CurSe Skrevet 16. juni 2005 Forfatter Del Skrevet 16. juni 2005 (endret) Nå er oppstarten normal igjen. Eneste jeg gjorde var å slette mIRC. Det som var litt rart med mIRC var at jeg fant en .rar fil i download mappen(i mIRC), men jeg har aldri lastet ned noen filer via mIRC. Kan en .rar fil gjøre noe skade når den ligger der? Edit: *Stønn*, føler at jeg maser mye siden jeg runder 3 sider nå. Endret 16. juni 2005 av CurSe Lenke til kommentar
zjulik Skrevet 16. juni 2005 Del Skrevet 16. juni 2005 Kjenner ikke mirc. .rar-filer skulle være uskadelige sålenge man ikke pakker dem opp, men det kan tenkes at det ligger/har ligget en annen fil et sted som pakker den opp i det skjulte? Ikke vær redd for å mase. Å rense en pc kan ta tid Lenke til kommentar
CurSe Skrevet 16. juni 2005 Forfatter Del Skrevet 16. juni 2005 (endret) Norton oppdaget Takmanager.exe nå. Den var infisert med W32.Spybot.Worm. Kan jeg slette dette i registret? Edit: Hva er den (Standard) greia for noe? Skal jeg slette den også? Fikk opp det som er på bildet da jeg søkte etter Takmanager.exe. Edit 2: C:\Windows\System32\Takmanger.exe Endret 28. juni 2005 av CurSe Lenke til kommentar
Gjest Slettet+3124 Skrevet 16. juni 2005 Del Skrevet 16. juni 2005 Ser ingen problemer ved å slette det som ligger i bildet ditt nei... Lenke til kommentar
CurSe Skrevet 16. juni 2005 Forfatter Del Skrevet 16. juni 2005 (endret) Dette var litt merkelig. Søkte etter takmanager.exe i registret som dere ser på det forrige bildet. Jeg lukket "regedit" og søkte på nytt, men nå kom det opp flere treff, deriblant WINS.exe som jeg har slettet tidligere. Skal jeg bare slette alt som er her? Tror jeg beholder cpqa1000 siden dette tydeligvis har noe med printeren å gjøre? WINS.exe = http://vil.nai.com/vil/content/v_100042.htm Endret 28. juni 2005 av CurSe Lenke til kommentar
CurSe Skrevet 23. juni 2005 Forfatter Del Skrevet 23. juni 2005 (endret) En ny fil som jeg aldri har sett før har dukket opp. Den heter filen.exe og ligger i system32 mappen og i prefetch mappen. Filen.exe = http://sandbox.norman.no/live_2.html?logfile=194959 Poster en Hijack log i tilfelle den har noe styggedom med seg: Edit: Bort med loggen... Endret 28. juni 2005 av CurSe Lenke til kommentar
zjulik Skrevet 23. juni 2005 Del Skrevet 23. juni 2005 (endret) Dette er styggedom (har ikke du hatt denne før?): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://letgohome.com/sp.htm?id=293 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=293 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=293 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://letgohome.com/sp.htm?id=293 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=293 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=293 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://letgohome.com/sp.htm?id=293 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://letgohome.com/sp.htm?id=293 Kjør HijackThis og fjern disse. Last så ned CWShredder fra http://www.intermute.com/spysubtract/cwshr...r_download.html Be den fikse det den kan. Gjenta begge deler i Safe Mode Endret 23. juni 2005 av zjulik Lenke til kommentar
CurSe Skrevet 23. juni 2005 Forfatter Del Skrevet 23. juni 2005 Har fjernet de opptil flere ganger, skjønner ikke hvordan de kommer tilbake hele tiden. Når det gjelder filen.exe, ingen av programmene jeg har identifiserer den som et virus. Kan jeg slette den fra system32- og Prefetch mappen? Lenke til kommentar
zjulik Skrevet 23. juni 2005 Del Skrevet 23. juni 2005 pakkn som zip og leggn i en backupmappe. deretter sletter du. så kjører du som vanlig et par dager og ser om du får trøbbel. Lenke til kommentar
CurSe Skrevet 28. juni 2005 Forfatter Del Skrevet 28. juni 2005 (endret) Har akkurat formatert disken i håp om at det skulle fikse alle pctrøblusene for tiden. Ettersom jeg fortsatt ha problemer så blir jeg å sende inn hele maskinen. Har kun installert Norton, Nero, WC3 og diverse drivere. Får opp noen rare meldinger jeg aldri har sett før og de kom med en gang etter at jeg hadde konfigurert internettilkoblingen(se bilde). Har fått flere varianter, men det er som regel forskjellige adresser mellom hver gang. Poster en HijackThis logg sånn just in case: Logfile of HijackThis v1.99.1 Scan saved at 02:50:26, on 28.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\Programfiler\Norton AntiVirus\SAVScan.exe C:\ATI-CPanel\atiptaxx.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\UsrPrmpt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programfiler\Messenger\msmsgs.exe C:\Programfiler\Internet Explorer\iexplore.exe C:\WINDOWS\System32\msiexec.exe C:\Programfiler\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe C:\Programfiler\Microsoft AntiSpyware\gcasDtServ.exe C:\Programfiler\Microsoft AntiSpyware\gcasServ.exe D:\Sigg\DownloadZ\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.c2i.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.c2i.net/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programfiler\Fellesfiler\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programfiler\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.c2i.net/ O17 - HKLM\System\CCS\Services\Tcpip\..\{A7967BB5-8FA2-45FC-A3AF-AD57E8560C17}: NameServer = 193.216.1.10 193.216.69.10 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programfiler\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe Endret 28. juni 2005 av CurSe Lenke til kommentar
zjulik Skrevet 28. juni 2005 Del Skrevet 28. juni 2005 (endret) Det der er Messenger-fanteri. Deaktiver og stans i kontrollpanel/Administrative verktøy/Tjenester. Fjern også O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background IKKE last ned "regrepair" i alle fall HJT-loggen ser ellers grei ut Endret 28. juni 2005 av zjulik Lenke til kommentar
CurSe Skrevet 28. juni 2005 Forfatter Del Skrevet 28. juni 2005 Jøss, må være første gang at du godkjenner loggen min Litt synd at det måtte en formatering til, men pytt sann. Ser ut til at jeg må sende inn maskinen pga skjermkortet, men de skal i det minste få en virusfri pc. Etter å ha blitt noen erfaringer rikere så håper jeg at jeg klarer å holde den fri for virus når jeg får den tilbake. Takk for hjelpen! Setter pris på at du gidder å se på alle loggene og andre spørsmål man måtte ha på hjertet Lenke til kommentar
zjulik Skrevet 28. juni 2005 Del Skrevet 28. juni 2005 Jobber mot å kunne kaste ett kort blikk på en HJT-logg og straks kunne si "OK" eller "NOT" - det er passe nerdy, eller? Er faktisk ikke så langt unna nå Lenke til kommentar
CurSe Skrevet 30. juni 2005 Forfatter Del Skrevet 30. juni 2005 Kom til å tenke på en ting. Siden jeg formaterte og installerte alt på nytt, da er vel registret som nytt? Og hvordan jeg har klart å få virus igjen, det skjønner jeg ikke. Har kun vært innom hw.no sine sider og pappa har betalt noen regninger, men ikke noe mer enn det. Fjernet nettopp noen og 70 kritiske objekter med Ad-Aware. Skal levere inn datamaskinen i morgen, men jeg skal være såpass snill at jeg skal prøve å bli kvitt alt virus før jeg leverer den inn. Poster en ny Hijack logg: Logfile of HijackThis v1.99.1 Scan saved at 19:07:01, on 30.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programfiler\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\Programfiler\Norton AntiVirus\SAVScan.exe C:\ATI-CPanel\atiptaxx.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe C:\Programfiler\Microsoft AntiSpyware\gcasServ.exe C:\Programfiler\MSN Apps\Updater\01.02.3000.1001\no\msnappau.exe C:\Programfiler\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Programfiler\Microsoft AntiSpyware\gcasDtServ.exe C:\Programfiler\Ahead\nero startsmart\nerostartsmart.exe C:\Programfiler\Winamp\winamp.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\Programfiler\MSN Messenger\msnmsgr.exe C:\Programfiler\Ahead\nero\nero.exe C:\WINDOWS\explorer.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe D:\Sigg\DownloadZ\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.c2i.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.c2i.net/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.c2i.net/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programfiler\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\MSN Apps\MSN Toolbar\01.02.4000.1001\no\msntb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\MSN Apps\MSN Toolbar\01.02.4000.1001\no\msntb.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programfiler\Fellesfiler\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programfiler\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [msnappau] "C:\Programfiler\MSN Apps\Updater\01.02.3000.1001\no\msnappau.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programfiler\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O14 - IERESET.INF: START_PAGE_URL=http://www.c2i.net/ O17 - HKLM\System\CCS\Services\Tcpip\..\{0652F4D1-2323-4034-9B42-6061421B2426}: NameServer = 69.50.176.196,195.225.176.110 O17 - HKLM\System\CCS\Services\Tcpip\..\{365CF0F3-6709-4C8A-A7FA-4A01CCB9DEA3}: NameServer = 69.50.176.196,195.225.176.110 O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2F77C8-9653-4F5D-9AED-7EC269508DC6}: NameServer = 69.50.176.196,195.225.176.110 O17 - HKLM\System\CCS\Services\Tcpip\..\{A7967BB5-8FA2-45FC-A3AF-AD57E8560C17}: NameServer = 69.50.176.196 195.225.176.110 O17 - HKLM\System\CCS\Services\Tcpip\..\{B776E08C-4989-4579-93A2-4665C407E76F}: NameServer = 69.50.176.196,195.225.176.110 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programfiler\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe Lenke til kommentar
zjulik Skrevet 1. juli 2005 Del Skrevet 1. juli 2005 HJT-loggen din er sunn. At du nå får kritiske objekter i AdAware brtyr langt i fra at du har virus. Det kan fint dreie seg om cookies som sender ut info, forholdsvis uskyldige saker. Gjør det til en regel å tømme nettlesercachen din minst annenhver dag. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå