Programmene vil vel ikke bli berørt av at jeg sletter de i HijackThis? Alt som skjer er at de ikke starter under oppstart? Results: We have detected 1 infected file(s) with 1 virus(es) on your computer. Only 0 out of 0 infected files are displayed. Detected File Associated Virus Name C:\WINDOWS\system32\spoolnt.exe WORM_RBOT.GEN Den filen finner jeg ikke i system32 mappen. Har søkt i registret etter den og slettet den 3-4 ganger(også i safe mode), men hver gang jeg starter pc'n på nytt så har den kommet tilbake. Jeg tok et vanlig søk i windows etter spoolnt.exe og fant dette:(Se bildet). Kan jeg slette den filen? Jeg tror at den er en del av styggedommen, men siden den ligger under windows mappen så må en uvitende tulling som meg spørre for å være helt sikker. ( C:/Windows/Prefetch ) En ting til som er litt merkelig er at jeg ikke fant spoolnt.exe når jeg søkte i registret i safe mode, men jeg fant den i vanlig modus. Jeg fant heller ikke iasss.exe under 2.søket, selv om jeg ikke har funnet filen og gjort noe med den. Er så lute lei av alle virusene nå at jeg er på nippet til å formatere Edit: Du får lese nøye dette: http://www.trendmicro.com/vinfo/virusencyc...%2EGEN&VSect=Sn ..og gjøre det som står der. Jeg fulgte den oppskriften 3-4 ganger, men det funket ikke helt virker det som. iasss.exe er borte for øyeblikket, så noe må jeg ha gjort riktig, men spoolnt.exe biter seg fremdeles fast. Skal legge meg nå, så det blir spennende å se om det har skjedd noen forandringer mens jeg sover Endret 13. juni 2005 av CurSe Lenke til kommentar
ivara Skrevet 13. juni 2005 Del Skrevet 13. juni 2005 Når du sletter de i Hijackthis så forsvinner bare henvisningene. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå