m0g1e Skrevet 20. desember 2007 Del Skrevet 20. desember 2007 har en logg som trenger å bli sjekket: har kjørt SAS og CCleaner som anbefalt. [skjult] Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:42:21, on 20.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programfiler\fellesfiler\logishrd\lvmvfm\LVPrcSrv.exe C:\Programfiler\Fellesfiler\LogiShrd\LVCOMSER\LVComSer.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Fellesfiler\LogiShrd\LVCOMSER\LVComSer.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\stsystra.exe C:\Programfiler\Fellesfiler\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\RunDll32.exe C:\Programfiler\Dell Photo AIO Printer 924\dlccmon.exe C:\Programfiler\Java\jre1.6.0_03\bin\jusched.exe C:\Programfiler\Fellesfiler\LogiShrd\LComMgr\Communications_Helper.exe C:\Programfiler\Logitech\QuickCam\Quickcam.exe C:\WINDOWS\system32\dlcccoms.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programfiler\Fellesfiler\Logishrd\LQCVFX\COCIManager.exe C:\Programfiler\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\msiexec.exe C:\Programfiler\Fellesfiler\Microsoft Shared\Source Engine\OSE.EXE C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programfiler\Ashampoo\Ashampoo Burning Studio 7\burningstudio.exe C:\Programfiler\Ashampoo\Ashampoo Burning Studio 7\CancelAutoplay.exe C:\Programfiler\VideoLAN\VLC\vlc.exe J:\GulePCService\cleanup_OV\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sol.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.no/0SENBNO/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programfiler\Macrogaming\SweetIMBarForIE\toolbar.dll R3 - URLSearchHook: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programfiler\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {AD001BFE-9761-D8AF-06AC-F188902C1B77} - (no file) O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programfiler\Macrogaming\SweetIMBarForIE\toolbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programfiler\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: (no name) - {9FB3908C-6565-4CB0-95F8-E9F85258723C} - (no file) O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Programfiler\Fellesfiler\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Programfiler\Fellesfiler\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [dlccmon.exe] "C:\Programfiler\Dell Photo AIO Printer 924\dlccmon.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programfiler\Fellesfiler\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programfiler\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programfiler\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a...5/Installer.exe O16 - DPF: {CC32D4D8-2A0B-4CEB-B105-C9B968379105} (CGameManagerCtrl Object) - https://disney.go.com/games/downloads/gamem...GameManager.cab O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} - http://static.zangocash.com/cab/Zango/ie/b...a17b04ac0f14ce1 O16 - DPF: {E13F1132-4CA0-4005-84D3-51406E27D269} (BTDownloadCtrl Control) - http://www.shockwave.com/content/thinktank...ownloadCtrl.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FELLES~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programfiler\Fellesfiler\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programfiler\fellesfiler\logishrd\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programfiler\Fellesfiler\LogiShrd\SrvLnch\SrvLnch.exe -- End of file - 9801 bytes [/skjult] Lenke til kommentar
norbat Skrevet 20. desember 2007 Del Skrevet 20. desember 2007 Ser rimelig greit ut. Mest noe opprydding. Før oppryddingen kunne det være greit at du hadde kjørt en runde med Combofix, og postet loggen den lager: Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Du må ikke klikke på vinduet mens programmet kjører. Post loggfilen fra combofix (c:\combofix.txt) Lenke til kommentar
m0g1e Skrevet 21. desember 2007 Forfatter Del Skrevet 21. desember 2007 (endret) Virkelig? Mener å ha sett en rask gang igjennom med hijackthis.de/en analyseren.. Fant nå en rekke tin avhuket som spyware og minst en som "exptremly nasty" .. Edit: får ut en combofix i morgen tenker jeg... Endret 21. desember 2007 av nollie Lenke til kommentar
norbat Skrevet 21. desember 2007 Del Skrevet 21. desember 2007 (endret) Du har eller har hatt Bearshare (fildelingsprogram) på PC-en, og oppføringer knyttet til dette fjerner vi i oppryddingen . Det ligger også noen restoppføringer etter adware, men dette tar vi også og fjerner i oppryddingen. Grunnen til at du bør kjøre Combofix er fordi det kan vise om det ligger noe annen og lurer. Ikke få panikk av denne hijackthis.de/en analyseren.. Endret 21. desember 2007 av norbat Lenke til kommentar
m0g1e Skrevet 21. desember 2007 Forfatter Del Skrevet 21. desember 2007 (endret) Neinei Ønsker bare å prøve å forstå hvordan man klarer å se hva som er farlig osv. Tar aldri den analysen for god vare hele tiden. Pleier å ta en titt på siden for å få en "oversikt" over hvor stort omfanget kanskje kan være... Bør selvsagt se igjennom hver og en og lese hvilke prosesser/register info/evt filer som ligger der, og hvilke som kjører. Har i mellomtiden en HJT-logg til i farten her fra en annen PC (uten SP2 ..hehe ) foretrekker du en ny tråd for denne kanskje? Endret 21. desember 2007 av nollie Lenke til kommentar
norbat Skrevet 21. desember 2007 Del Skrevet 21. desember 2007 Bare legg tråden inn her du Lenke til kommentar
Valkyria Skrevet 21. desember 2007 Del Skrevet 21. desember 2007 bare lurer på en ting: når folk har postet HJT loggen sin på forumet, går dere gjennom hver enkelt linje i teksten, og sjekker den for feil eller har dere et program som gjør det for dere? Lenke til kommentar
m0g1e Skrevet 21. desember 2007 Forfatter Del Skrevet 21. desember 2007 Fungerer ikke [skjult tekst] BB-koden lengere? Logfile of Trend Micro HijackThis v2.0.2Scan saved at 19:25:53, on 21.12.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\AEIWLSVC.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\HPConfig.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programfiler\Hewlett-Packard\HP Display Settings\hpdisply.exe C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\AEIWLRAD.EXE C:\PROGRA~1\HPONE-~1\OneTouch.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programfiler\Hewlett-Packard\HP Presentation Ready\PresRdy.exe C:\Programfiler\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Programfiler\Messenger\msmsgs.exe C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe E:\GulePCService\cleanup_OV\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sol.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com/notebooks/omnibook/home R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/notebooks/omnibook/home R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [HP Display Settings] C:\Programfiler\Hewlett-Packard\HP Display Settings\hpdisply.exe /s O4 - HKLM\..\Run: [synTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [1AEIWLRAD.EXE] AEIWLRAD.EXE O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPONE-~1\OneTouch.EXE O4 - HKLM\..\Run: [HP Presentation Ready] C:\Programfiler\Hewlett-Packard\HP Presentation Ready\PresRdy.exe -r O4 - HKLM\..\Run: [WinampAgent] C:\Programfiler\Winamp\winampa.exe O4 - HKLM\..\Run: [MRT] "C:\WINDOWS\System32\MRT.exe" /R O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\System32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~2\Marius\LOKALE~1\Temp\IXP000.TMP\" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com/notebooks/omnibook/home O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Aeiwsvc - Unknown owner - C:\WINDOWS\system32\AEIWLSVC.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\System32\HPConfig.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- End of file - 4385 bytes Lenke til kommentar
Gjest medlem-105082 Skrevet 21. desember 2007 Del Skrevet 21. desember 2007 bare lurer på en ting:når folk har postet HJT loggen sin på forumet, går dere gjennom hver enkelt linje i teksten, og sjekker den for feil eller har dere et program som gjør det for dere? Både og. Det finnes en nettside som ser gjennom loggen for deg, men den er så klart ikke 100 % sikker. Noen ganger viser den noe feil som egentlig ikke er feil, og noen ganger viser den ikke feil uansett om det er feil i loggen. Så man går gjennom loggen selv også. Lenke til kommentar
norbat Skrevet 21. desember 2007 Del Skrevet 21. desember 2007 nollie: Den siste loggen viser en xp som mangler de fleste oppdateringer. Selv om loggen ikke viser så mye (du kan sjekke følgnede filer på http://virusscan.jotti.org/: C:\WINDOWS\system32\AEIWLSVC.EXE, C:\WINDOWS\System32\AEIWLRAD.EXE og C:\WINDOWS\System32\MRT.exe), så bør vedkommende skaffe seg en 'lovlig' versjon av XP (anter det er derfor den mangler vesentlige oppdateringer?) Lenke til kommentar
m0g1e Skrevet 22. desember 2007 Forfatter Del Skrevet 22. desember 2007 (endret) Hvorfor er jeg ikke blitt fortalt om den siden før? den virker jo helt genial som scanner en rekke forskjellige nettscannere. Er ikke ulovlig XP det kjøres. Gjorde HJT-scan før jeg installerte SP2. Legger ut den nye HJT-loggen nå. Men først noen outputs av de filene du rådet meg å scanne C:\WINDOWS\system32\AEIWLSVC.EXE, Ingen virus funnet.. VirusBuster Trojan.DR.Agent.XCB Dr.Web Trojan.Virtumod.253 C:\WINDOWS\System32\AEIWLRAD.EXE ingen virus funnet.. AntiVir TR/PSW.OnlineGames.loh AVG Antivirus PSW.OnlineGames.XSV BitDefender DeepScan:Generic.PWS.Games.1.B1A6D592 ClamAV PUA.Packed.UPack-1 Dr.Web Trojan.PWS.Wsgame.2483 F-Secure Anti-Virus Trojan-PSW.Win32.OnLineGames.loi Ikarus Trojan-Spy.Win32.Agent.hz Kaspersky Anti-Virus Trojan-PSW.Win32.OnLineGames.loi NOD32 a variant of Win32/PSW.OnLineGames.NFL Norman Virus Control W32/Viking.EQ Panda Antivirus Trj/Lineage.GTW Sophos Antivirus Mal/EncPk-BW VBA32 MalwareScope.Trojan-PSW.Game.3 Zoner Antivirus X C:\WINDOWS\System32\MRT.exe Er et "program for fjerning av skadelig programvare" - 17.8MB. Tar litt langt tid å laste opp, og får bare en "Status: Read to scan.." uten virus-scan output. Noen malware outputs fikk jeg likevel: BitDefender Trojan.Generic.73846 Fortinet Grayware Ikarus Trojan.Generic HJTlogg : Logfile of Trend Micro HijackThis v2.0.2Scan saved at 02:26:01, on 22.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\AEIWLSVC.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\HPConfig.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\atiptaxx.exe C:\Programfiler\Hewlett-Packard\HP Display Settings\hpdisply.exe C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\AEIWLRAD.EXE C:\PROGRA~1\HPONE-~1\OneTouch.EXE C:\Programfiler\Hewlett-Packard\HP Presentation Ready\PresRdy.exe C:\Programfiler\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Programfiler\Messenger\msmsgs.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\taskmgr.exe C:\Programfiler\Mozilla Firefox 3 Beta 2\firefox.exe C:\WINDOWS\system32\notepad.exe E:\GulePCService\cleanup_OV\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sol.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com/notebooks/omnibook/home R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/notebooks/omnibook/home R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [HP Display Settings] C:\Programfiler\Hewlett-Packard\HP Display Settings\hpdisply.exe /s O4 - HKLM\..\Run: [synTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [1AEIWLRAD.EXE] AEIWLRAD.EXE O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPONE-~1\OneTouch.EXE O4 - HKLM\..\Run: [HP Presentation Ready] C:\Programfiler\Hewlett-Packard\HP Presentation Ready\PresRdy.exe -r O4 - HKLM\..\Run: [WinampAgent] C:\Programfiler\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com/notebooks/omnibook/home O23 - Service: Aeiwsvc - Unknown owner - C:\WINDOWS\system32\AEIWLSVC.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\System32\HPConfig.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- End of file - 3745 bytes Endret 22. desember 2007 av nollie Lenke til kommentar
norbat Skrevet 22. desember 2007 Del Skrevet 22. desember 2007 Det med 'ulovlig' xp var bare en antakelse (vanligste grunnen for denne tilstanden). Beklager. Hvis filene var ok, så ser loggen grei ut. Lenke til kommentar
m0g1e Skrevet 22. desember 2007 Forfatter Del Skrevet 22. desember 2007 hm... synest den viruss/spywarescanneren fant en bunch jeg.. er det virkelig trygge applikasjoner? :o Lenke til kommentar
norbat Skrevet 22. desember 2007 Del Skrevet 22. desember 2007 (endret) MRT.exe: Microsoft Windows Verktøy for fjerning av skadelig programvare. Dette programmet kan du starte ved å skrive mrt.exe i kjørvinduet. De to andre filene ga tilbakemeldingen "Ingen virus funnet..." ? Disse filene skal være knyttet til noe trådsløst adapter, spesielt på HP maskiner, så jeg tror du bare lar de være i fred. Endret 22. desember 2007 av norbat Lenke til kommentar
m0g1e Skrevet 22. desember 2007 Forfatter Del Skrevet 22. desember 2007 MRT.exe: Microsoft Windows Verktøy for fjerning av skadelig programvare. Dette programmet kan du starte ved å skrive mrt.exe i kjørvinduet. De to andre filene ga tilbakemeldingen "Ingen virus funnet..." ? Disse filene skal være knyttet til noe trådsløst adapter, spesielt på HP maskiner, så jeg tror du bare lar de være i fred. Hadde samme tanken om hp-filene ja. Litt på jordet den spyware-scanneren da... Lenke til kommentar
norbat Skrevet 22. desember 2007 Del Skrevet 22. desember 2007 "Spyware-scanneren" er ok, men man må alltid sjekke nærmere på de oppføringene for å vite hva som skal fjernes eller ei. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå