r2d290 Skrevet 23. januar 2008 Del Skrevet 23. januar 2008 sett en hake foran O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe og fiks og, hva er "F3 - REG:win.ini: load=C:\WINDOWS\system32\pmnlk.exe" for no rart? Lenke til kommentar
Dominicus Skrevet 23. januar 2008 Del Skrevet 23. januar 2008 sett en hake foran O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe og fiks og, hva er "F3 - REG:win.ini: load=C:\WINDOWS\system32\pmnlk.exe" for no rart? Da har jeg fjernet svchost.exe. Hva var det for noe? Angående pmnlk.exe, har jeg ikke den minste anelse om hva det kan være. Skjønner fint lite av dette, og godt er det. Lenke til kommentar
Programvare Skrevet 23. januar 2008 Del Skrevet 23. januar 2008 sett en hake foran O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe og fiks og, hva er "F3 - REG:win.ini: load=C:\WINDOWS\system32\pmnlk.exe" for no rart? Da har jeg fjernet svchost.exe. Hva var det for noe? Det var et slags virus som kom fra SLOMIRC-A WORM. Har du lagt disse filene i "trusted zone"? Hvis ikke trykke fix checked på disse: O15 - Trusted Zone: http://*.norsk-tipping.no (HKLM) O15 - Trusted Zone: http://*.headit.no (HKLM) O15 - Trusted Zone: http://*.buypass.no (HKLM) Tror at pmnlk.exe er noe man helst ikke vil ha. Gå til hijackthis og åpne misc tools-seksjonen. Klikk på knappen kalt "Delete A File on Reboot..." I dialogen som dukker opp, skriv inn eller copypaste filbanen i "file name:" C:\WINDOWS\system32\pmnlk.exe Når du har valgt filen, klikk på "open"-knappen Trykk ja på den neste som dukker opp og systemet ditt vil restarte. Lenke til kommentar
Dominicus Skrevet 23. januar 2008 Del Skrevet 23. januar 2008 sett en hake foran O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe og fiks og, hva er "F3 - REG:win.ini: load=C:\WINDOWS\system32\pmnlk.exe" for no rart? Da har jeg fjernet svchost.exe. Hva var det for noe? Det var et slags virus som kom fra SLOMIRC-A WORM. Har du lagt disse filene i "trusted zone"? Hvis ikke trykke fix checked på disse: O15 - Trusted Zone: http://*.norsk-tipping.no (HKLM) O15 - Trusted Zone: http://*.headit.no (HKLM) O15 - Trusted Zone: http://*.buypass.no (HKLM) Tror at pmnlk.exe er noe man helst ikke vil ha. Gå til hijackthis og åpne misc tools-seksjonen. Klikk på knappen kalt "Delete A File on Reboot..." I dialogen som dukker opp, skriv inn eller copypaste filbanen i "file name:" C:\WINDOWS\system32\pmnlk.exe Når du har valgt filen, klikk på "open"-knappen Trykk ja på den neste som dukker opp og systemet ditt vil restarte. Jesus Christ. Dette var avanserte saker. Norsk-Tipping stoler jeg selvsagt på. Må jo få levert lottokupongen. Får prøve å fjerne resten etter den avanserte oppskriften. Leser mye om combofix. Hva er det godt for? Lenke til kommentar
r2d290 Skrevet 23. januar 2008 Del Skrevet 23. januar 2008 (endret) MSNFix: Vil oppdage og fjerne alle filene som er nevnt overCombofix: Vil fjerne de fleste, samt avsløre om det fortsatt ligger infiserte filer igjen i form av en logg den lager. Hijackthis (hjt): Lager en logg som evt. kan fortelle hvordan det ligger an. kilde: her gi oss en ny hjt logg etter at du har gjort dette... edit: ikke missforstå: det øverste jeg skrev i denne posten var bare et utdrag for hva hva er... Ikke meningen at du skal bruke det. Disse 3 programmene har blitt mye brukt for å slette det beryktede "msn-viruset" Endret 23. januar 2008 av r2d290 Lenke til kommentar
Dominicus Skrevet 23. januar 2008 Del Skrevet 23. januar 2008 MSNFix: Vil oppdage og fjerne alle filene som er nevnt overCombofix: Vil fjerne de fleste, samt avsløre om det fortsatt ligger infiserte filer igjen i form av en logg den lager. Hijackthis (hjt): Lager en logg som evt. kan fortelle hvordan det ligger an. kilde: her gi oss en ny hjt logg etter at du har gjort dette... edit: ikke missforstå: det øverste jeg skrev i denne posten var bare et utdrag for hva hva er... Ikke meningen at du skal bruke det. Disse 3 programmene har blitt mye brukt for å slette det beryktede "msn-viruset" Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:13:43, on 23.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Programfiler\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Norton AntiVirus\navapsvc.exe C:\Programfiler\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programfiler\Fellesfiler\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programfiler\Fellesfiler\Softwin\BitDefender Scan Server\bdss.exe C:\Programfiler\Fellesfiler\Softwin\BitDefender Update Service\livesrv.exe C:\Programfiler\Softwin\BitDefender10\vsserv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe C:\Programfiler\Mozilla Firefox\firefox.exe C:\Documents and Settings\Knut-Martin\Skrivebord\Ny mappe\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ht.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [bDMCon] "C:\Programfiler\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [bDAgent] "C:\Programfiler\Softwin\BitDefender10\bdagent.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O15 - Trusted Zone: http://*.buypass.no (HKLM) O15 - Trusted Zone: http://*.headit.no (HKLM) O15 - Trusted Zone: http://*.norsk-tipping.no (HKLM) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1171555117390 O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Automatisk LiveUpdate-planlegging - Symantec Corporation - C:\Programfiler\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programfiler\Fellesfiler\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programfiler\Fellesfiler\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programfiler\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programfiler\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programfiler\Fellesfiler\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 7781 bytes Ny HJT-logg Lenke til kommentar
r2d290 Skrevet 24. januar 2008 Del Skrevet 24. januar 2008 nå tror jeg det ser ganske bra ut, men kjenner du gijen linken i denne linja? R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ If you recognize the URL at the end as your homepage or search engine, it's OK. If you don't, check it and have HijackThis fix it. Lenke til kommentar
Dominicus Skrevet 24. januar 2008 Del Skrevet 24. januar 2008 nå tror jeg det ser ganske bra ut, men kjenner du gijen linken i denne linja? R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ If you recognize the URL at the end as your homepage or search engine, it's OK. If you don't, check it and have HijackThis fix it. global.acer.com var vel den opprinnelige startsiden på internett. Er det lurt å fjerne den? Kjørte en ComboFix, men Norton avbrøyt med varsel om ondsinnet skript og så låste PCn seg, så det ble vel aldri gjennomført. MSNFix fungerte heller ikke. Fikk opp en feilmelding om at programmet ikke finner angitt bane, eller fil. Husker ikke helt det, men ga opp. Lenke til kommentar
norbat Skrevet 24. januar 2008 Del Skrevet 24. januar 2008 Noen av-prog reagerer på noen av prosessene i combofix. Det kan være lurt å slå av antivirus/brannmuren midlertidig. Vil tro norton har oppdatert sine virusdefinisjoner, så det burder holde å kjøre en full scan med dette. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå