k_flaathe Skrevet 24. oktober 2006 Del Skrevet 24. oktober 2006 Har fått virus på maskina gjennom msn. kjørt norton antivirus, ad-aware, trend micro, og alle de fant og slettet alt utenom 1 fil. dette var alltid en .dll fil i system32-mappa, men den skifta navn etter hver reboot. Virusprogrammene fikk ikke til å slette den fila, og skulle gjøre dette etter jeg har reboota. de fant ikke den samme filen, og dermed var det masse virus inn igjen på maskina... så! hvordan sletter jeg fila? akkurat nå heter den efsvc.dll for de som ville vite dette. Nei, Ctrl-alt-del - oppgavebehandling - prosesser funker ikke, fila vises ikke der :| Mvh Lenke til kommentar
PootieTang Skrevet 24. oktober 2006 Del Skrevet 24. oktober 2006 logg på i sikkermodus og gå inn i system32 og slett fila, har den skiftet navn finner du den ved å søke etter *.dll som har endret seg den siste timen elns. Lenke til kommentar
k_flaathe Skrevet 24. oktober 2006 Forfatter Del Skrevet 24. oktober 2006 hva om jeg sletter ei .dll fil som jeg kanskje trenger? som har endret seg.. vet jo aldri Lenke til kommentar
Patrick de Maar Skrevet 24. oktober 2006 Del Skrevet 24. oktober 2006 Du kjører igjennom maskinen din med HJT, legger ut logg her. Vi finner filer du må slette, du går så inn i sikkerhetsmodus og sletter disse filene manuelt(evt. kjører HJT mens du er inne i sikkerhetsmodus). Når du er ferdig slår du av maskinen, booter med en windows cd og "Reparer" innstalasjonen.(Sånn at den laster inn filene som du har fjernet som windows trenger) Lenke til kommentar
k_flaathe Skrevet 24. oktober 2006 Forfatter Del Skrevet 24. oktober 2006 (endret) jeg kjørte scan i sikkerhetsmodus.. tror jeg fant ut åssen program som er i bruk. Winlogon.exe. prøvde å avslutte prosessen, men fikk beskjed om at det var en kritisk systemprosess, og fikk ikke lov å gjøre noe med den. Description: winlogon.exe is a process belonging to the Windows login manager. It handles the login and logout procedures on your system. This program is important for the stable and secure running of your computer and should not be terminated. Note: winlogon.exe is a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system. Men åssen remover jeg den fra mitt system?? =) (forresten så har jeg ikke peil på hva HJT er) Endret 24. oktober 2006 av k_flaathe Lenke til kommentar
k_flaathe Skrevet 24. oktober 2006 Forfatter Del Skrevet 24. oktober 2006 ok da har jeg kjørt HJT. Logfile of HijackThis v1.99.1 Scan saved at 15:58:14, on 24.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe C:\Programfiler\Logitech\iTouch\iTouch.exe C:\Programfiler\Microsoft IntelliPoint\ipoint.exe C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe D:\Appz\Winamp\winampa.exe C:\Programfiler\DAEMON Tools\daemon.exe C:\Programfiler\Trend Micro\Internet Security 2007\pccguide.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\Programfiler\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe C:\Programfiler\Creative\MediaSource\Detector\CTDetect.exe C:\Programfiler\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe C:\Programfiler\Internet Explorer\iexplore.exe C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\Programfiler\WinRAR\WinRAR.exe C:\DOCUME~1\Kenneth\LOKALE~1\Temp\Rar$EX01.234\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programfiler\google\googletoolbar1.dll O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programfiler\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [intelliPoint] "C:\Programfiler\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programfiler\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programfiler\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] D:\Appz\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programfiler\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e34.exe O4 - HKLM\..\Run: [newname] c:\\nwnmff_e34.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programfiler\Trend Micro\Internet Security 2007\pccguide.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [steam] "d:\games\steam\steam.exe" -silent O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programfiler\Octoshape Streaming Services\Kenneth\launcher.exe" -inv:bootrun O4 - HKCU\..\Run: [swg] C:\Programfiler\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Creative Detector] "C:\Programfiler\Creative\MediaSource\Detector\CTDetect.exe" /R O4 - HKCU\..\Run: [OE] "C:\Programfiler\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe" O4 - Startup: Online ADSL.lnk = ? O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {A0F3DE0D-9308-4650-82A0-53F0C17D7D65} - http://designer.room328.com/app/WebVD.cab O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} - http://activex.matcash.com/speedtest2.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E7BDA541-9860-4242-B927-1C5A7E4D9670}: NameServer = 130.67.60.68 130.67.15.198 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\dn8201loe.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Trend Micro Protection Against Spyware (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe Lenke til kommentar
k_flaathe Skrevet 24. oktober 2006 Forfatter Del Skrevet 24. oktober 2006 (endret) må jeg virkelig formatere for å bli kvitt viruset? Endret 24. oktober 2006 av k_flaathe Lenke til kommentar
k_flaathe Skrevet 25. oktober 2006 Forfatter Del Skrevet 25. oktober 2006 bump bump bump! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå