Gaby Skrevet 19. januar 2008 Del Skrevet 19. januar 2008 Hei! Ser mange her leser HiJackThis-logger for andre, og ser om PCen ser grei ut eller ikke.. Lurte egentlig på hvilke filer jeg burde se etter i en slik logg.. Hvilke filer kan være mistenksomme??? Lenke til kommentar
Opelduude Skrevet 19. januar 2008 Del Skrevet 19. januar 2008 Hei! Ser mange her leser HiJackThis-logger for andre, og ser om PCen ser grei ut eller ikke.. Lurte egentlig på hvilke filer jeg burde se etter i en slik logg.. Hvilke filer kan være mistenksomme??? f.eks filer som det står (no name) inni og [msn] du bør vite hva du gjør før du sletter filene Lenke til kommentar
Gaby Skrevet 20. januar 2008 Forfatter Del Skrevet 20. januar 2008 Hehe. Joa. Skjønner det. Andre eksempler ? Lenke til kommentar
r2d290 Skrevet 20. januar 2008 Del Skrevet 20. januar 2008 (endret) henger meg på her... dette vil jeg lære mer om... lurer også på loggene for msnfix edit: og hvordan funker msnfix egentlig? og combofix er viktig å dele kunskapen om dette, så flere kan lære å hjelpe andre... Endret 20. januar 2008 av r2d290 Lenke til kommentar
r2d290 Skrevet 20. januar 2008 Del Skrevet 20. januar 2008 ehm, er dette et eksempel på at den er angrepet? står både (no name) og litt forskjellig om msn der... Logfile of HijackThis v1.97.7 Scan saved at 16:04:23, on 20.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\WIDCOMM\Bluetooth-programvare\bin\btwdins.exe C:\Programfiler\Canal Digital Sikkerhetspakken\Anti-Virus\fsgk32st.exe C:\Programfiler\Canal Digital Sikkerhetspakken\Anti-Virus\FSGK32.EXE C:\Programfiler\Canal Digital Sikkerhetspakken\Common\FSMA32.EXE C:\Programfiler\Fellesfiler\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programfiler\Synergy\synergys.exe D:\Programmer\RealVNC\VNC4\WinVNC4.exe C:\Programfiler\Hewlett-Packard\Shared\hpqwmiex.exe C:\Programfiler\Canal Digital Sikkerhetspakken\Anti-Virus\fssm32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe C:\Programfiler\Hp\HP Software Update\HPWuSchd2.exe C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe C:\Programfiler\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programfiler\HP\QuickPlay\QPService.exe C:\Programfiler\HPQ\Quick Launch Buttons\EabServr.exe C:\Programfiler\TortoiseSVN\bin\TSVNCache.exe C:\Programfiler\DAEMON Tools\daemon.exe C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programfiler\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programfiler\WIDCOMM\Bluetooth-programvare\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programfiler\HP\Digital Imaging\bin\hpqimzone.exe C:\Programfiler\Windows Live\Messenger\usnsvc.exe C:\Programfiler\Fellesfiler\Teleca Shared\Generic.exe C:\Programfiler\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programfiler\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Canal Digital Sikkerhetspakken\Common\FSM32.EXE C:\Programfiler\Canal Digital Sikkerhetspakken\Common\FSMB32.EXE C:\Programfiler\Canal Digital Sikkerhetspakken\Common\FCH32.EXE C:\Programfiler\Canal Digital Sikkerhetspakken\Common\FAMEH32.EXE C:\Programfiler\Canal Digital Sikkerhetspakken\Anti-Virus\fsqh.exe C:\Programfiler\Canal Digital Sikkerhetspakken\FSAUA\program\fsaua.exe C:\Programfiler\Canal Digital Sikkerhetspakken\FWES\Program\fsdfwd.exe C:\Programfiler\Canal Digital Sikkerhetspakken\Anti-Virus\fsav32.exe C:\Programfiler\Canal Digital Sikkerhetspakken\FSGUI\fsguidll.exe C:\Programfiler\Canal Digital Sikkerhetspakken\FSAUA\program\fsus.exe C:\Programfiler\Windows Live\Messenger\msnmsgr.exe C:\Programfiler\Java\jre1.5.0_06\bin\jucheck.exe C:\Programfiler\Skype\Phone\Skype.exe C:\Programfiler\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\WISPTIS.EXE D:\Programmer\Firefox\firefox.exe C:\Documents and Settings\Eirik N\Skrivebord\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.hp.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programfiler\google\googletoolbar2.dll O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programfiler\Google\GoogleToolbarNotifier\2.0.1121.2472\swg.dll O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\Windows Live Toolbar\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programfiler\google\googletoolbar2.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programfiler\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programfiler\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programfiler\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [QPService] "C:\Programfiler\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programfiler\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programfiler\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programfiler\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programfiler\Canal Digital Sikkerhetspakken\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programfiler\Canal Digital Sikkerhetspakken\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programfiler\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Programfiler\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programfiler\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [skype] "C:\Programfiler\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [AdobeUpdater] C:\Programfiler\Fellesfiler\Adobe\Updater5\AdobeUpdater.exe O4 - Startup: Adobe Gamma.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Run VNC Server.lnk = D:\Programmer\RealVNC\VNC4\winvnc4.exe O4 - Startup: Skype.lnk = ? O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: HP Photosmart Premier Hurtigstart.lnk = C:\Programfiler\HP\Digital Imaging\bin\hpqthb08.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programfiler\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Send til &Bluetooth - C:\Programfiler\WIDCOMM\Bluetooth-programvare\btsendto_ie_ctx.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Send til OneNote (HKLM) O9 - Extra 'Tools' menuitem: S&end til OneNote (HKLM) O9 - Extra button: Research (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O10 - Unknown file in Winsock LSP: c:\programfiler\bonjour\mdnsnsp.dll O10 - Unknown file in Winsock LSP: c:\programfiler\canal digital sikkerhetspakken\fsps\program\fslsp.dll O10 - Unknown file in Winsock LSP: c:\programfiler\canal digital sikkerhetspakken\fsps\program\fslsp.dll O10 - Unknown file in Winsock LSP: c:\programfiler\canal digital sikkerhetspakken\fsps\program\fslsp.dll O10 - Unknown file in Winsock LSP: c:\programfiler\canal digital sikkerhetspakken\fsps\program\fslsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB Lenke til kommentar
Programvare Skrevet 20. januar 2008 Del Skrevet 20. januar 2008 Jeg sendte PM til norbat om dette, siden han har god peiling. Jeg fikk følgende i svar: I all hovedsak handler det om å se på loggene (hjt-logg), sjekke de ulike linjene i loggen og finne ut hvilket program etc. de filene som er listet opp i loggen tilhører. Deretter er det lurt å se på andre sine løsninger for å se hvilket program man kan bruke for å fjerne infiserte filer. Når man har gjort dette litt over tid begynner man å kjenne igjen en god del infeksjoner. Jeg surfer litt rundt på andre forum også som driver med dette for å holde meg litt oppdatert på alternative løsninger. Et lite tips for hvordan du kan komme i gang: 1. Kopier loggen og lim den inn i den automatiske sjekkeren: www.hijackthis.de. Den gir et greit førsteinntrykk av innholdet i loggen. Problemet med denne, er at den ikke alltid er like presis og det er mangler ved den som man må være klar over. Derfor må man aldri basere veiledningen kun på en slik automatisk sjekk. 2. http://www.castlecops.com/ har noen databaser der man kan sjekke ut enkelte oppføringer i en hjt-logg. Når du er på denne siden, vil du se i venstre marg noen av 'linjene' i en hjt-logg (09, 016, 04 (startuplist) etc). Den er veldig grei å benytte. 3. Les litt om hva de ulike oppføringen i en hjt-logg er: http://www.bleepingcomputer.com/tutorials/tutorial42.html 4. Bruk nok tid på å les logger Lenke til kommentar
Gaby Skrevet 20. januar 2008 Forfatter Del Skrevet 20. januar 2008 Ahh, supert Får sitte å lese litt i kveld Lenke til kommentar
Programvare Skrevet 20. januar 2008 Del Skrevet 20. januar 2008 Fint. Leser som en gal jeg og. Hvor er egentlig norbat i kveld? Tidenes verste kveld og "eksperten" er ikke her Lenke til kommentar
r2d290 Skrevet 21. januar 2008 Del Skrevet 21. januar 2008 Fint. Leser som en gal jeg og. Hvor er egentlig norbat i kveld? Tidenes verste kveld og "eksperten" er ikke her hehe, godt poeng Lenke til kommentar
norbat Skrevet 21. januar 2008 Del Skrevet 21. januar 2008 Dere klarer da dette fint Jeg byttet ISP rett før helga og typisk, linja var nede nesten hele helga Takk, CanalDigital Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå