porcelaiN Skrevet 2. desember 2006 Del Skrevet 2. desember 2006 (endret) Logfile of HijackThis v1.99.1 Scan saved at 13:44:34, on 02.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\TLSWrap\tlswrap.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Winamp\winampa.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\WINDOWS\system32\winstall.exe C:\pdwpamt.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Program Files\Steam\Steam.exe C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe C:\Program Files\SigXC\SigX.exe C:\Program Files\BandwidthMeterPro\BWMeterPro.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Xfire\Xfire.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Stian\LOCALS~1\Temp\Rar$EX00.031\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\winstall.exe O4 - HKLM\..\Run: [WINDOWS] C:\pdwpamt.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU\..\Run: [steam] "C:\Program Files\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [sigXC] C:\Program Files\SigXC\SigX.exe O4 - HKCU\..\Run: [bandwidthMeterPro] C:\Program Files\BandwidthMeterPro\BWMeterPro.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {20048BB3-DB68-11CF-9CAF-00AA006CB425} (007installer Control) - http://www.bardownload.com/prompt/cabs/lyrics.cab O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TLSWrap Service (TLSWrap) - Unknown owner - C:\Program Files\TLSWrap\tlswrap.exe Jeg fikk nettop det MSN viruset som sprer seg rundt i disse tider. Jeg har kjørt SAS, og sletta alt den fant. Jeg har også kjørt AVG Free samt. Crap Cleaner. Tidligere i dag hadde jeg problemer med at programmer lukka seg helt uten videre etter at jeg fikk det viruset/trojanet, men dette rettet seg opp etter SAS, AVG og Crap Cleaner var kjørt. Men jeg får fortsatt ett par meldinger om trojaner fra AVG. Noen .exe filer som dukket opp i C:\, og en winstall + noe mer i system32 (Jeg er usikker på slettingen av disse, i tilfelle de er viktige filer for Windows). Jeg fikk ikke tilgang til å slette filene i C:\. Litt hjelp? Takk Endret 4. desember 2006 av Stish Lenke til kommentar
norbat Skrevet 2. desember 2006 Del Skrevet 2. desember 2006 Sørg for at du ser skjulte filer og mapper (kontrollpanel->mappealt->Vis->"vis skjulte filer og mapper" Last ned DrWeb Restart i sikker modus (tapp f8 under oppstart) Kjør drweb-cureit.exe (si ja til å kjøre en express scan) Når dette er ferdig klikker du på Option -> Change settings. Under fanearket Scan, fjerner du haken ved Heuristic analysis. Under fanearket Actions, skal alle punkt under Malware settes til Rename. Velg partisjon du vil scanne og klikk deretter på den grønne pilen for å starte scanningen. Velg "yes to all" når det finner noe for første gang. Lenke til kommentar
porcelaiN Skrevet 2. desember 2006 Forfatter Del Skrevet 2. desember 2006 Jeg ser skjulte filer og mapper, og det er en haug av dritt i C:\. Har allerede kjørt DrWeb, men jeg glemte å gjøre det i sikkerhets modus.. Skal prøve nå. Takk! Lenke til kommentar
porcelaiN Skrevet 2. desember 2006 Forfatter Del Skrevet 2. desember 2006 Hm.. Jeg får ikke startet opp sikker modus. Når jeg velger sikker modus, så bare lister den opp masse forskjellige driver og ting, og så stopper den opp, og ingen ting skjer. Er det en måte å gjøre dette på uten sikker modus? Lenke til kommentar
norbat Skrevet 2. desember 2006 Del Skrevet 2. desember 2006 Fra legg til/fjern programmer, avinstallerer du SigXC Fra oppgavebehandleren (høyreklikk oppgavelinja->oppgavebehandler), velger du prosesslista og stopper SigX.exe Kjør HJT og merk for slett: O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\winstall.exe O4 - HKLM\..\Run: [WINDOWS] C:\pdwpamt.exe O4 - HKCU\..\Run: [sigXC] C:\Program Files\SigXC\SigX.exe O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing) Klikk på Start-kjør. Skriv: Services.msc klikk OK. Fin følgende services: Microsoft authenticate service (MsaSvc), høyreklikk på den, velg egenskaper. Under oppstartstype velger du deaktivert. Last ned Killbox Start Killbox, velg å "delete on reboot". Legg inn følgende linjer: C:\WINDOWS\system32\winstall.exe C:\pdwpamt.exe Lenke til kommentar
porcelaiN Skrevet 4. desember 2006 Forfatter Del Skrevet 4. desember 2006 Det virker som problemet er løst nå. Takk norbat! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå