DanielTL Skrevet 5. februar 2006 Del Skrevet 5. februar 2006 Scanna pcen med ad-aware SE i dag, og fant møkka. Hva gjør jeg? Har hørt at hvis man sletter den feil, har man gjort det store, da den ødelegger hele internett tilkoplignen din... takker for alle svar. Lenke til kommentar
olejohnny Skrevet 5. februar 2006 Del Skrevet 5. februar 2006 Hei, du kan prøve med denne metoden fra symantec, lykke til http://www.symantec.com/avcenter/venc/data....webhancer.html Lenke til kommentar
DanielTL Skrevet 6. februar 2006 Forfatter Del Skrevet 6. februar 2006 (endret) jeg vil bare advare alle som har det: IKKE!! prøv å slette denne dritten, det kan føre til en koselig kveld med windows reinstallering. Og tusen millioner takk, olejohnny, skal prøves. Men det ser ut som den nyeste adaware knakk den. Internettet går raskt igjen, jeg har ingen "whagent" eller andre "wh" programmer på prosesslisten, og jeg har fortsatt en internettilkopling. Men jeg har fortsatt mange prosesser på listen som ser skumle ut, men som kan være helt uskyldige. Her er listen på prosesser jeg syns ser skumle ut: CTSVCCDA.EXE - Lokal tjeneste scardsvr.exe - lokal tjeneste NISUM.EXE - System og så denne: MPAPI3s.exe - bruker Dessuten har jeg 5 svchost.exe som kjører, noen er en lokal tjeneste, noen er i systemet og noen er en nettverkstjeneste. I mine øyne ser det ut som jeg har endel dritt inpå pc'en i skrivende stund. Men jeg har tatt feil før. PS: Jeg er ganske grønn på prosesser og virus osv. *EDIT* LeifHancer var vist innom han også Endret 6. februar 2006 av Evil_Nerd Lenke til kommentar
berxter Skrevet 6. februar 2006 Del Skrevet 6. februar 2006 Men jeg har fortsatt mange prosesser på listen som ser skumle ut, men som kan være helt uskyldige. Her er listen på prosesser jeg syns ser skumle ut: CTSVCCDA.EXE - Lokal tjeneste Creative cd access Normal. scardsvr.exe - lokal tjeneste Vindows Smartcard server Normal NISUM.EXE - System Norton statistikk Normal og så denne: MPAPI3s.exe Nokiaprosess Normal Dessuten har jeg 5 svchost.exe som kjører, noen er en lokal tjeneste, noen er i systemet og noen er en nettverkstjeneste. Normalt PS: Jeg er ganske grønn på prosesser og virus osv. *EDIT* LeifHancer var vist innom han også 5559792[/snapback] Legg ut en HJTlogg Bernt K Lenke til kommentar
DanielTL Skrevet 6. februar 2006 Forfatter Del Skrevet 6. februar 2006 ok, her er hjt loggen min: Logfile of HijackThis v1.99.1 Scan saved at 11:43:49, on 06.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\Programfiler\Norton Internet Security\NISUM.EXE C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe C:\Programfiler\Java\jre1.5.0_04\bin\jusched.exe C:\Programfiler\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programfiler\Fellesfiler\PCSuite\DataLayer\DataLayer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\Nokia\Nokia PC Suite 6\PcSync2.exe C:\PROGRA~1\FELLES~1\Nokia\MPAPI\MPAPI3s.exe C:\PROGRA~1\FELLES~1\PCSuite\Services\SERVIC~1.EXE C:\PROGRA~1\FELLES~1\Nokia\MPAPI\MPAPI3s.exe C:\Programfiler\Norton Internet Security\ccPxySvc.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programfiler\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe C:\Programfiler\Internet Explorer\iexplore.exe C:\Programfiler\Kill Tracker\Kill Tracker.exe C:\Programfiler\Winamp\winamp.exe C:\Programfiler\MSN Messenger\msnmsgr.exe C:\Programfiler\Messenger\msmsgs.exe C:\Documents and Settings\Ole Petter\Skrivebord\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hoco.no/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [ccRegVfy] "C:\Programfiler\Fellesfiler\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programfiler\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programfiler\Fellesfiler\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programfiler\webHancer\Programs\whsurvey.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PcSync] C:\Programfiler\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programfiler\PartyPoker\PartyPoker.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programfiler\PartyPoker\PartyPoker.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programfiler\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F2C2D031-478D-4F9B-B2C7-78299A1DE77F}: NameServer = 130.67.15.198 193.213.112.4 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programfiler\Norton Internet Security\ccPxySvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programfiler\Norton Internet Security\NISUM.EXE O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programfiler\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe sorry for den lange posten, er sikkert et eller annent jeg kunne ha gjort, lagt ut en link eller no... jaja, samma... Lenke til kommentar
berxter Skrevet 6. februar 2006 Del Skrevet 6. februar 2006 Ser ikke så mye annet gærnt enn WebHancer. Alle fixene jeg har sett medfører sletting av folder. Den fixen jeg har størst tillit til er bleepingcomputers versjon; de vil bl a ha deg til å laste ned LSPFix først i tilfelle WHfjerninga f*cker opp OS-et ditt. I tillegg liker jeg ikke O17 - HKLM\System\CCS\Services\Tcpip\..\{F2C2D031-478D-4F9B-B2C7-78299A1DE77F}: NameServer = 130.67.15.198 193.213.112.4 Har du kjennskap til dette? Dersom ikke få HJT til å fikse den. Bernt K Lenke til kommentar
DanielTL Skrevet 6. februar 2006 Forfatter Del Skrevet 6. februar 2006 Ser ikke så mye annet gærnt enn WebHancer. Alle fixene jeg har sett medfører sletting av folder. Den fixen jeg har størst tillit til er bleepingcomputers versjon; de vil bl a ha deg til å laste ned LSPFix først i tilfelle WHfjerninga f*cker opp OS-et ditt. I tillegg liker jeg ikke O17 - HKLM\System\CCS\Services\Tcpip\..\{F2C2D031-478D-4F9B-B2C7-78299A1DE77F}: NameServer = 130.67.15.198 193.213.112.4 Har du kjennskap til dette? Dersom ikke få HJT til å fikse den. Bernt K 5560435[/snapback] Jeg er som sagt helt grønn på data, så jeg aner ikke hva den siste greia der er. Får vel bare bli kvitt den... Lenke til kommentar
DanielTL Skrevet 6. februar 2006 Forfatter Del Skrevet 6. februar 2006 (endret) Takker for den linken du sendte, men problemet er at Webhancer ligger ikke i "fjern eller legg til programer" listen. Finner heller ikke noen WHagent liknende prosesser, men webhancer mappen ligger fortsatt i c:programfiler mappe greia() *UPDATE* Jeg sjekket akkurat c:programfiler, og der ligger det ikke lengre en mappe som heter "Webhancer", bare "WhInstall", og en VELDIG mistenkelig mappe, "need2find" Endret 6. februar 2006 av Evil_Nerd Lenke til kommentar
berxter Skrevet 6. februar 2006 Del Skrevet 6. februar 2006 Tja, da kan du jo fjerne WhInstall ihvertfall. Need2Find er også spyware; kommer oftest med AskJeeves. Det ser ikke ut som den kjører, da skulle du hatt en O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL og en F2 og en 08sak i loggen din. Jeg antar du trygt kan slette den. Se etter om den kan avinstalleres først. Se i HJT->misc tools->open uninstall manager om den ligger der. En grusom tanke meldte seg: Har du kjørt AskJeeves etter at du tok ut HJT-loggen? Bernt K Lenke til kommentar
DanielTL Skrevet 7. februar 2006 Forfatter Del Skrevet 7. februar 2006 Jeg aner ikke hva AskJeeves er, kan du forklare litt mer om det? Lenke til kommentar
MindTooth Skrevet 7. februar 2006 Del Skrevet 7. februar 2006 Jeg aner ikke hva AskJeeves er, kan du forklare litt mer om det? 5565848[/snapback] Tror det kan være denne de mener:http://www.ask.com/ Lenke til kommentar
berxter Skrevet 7. februar 2006 Del Skrevet 7. februar 2006 Ja, det stemmer. Ihvertfall tidligere kunne du installere en toolbar fra denne siten, og den dro med seg Need2Find. De fleste mener nå at N2F er ondartet, selv om Ask ikke er enige. Da jeg er yrkesparanoid har jeg ikke prøvd selv, men baserer meg utelukkende på utsagn fra nettsteder jeg stoler på, og alt som lukter av BHO (Browser Helper Objects) prøver jeg å styre langt unna, og irriterer meg over at Adobe f eks installerer et par. Bernt K Lenke til kommentar
DanielTL Skrevet 7. februar 2006 Forfatter Del Skrevet 7. februar 2006 Jeg har i alle fall ikke innstallert ask jeeves (frivillig i alle fall) Betyr det at jeg kan slette need2find mappa? Den blei nok mest sannsynlig sletta av ad-aware se. Jeg begynner å bli litt forvirret her, jeg kjørte Taskmanager i dag, og den sa at Webhancer var slettet/ikke fantes på pcen lengre, bare et slags... spøkelse av filen.. hvis du skjønner hva jeg mener. Lenke til kommentar
berxter Skrevet 7. februar 2006 Del Skrevet 7. februar 2006 Tja, om jeg skjønner hva du mener er jeg usikker på.... Slett Need2Findmappa Slett C:\Programfiler\webHancer\Programs\whsurvey.exe. Slett whinstall. Hvis du ikke finner dem er det ikke noe problem. Hvis OSet skriker over at fila er i bruk restart i safe mode og fjern den der. Hvis den fortsatt ikke vil vekk bruker du HJTs funksjon Open misc tools-> delete a file on boot-> bla deg fram til fila osv. Hvis den fortsatt er gjenstridig haben wir unsere Metoden... Du kan da få en feilmelding neste gang du booter om at systemet ikke finner en eller begge av disse 2; da bruker du msconfig til å fjerne henvisningen til dem i startupfliken. Du har kjørt HJT igjen og bedt den fikse O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programfiler\webHancer\Programs\whsurvey.exe, ja? En fersk HJT-logg har nå gjort seg. Denne gangen kan du godt utelate den øverste delen med kjørende prosesser og bare poste R0-023; da resten ser reint ut. Bernt K Lenke til kommentar
DanielTL Skrevet 1. mars 2006 Forfatter Del Skrevet 1. mars 2006 (endret) Tja, om jeg skjønner hva du mener er jeg usikker på.... Slett Need2Findmappa Slett C:\Programfiler\webHancer\Programs\whsurvey.exe. Slett whinstall. Hvis du ikke finner dem er det ikke noe problem. Hvis OSet skriker over at fila er i bruk restart i safe mode og fjern den der. Hvis den fortsatt ikke vil vekk bruker du HJTs funksjon Open misc tools-> delete a file on boot-> bla deg fram til fila osv. Hvis den fortsatt er gjenstridig haben wir unsere Metoden... Du kan da få en feilmelding neste gang du booter om at systemet ikke finner en eller begge av disse 2; da bruker du msconfig til å fjerne henvisningen til dem i startupfliken. Du har kjørt HJT igjen og bedt den fikse O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programfiler\webHancer\Programs\whsurvey.exe, ja? En fersk HJT-logg har nå gjort seg. Denne gangen kan du godt utelate den øverste delen med kjørende prosesser og bare poste R0-023; da resten ser reint ut. Bernt K 5566660[/snapback] Vel, veit at denne posten begynner å bli litt gammel. Men jeg fant altså ikke C:\Programfiler\webHancer\Programs\whsurvey.exe. jeg slettet whinstall mappa som lå i programfiler mappen. Den gikk rett i papirkurven uten noe om og men. Jeg har ingen WH programmer kjørende i prosesslisten min. Her er den ferske HJT loggen du ba om: Logfile of HijackThis v1.99.1 Scan saved at 21:33:02, on 01.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\Programfiler\Norton Internet Security\NISUM.EXE C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Norton Internet Security\ccPxySvc.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programfiler\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe C:\Programfiler\Java\jre1.5.0_04\bin\jusched.exe C:\Programfiler\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programfiler\Fellesfiler\PCSuite\DataLayer\DataLayer.exe C:\Programfiler\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\Nokia\Nokia PC Suite 6\PcSync2.exe C:\PROGRA~1\FELLES~1\PCSuite\Services\SERVIC~1.EXE C:\PROGRA~1\FELLES~1\Nokia\MPAPI\MPAPI3s.exe C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe C:\Programfiler\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\taskmgr.exe C:\Programfiler\Winamp\Winamp.exe C:\Programfiler\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\mspaint.exe C:\Programfiler\Messenger\msmsgs.exe C:\Documents and Settings\Ole Petter\Skrivebord\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hoco.no/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [ccRegVfy] "C:\Programfiler\Fellesfiler\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programfiler\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programfiler\Fellesfiler\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programfiler\webHancer\Programs\whsurvey.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PcSync] C:\Programfiler\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [Steam] "C:\Programfiler\Steam\Steam.exe" -silent O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programfiler\PartyPoker\PartyPoker.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programfiler\PartyPoker\PartyPoker.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programfiler\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F2C2D031-478D-4F9B-B2C7-78299A1DE77F}: NameServer = 130.67.15.198 193.213.112.4 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programfiler\Norton Internet Security\ccPxySvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programfiler\Norton Internet Security\NISUM.EXE O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programfiler\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe Jeg vet det, jeg ser O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programfiler\webHancer\Programs\whsurvey.exe jeg også, men jeg kan sverge på at jeg ikke finner noe slikt i det hele tatt i C:\Programfiler mappen. Jeg er som sagt ikke noe særlig datakyndig, men, heh, kan det være at jeg ikke har tømt papirkurven? *EDIT* La akkurat merke til Du har kjørt HJT igjen og bedt den fikse O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programfiler\webHancer\Programs\whsurvey.exe, ja? Dette har jeg ikke gjort, la ikke ordentlig merke til hva du hadde skrivd før nå. Jeg antar at jeg trygt kan gjøre det, når jeg ikke finner noen av mappene? Endret 1. mars 2006 av Evil_Nerd Lenke til kommentar
berxter Skrevet 1. mars 2006 Del Skrevet 1. mars 2006 (endret) Årsaken til at du ikke ser den i programfiler kan jo være at du ikke har fortalt XP at du vil se skjulte filer; control panel->folder options->view-> show hidden files and folders; fjern merket i Hide protected operating system files. Før du sletter noe vær sikker på at du har LSPFix i tilfelle at du mister nettoppkoblinga. Dersom du ikke finner C:\Programfiler\webHancer\Programs\whsurvey.exe; søk etter whsurvey i windows. Let etter og slett c:\program files\webhancer\ c:\windows\webhdll.dll c:\windows\whagent.inf c:\windows\whInstaller.exe c:\windows\whInstaller.ini hvis du finner dem, med Killbox hvis de er gjenstridige; dersom du ikke finner dem er det greit. FIx den 017-innførselen med HJT. Ser gjerne en ny HJT-logg, hvis ikke den nå forsvinner prøver vi andre metoder... Du kan jo kjøre disse: Housecall Panda Trojanscan Lykke til! Bernt K Endret 1. mars 2006 av berxter Lenke til kommentar
DanielTL Skrevet 2. mars 2006 Forfatter Del Skrevet 2. mars 2006 Fant ingenting. Fikk vist de skjulte filene i C:\Programfiler : ingenting. Søkte i windows etter alle de der: Ingenting. Fixet O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programfiler\webHancer\Programs\whsurvey.exe Sitter fortsatt på internett Fersk HJT logg: Logfile of HijackThis v1.99.1 Scan saved at 08:06:11, on 02.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\Programfiler\Norton Internet Security\NISUM.EXE C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe C:\Programfiler\Java\jre1.5.0_04\bin\jusched.exe C:\Programfiler\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programfiler\Fellesfiler\PCSuite\DataLayer\DataLayer.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\FELLES~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\system32\taskmgr.exe C:\Programfiler\Norton Internet Security\ccPxySvc.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programfiler\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe C:\Programfiler\Internet Explorer\iexplore.exe C:\Documents and Settings\Ole Petter\Skrivebord\hijackthis.exe C:\Programfiler\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hoco.no/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [ccRegVfy] "C:\Programfiler\Fellesfiler\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programfiler\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programfiler\Fellesfiler\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PcSync] C:\Programfiler\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [Steam] "C:\Programfiler\Steam\Steam.exe" -silent O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programfiler\PartyPoker\PartyPoker.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programfiler\PartyPoker\PartyPoker.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programfiler\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F2C2D031-478D-4F9B-B2C7-78299A1DE77F}: NameServer = 130.67.15.198 193.213.112.4 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programfiler\Norton Internet Security\ccPxySvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programfiler\Norton Internet Security\NISUM.EXE O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programfiler\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe Lenke til kommentar
berxter Skrevet 2. mars 2006 Del Skrevet 2. mars 2006 Se der, ja. Da står det bare litt opprydding igjen:Få HJT til å fikse disse: O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programfiler\PartyPoker\PartyPoker.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programfiler\PartyPoker\PartyPoker.exe (file missing) 17 - HKLM\System\CCS\Services\Tcpip\..\{F2C2D031-478D-4F9B-B2C7-78299A1DE77F}: NameServer = 130.67.15.198 193.213.112.4 Så tømmer du recycle bin; ser også til at Norton Protected Storage blir tømt i samme slengen, kjører HJT en gang til og ser etter om du finner noe muffens; hvis ikke stopper du system restore, rebooter og starter den igjen; du kan/bør sette et restorepunkt manuelt. Bernt K Lenke til kommentar
DanielTL Skrevet 2. mars 2006 Forfatter Del Skrevet 2. mars 2006 hvis ikke stopper du system restore, rebooter og starter den igjen; du kan/bør sette et restorepunkt manuelt. Bernt K 5687284[/snapback] Skjønte ikke helt hva du mente der... Lenke til kommentar
berxter Skrevet 2. mars 2006 Del Skrevet 2. mars 2006 OK, system restore tar jevnlig en slags backup av en del filer og oppsett i programmer. Dette medfører at virusfiler osv også blir med; og dersom du "resetter" maskina senere med system restore-funksjonen vil også svinefilene bli gjeninnført. De gjør altså ingen skade der de er, men kan våkne til liv igjen dersom du "restorer" systemet. Det er forresten alltid lurt å renske ut i restorefolderen en gang i blant, da XP har som default at den bruker minst 10% av harddisken til restoreplass. Dette regulerer du ved å høyreklikke på My Computer->properties->system restore->settings. For å tømme restore går du inn på samme sted, men haker av i "turn off system restore on all drives", ok-e deg ut og restarte maskina. Deretter bør du sette på funksjonen igjen. For å sette et manuelt restorepunkt går du til ->programs->accessories->system tools->system restore, og Create a restore point. Bernt K Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå