underdog Skrevet 11. april 2007 Del Skrevet 11. april 2007 (endret) Jeg sliter med at pc'en rebooter ganske ofte. Det skjer for det meste ifm oppstart av PC'en (som er treg tross alt CCleaner), når jeg går inn på internett - som ofterst på en internettside som brukes mye ifm torrent .... (nok om det ). Når PC'en starter opp igjen får jeg melding via WinPatrol om at ett nytt program er installert på PC'en min : %systemroot%\system32\dumprep 0 –k Jeg svarer alltid at jeg ikke tillater installasjonen. Men som sagt skjer dette om igjen og om igjen. Jeg har scannet maskinen med både : PC-Cillin, Adaware, Spyboot S&D, SuperAntiSpyware - men de finner ingenting Noen forslag ? Logfile of HijackThis v1.99.1 : Klikk for å se/fjerne innholdet nedenfor Scan saved at 20:44:27, on 11.04.2007Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\New Program files\Tele\IVT-Bluetooth\BTNtService.exe C:\WINDOWS\System32\LckFldService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\New Program files\IT security\Statup Managers\WinPatrol 11.1\winpatrol.exe C:\WINDOWS\system32\devldr32.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\PC-cillin 2003\Tmntsrv.exe C:\Program Files\Trend Micro\PC-cillin 2003\PccPfw.exe C:\Program Files\Trend Micro\PC-cillin 2003\tmproxy.exe C:\Program Files\Trend Micro\PC-cillin 2003\PCCCLIENT.EXE C:\Program Files\Trend Micro\PC-cillin 2003\PCCGUIDE.EXE C:\Program Files\Trend Micro\PC-cillin 2003\POP3TRAP.EXE C:\WINDOWS\system32\rundll32.exe C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\New Program files\IT security\Spyware\SUPERAntiSpyware 3.6\SUPERAntiSpyware.exe C:\New Program files\IT security\Spyware\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\NEWPRO~1\STREAM~1\FLASHG~1\FlashGet\jccatch.dll (file missing) O3 - Toolbar: (no name) - {8FB0F3E2-5193-11d7-9F88-0050FC5441CB} - (no file) O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\Pop3trap.exe" O4 - HKLM\..\Run: [WinPatrol] C:\New Program files\IT security\Statup Managers\WinPatrol 11.1\winpatrol.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Last ned alle med FlashGet - C:\New Program files\Moviemart\Streambox\Flashget (download manager)\FlashGet\jc_all.htm O8 - Extra context menu item: Last ned med FlashGet - C:\New Program files\Moviemart\Streambox\Flashget (download manager)\FlashGet\jc_link.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1109016689640 O20 - Winlogon Notify: !SASWinLogon - C:\New Program files\IT security\Spyware\SUPERAntiSpyware 3.6\SASWINLO.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\New Program files\Tele\\IVT-Bluetooth\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PC-cillin Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\PC-cillin 2003\PccPfw.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\PC-cillin 2003\Tmntsrv.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\PC-cillin 2003\tmproxy.exe ROOTCHK-(07-04-07)-LOG, by ejvindh , Klikk for å se/fjerne innholdet nedenfor 11.04.2007 20:50:13,92 The rootkits that are detected by this tool were not found. ********************************* ROOTCHK-LOG-end Endret 11. april 2007 av underdog Lenke til kommentar
norbat Skrevet 11. april 2007 Del Skrevet 11. april 2007 dumprep er en del av windows og er til for å lage error-rapport etter et system eller programcrash Hva som forårsaker dette kan være mangt. Hardware - Software Du kan godt poste en Hijackthis-logg. Legg programmet i en egen mappe på skrivebordet. Start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og poster. Kjør også en sjekk for rootkit: Rootchk. Kjør programmet. Det tar bare noen strakser. Post loggen om den viser noe. Lenke til kommentar
underdog Skrevet 11. april 2007 Forfatter Del Skrevet 11. april 2007 Jeg har oppdatert innlegget med loggfiler -underdog- Lenke til kommentar
norbat Skrevet 11. april 2007 Del Skrevet 11. april 2007 Kjør HJT, sett merke framfor følgende linjer og klikk 'Fix checked': O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\NEWPRO~1\STREAM~1\FLASHG~1\FlashGet\jccatch.dll (file missing) O3 - Toolbar: (no name) - {8FB0F3E2-5193-11d7-9F88-0050FC5441CB} - (no file) Andre ting du kan prøve: Sjekk systemfilene: Start->Kjør. Skriv: sfc /scannow (mellomrom mellom sfc og / ). Du trenger antakelig WinXP cd'n Sjekk om det ikke har samlet seg mye støv etc. inni pc'n Ta ut og inn minnebrikkene Lenke til kommentar
underdog Skrevet 11. april 2007 Forfatter Del Skrevet 11. april 2007 (endret) Har fjernet de 2 du ba meg merke ut i Hijackthis, men et par spørsmål 1. Hvordan fjerne "LckFldService.exe" 2. Bør jeg rydde/slette .dll-filer , og evt hvordan Endret 11. april 2007 av underdog Lenke til kommentar
norbat Skrevet 11. april 2007 Del Skrevet 11. april 2007 1. Vet du hva dette er for en tjeneste? Du kan slette den ved å gjøre følgende: Klikk Start->Kjør Skriv: cmd Skriv: sc stop LckFldService (klikk Enter) Skriv: sc delete LckFldService (klikk Enter) Skriv: Exit Sjekk om tjenesten fortsatt finnes: Kontrollpanel->Administrative verktøy->Tjenester. Se om det fortsatt finnes en tjeneste ved navn LckFldService Kjør deretter HJT og sjekk om den 023-linja fortsatt finnes. 2. Man skal være forsiktig med å rydde/slette .dll-filer da disse kan være i bruk. Jeg vil anbefale å bruke CCleaner. Hent og installer programmet. Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Klikk på 'Renser' og deretter 'Kjør CCleaner'. Kjør også noen runder med 'Saker' til det ikke finner flere feil. Lenke til kommentar
underdog Skrevet 11. april 2007 Forfatter Del Skrevet 11. april 2007 (endret) 1) - Ja det er rester etter et program som jeg testet ut for å låse mapper "Lock Folder". Jeg har merket den ut i Hijackthis og kjørt Fix - ser imorgen hvordan det gikk 2) Skal forsøke m/CCleaner 3) Se spørsmål under mht filer i Autorun (Explorer) og WinPatrol (Hidden files) Endret 11. april 2007 av underdog Lenke til kommentar
underdog Skrevet 11. april 2007 Forfatter Del Skrevet 11. april 2007 Noen flere spørsmål 1) I Autorun finner jeg følgende : HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components "0"------------- File not found: About:Home HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "Display Panning CPL Extension"-----------File not found: deskpan.dll Bør disse fjernes, og evt hvordan ? -kan de fjerners via Hijackthis (OBS oppdatert Logfile of HijackThis vedlagt) ; Klikk for å se/fjerne innholdet nedenfor Scan saved at 22:55:23, on 11.04.2007Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\New Program files\Tele\IVT-Bluetooth\BTNtService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\New Program files\IT security\Statup Managers\WinPatrol 11.1\winpatrol.exe C:\WINDOWS\system32\devldr32.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\PC-cillin 2003\Tmntsrv.exe C:\Program Files\Trend Micro\PC-cillin 2003\PccPfw.exe C:\Program Files\Trend Micro\PC-cillin 2003\tmproxy.exe C:\Program Files\Trend Micro\PC-cillin 2003\PCCCLIENT.EXE C:\Program Files\Trend Micro\PC-cillin 2003\PCCGUIDE.EXE C:\Program Files\Trend Micro\PC-cillin 2003\POP3TRAP.EXE C:\New Program files\Moviemart\Streambox\Flashget (download manager)\FlashGet\flashget.exe C:\New Program files\IT security\Statup Managers\Autoruns 8.60\autoruns.exe C:\New Program files\IT security\Spyware\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\Pop3trap.exe" O4 - HKLM\..\Run: [WinPatrol] C:\New Program files\IT security\Statup Managers\WinPatrol 11.1\winpatrol.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Last ned alle med FlashGet - C:\New Program files\Moviemart\Streambox\Flashget (download manager)\FlashGet\jc_all.htm O8 - Extra context menu item: Last ned med FlashGet - C:\New Program files\Moviemart\Streambox\Flashget (download manager)\FlashGet\jc_link.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1109016689640 O20 - Winlogon Notify: !SASWinLogon - C:\New Program files\IT security\Spyware\SUPERAntiSpyware 3.6\SASWINLO.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\New Program files\Tele\\IVT-Bluetooth\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PC-cillin Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\PC-cillin 2003\PccPfw.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\PC-cillin 2003\Tmntsrv.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\PC-cillin 2003\tmproxy.exe 2) I Winpatrol finner jeg følgende Hidden Files Er disse OK - eller ligger det noe Malware evt her ? Klikk for å se/fjerne innholdet nedenfor • boot boot.ini Path: C:\boot.ini First Detected by WinPatrol: 03/17/2007 20:08 • hiberfil hiberfil.sys Path: C:\hiberfil.sys First Detected by WinPatrol: 03/17/2007 20:08 • IO IO.SYS Path: C:\IO.SYS First Detected by WinPatrol: 03/17/2007 20:08 • MSDOS MSDOS.SYS Path: C:\MSDOS.SYS First Detected by WinPatrol: 03/17/2007 20:08 • NTDETECT NTDETECT.COM Path: C:\NTDETECT.COM First Detected by WinPatrol: 03/17/2007 20:08 • n ntldr Path: C:\ntldr First Detected by WinPatrol: 03/17/2007 20:08 • pagefile pagefile.sys Path: C:\pagefile.sys First Detected by WinPatrol: 03/17/2007 20:08 • volumeid volumeid.zbx Path: C:\volumeid.zbx First Detected by WinPatrol: 03/17/2007 20:08 • QTFont QTFont.qfn Path: C:\WINDOWS\QTFont.qfn First Detected by WinPatrol: 03/17/2007 20:08 • Thumb Thumbs.db Path: C:\WINDOWS\Thumbs.db First Detected by WinPatrol: 03/17/2007 20:08 • WindowsShell.Mani WindowsShell.Manifest Path: C:\WINDOWS\WindowsShell.Manifest First Detected by WinPatrol: 03/17/2007 20:08 • winnt winnt.bmp Path: C:\WINDOWS\winnt.bmp First Detected by WinPatrol: 03/17/2007 20:08 • winnt256 winnt256.bmp Path: C:\WINDOWS\winnt256.bmp First Detected by WinPatrol: 03/17/2007 20:08 • cdplayer.exe.mani cdplayer.exe.manifest Path: C:\WINDOWS\system32\cdplayer.exe.manifest First Detected by WinPatrol: 04/11/2007 23:06 • default default.LOG Path: C:\WINDOWS\system32\config\default.LOG First Detected by WinPatrol: 03/17/2007 20:08 • SAM SAM.LOG Path: C:\WINDOWS\system32\config\SAM.LOG First Detected by WinPatrol: 03/17/2007 20:08 • SECURITY SECURITY.LOG Path: C:\WINDOWS\system32\config\SECURITY.LOG First Detected by WinPatrol: 03/17/2007 20:08 • software software.LOG Path: C:\WINDOWS\system32\config\software.LOG First Detected by WinPatrol: 03/17/2007 20:08 • system system.LOG Path: C:\WINDOWS\system32\config\system.LOG First Detected by WinPatrol: 03/17/2007 20:08 • TempKey TempKey.LOG Path: C:\WINDOWS\system32\config\TempKey.LOG First Detected by WinPatrol: 03/17/2007 20:08 • userdiff userdiff.LOG Path: C:\WINDOWS\system32\config\userdiff.LOG First Detected by WinPatrol: 03/17/2007 20:08 • logonui.exe.mani logonui.exe.manifest Windows Logon UI Version: 6.00.2900.2180 © Microsoft Corporation. All rights reserved. Path: C:\WINDOWS\system32\logonui.exe.manifest First Detected by WinPatrol: 04/11/2007 23:06 • ncpa.cpl.mani ncpa.cpl.manifest Path: C:\WINDOWS\system32\ncpa.cpl.manifest First Detected by WinPatrol: 03/17/2007 20:08 • nwc.cpl.mani nwc.cpl.manifest Path: C:\WINDOWS\system32\nwc.cpl.manifest First Detected by WinPatrol: 03/17/2007 20:08 • filelist filelist.xml Path: C:\WINDOWS\system32\Restore\filelist.xml First Detected by WinPatrol: 03/17/2007 20:08 • sapi.cpl.mani sapi.cpl.manifest Path: C:\WINDOWS\system32\sapi.cpl.manifest First Detected by WinPatrol: 03/17/2007 20:08 • WindowsLogon.mani WindowsLogon.manifest Path: C:\WINDOWS\system32\WindowsLogon.manifest First Detected by WinPatrol: 03/17/2007 20:08 • wuaucpl.cpl.mani wuaucpl.cpl.manifest Path: C:\WINDOWS\system32\wuaucpl.cpl.manifest First Detected by WinPatrol: 03/17/2007 20:08 Lenke til kommentar
norbat Skrevet 11. april 2007 Del Skrevet 11. april 2007 (endret) 1. Opplever du noen problemer knyttet til dette?. Vet ikke helt hva dette betyr. Kan være noe som må reinstalleres/konfigureres e.l. da det er noen filer/innstillinger som ikke finnes. Tror ikke du skal bruke noe særlig tid på dette 2. Lista så grei ut. Ingenting der som ser ut til å være knyttet til noe malware. Endret 11. april 2007 av norbat Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå