leaps Skrevet 2. juni 2006 Del Skrevet 2. juni 2006 Har problem med at IE blir hijacket. Vet ikke om det har noen sammenheng, men har en mistenkelig prosess kjørende som heter dcomcfg.exe, men blir ikke kvitt den. Den starter bare på nytt når jeg slår den av. Den vises ikke på oppstart i msconfig, men i Windows Defender på startup programs og currently running programs. I startup programs i windows defendr finner jeg også en annen mistenkelig tjeneste: regperf.exe. Er det noen som har en oppskrift for å bli kvitt disse problemene. Mvh Leaps Lenke til kommentar
berxter Skrevet 2. juni 2006 Del Skrevet 2. juni 2006 (endret) Hei, dcomfg er en komponent i en SmitFraudvariant, vanligvis Spyfalcon/Axe. Den finnes det god medisin mot her. Når du kjører programmet må du være i safe mode, og du kan like gjerne velge alternativ 2 med en gang, da diagnosen er sikker. Den opptrer ofte sammen med annet rask, så etterpå bør du kjøre en runde med ccleaner, og så legge ut en HijackThislogg til oss. Bernt K EDIT: forresten, noen få AVprogrammer rapporterer SmitFraudFixkomponenten "process.exe" som uønsket. Dette er bare tøv, og prosessen er sikker. DS Endret 2. juni 2006 av berxter Lenke til kommentar
leaps Skrevet 2. juni 2006 Forfatter Del Skrevet 2. juni 2006 Takk Skal prøve det du foreslår, kommer med tilbakemelding og hijackthislogg senere. Leaps Lenke til kommentar
leaps Skrevet 6. juni 2006 Forfatter Del Skrevet 6. juni 2006 Her er min highjackthislogg: ***************************** Leaps Logfile of HijackThis v1.99.1 Scan saved at 08:48:42, on 06.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programfiler\Fellesfiler\Microsoft Shared\VS7Debug\mdm.exe C:\Programfiler\Trend Micro\Client Server Security Agent\ntrtscan.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Trend Micro\Client Server Security Agent\tmlisten.exe C:\Programfiler\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe C:\WINDOWS\TEMP\RXB604.EXE C:\WINDOWS\Explorer.EXE C:\Programfiler\Trend Micro\Client Server Security Agent\pccntmon.exe C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe C:\Programfiler\QuickTime\qttask.exe C:\Programfiler\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\DOCUME~1\ADMINI~1.LAN\LOKALE~1\Temp\Midlertidig mappe 3 for hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programfiler\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://companyweb O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - http://langsetsrv/CONNECTCOMPUTER/nshelp.dll O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://langsetsrv.langsetas.no/Remote/msrdp.cab O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://us6.webex.com/client/v_mywebex-t20/webex/ieatgpc.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = langsetas.local O17 - HKLM\Software\..\Telephony: DomainName = langsetas.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = langsetas.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = langsetas.local O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Trend Micro Client/Server Security Agent RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programfiler\Trend Micro\Client Server Security Agent\ntrtscan.exe O23 - Service: Trend Micro Client/Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programfiler\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programfiler\Trend Micro\Client Server Security Agent\tmlisten.exe Lenke til kommentar
berxter Skrevet 6. juni 2006 Del Skrevet 6. juni 2006 Du sitter i et firmanettverk, ja? Hvis ikke er denne og et par andre betenkelige: C:\WINDOWS\TEMP\RXB604.EXE Dersom du det gjør er Alles Oké. Ellers synes jeg loggen din er rein og fin; du kan få HJT til å fikse ruinene av SmitFraudtingen: O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp (file missing) Åssen virker maskina nå? Alt OK? Bernt K Lenke til kommentar
leaps Skrevet 6. juni 2006 Forfatter Del Skrevet 6. juni 2006 Ja, maskinen er en del av et firmanettverk. Den virker ren nå. Nothing-tingen som du nevner tror jeg var et tillegg i IE som nå er borte. Skal fjerne resten. Takk for hjelpen Bernt ******************* Leaps Lenke til kommentar
berxter Skrevet 6. juni 2006 Del Skrevet 6. juni 2006 (endret) Jo, forsåvidt har du rett i at Nothingen var et tillegg til IE som nå er borte.... Det var selve ekskrementklumpen i Trojaneren din, det..... Bernt K Endret 6. juni 2006 av berxter Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå