Enda et msn virus?

[r2d290]

sett en hake foran O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe og fiks

 

 

 

og, hva er "F3 - REG:win.ini: load=C:\WINDOWS\system32\pmnlk.exe" for no rart?

[Dominicus]

sett en hake foran O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe og fiks

 

 

 

og, hva er "F3 - REG:win.ini: load=C:\WINDOWS\system32\pmnlk.exe" for no rart?

 

Da har jeg fjernet svchost.exe. Hva var det for noe?

 

Angående pmnlk.exe, har jeg ikke den minste anelse om hva det kan være. Skjønner fint lite av dette, og godt er det.

[Programvare]

sett en hake foran O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe og fiks

 

 

 

og, hva er "F3 - REG:win.ini: load=C:\WINDOWS\system32\pmnlk.exe" for no rart?

 

Da har jeg fjernet svchost.exe. Hva var det for noe?

 

Det var et slags virus som kom fra SLOMIRC-A WORM.

 

Har du lagt disse filene i "trusted zone"? Hvis ikke trykke fix checked på disse:

 

O15 - Trusted Zone: http://*.norsk-tipping.no (HKLM)

O15 - Trusted Zone: http://*.headit.no (HKLM)

O15 - Trusted Zone: http://*.buypass.no (HKLM)

 

Tror at pmnlk.exe er noe man helst ikke vil ha. Gå til hijackthis og åpne misc tools-seksjonen. Klikk på knappen kalt "Delete A File on Reboot..."

I dialogen som dukker opp, skriv inn eller copypaste filbanen i "file name:" C:\WINDOWS\system32\pmnlk.exe

Når du har valgt filen, klikk på "open"-knappen

Trykk ja på den neste som dukker opp og systemet ditt vil restarte.

[Dominicus]

sett en hake foran O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe og fiks

 

 

 

og, hva er "F3 - REG:win.ini: load=C:\WINDOWS\system32\pmnlk.exe" for no rart?

 

Da har jeg fjernet svchost.exe. Hva var det for noe?

 

Det var et slags virus som kom fra SLOMIRC-A WORM.

 

Har du lagt disse filene i "trusted zone"? Hvis ikke trykke fix checked på disse:

 

O15 - Trusted Zone: http://*.norsk-tipping.no (HKLM)

O15 - Trusted Zone: http://*.headit.no (HKLM)

O15 - Trusted Zone: http://*.buypass.no (HKLM)

 

Tror at pmnlk.exe er noe man helst ikke vil ha. Gå til hijackthis og åpne misc tools-seksjonen. Klikk på knappen kalt "Delete A File on Reboot..."

I dialogen som dukker opp, skriv inn eller copypaste filbanen i "file name:" C:\WINDOWS\system32\pmnlk.exe

Når du har valgt filen, klikk på "open"-knappen

Trykk ja på den neste som dukker opp og systemet ditt vil restarte.

 

Jesus Christ. Dette var avanserte saker. Norsk-Tipping stoler jeg selvsagt på. Må jo få levert lottokupongen.

Får prøve å fjerne resten etter den avanserte oppskriften.

 

Leser mye om combofix. Hva er det godt for?

[r2d290]

MSNFix: Vil oppdage og fjerne alle filene som er nevnt over

Combofix: Vil fjerne de fleste, samt avsløre om det fortsatt ligger infiserte filer igjen i form av en logg den lager.

Hijackthis (hjt): Lager en logg som evt. kan fortelle hvordan det ligger an.

 

kilde: her

 

 

gi oss en ny hjt logg etter at du har gjort dette...

 

 

edit: ikke missforstå: det øverste jeg skrev i denne posten var bare et utdrag for hva hva er... Ikke meningen at du skal bruke det.

 

Disse 3 programmene har blitt mye brukt for å slette det beryktede "msn-viruset"

Endret 23. januar 2008 av r2d290

[Dominicus]

MSNFix: Vil oppdage og fjerne alle filene som er nevnt over

Combofix: Vil fjerne de fleste, samt avsløre om det fortsatt ligger infiserte filer igjen i form av en logg den lager.

Hijackthis (hjt): Lager en logg som evt. kan fortelle hvordan det ligger an.

 

kilde: her

 

 

gi oss en ny hjt logg etter at du har gjort dette...

 

 

edit: ikke missforstå: det øverste jeg skrev i denne posten var bare et utdrag for hva hva er... Ikke meningen at du skal bruke det.

 

Disse 3 programmene har blitt mye brukt for å slette det beryktede "msn-viruset"

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:13:43, on 23.01.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe

C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Programfiler\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\System32\svchost.exe

C:\Programfiler\Norton AntiVirus\navapsvc.exe

C:\Programfiler\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Programfiler\Fellesfiler\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programfiler\Fellesfiler\Softwin\BitDefender Scan Server\bdss.exe

C:\Programfiler\Fellesfiler\Softwin\BitDefender Update Service\livesrv.exe

C:\Programfiler\Softwin\BitDefender10\vsserv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe

C:\Programfiler\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Knut-Martin\Skrivebord\Ny mappe\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ht.no/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [bDMCon] "C:\Programfiler\Softwin\BitDefender10\bdmcon.exe" /reg

O4 - HKLM\..\Run: [bDAgent] "C:\Programfiler\Softwin\BitDefender10\bdagent.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.buypass.no (HKLM)

O15 - Trusted Zone: http://*.headit.no (HKLM)

O15 - Trusted Zone: http://*.norsk-tipping.no (HKLM)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1171555117390

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Automatisk LiveUpdate-planlegging - Symantec Corporation - C:\Programfiler\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programfiler\Fellesfiler\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programfiler\Fellesfiler\Softwin\BitDefender Update Service\livesrv.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Programfiler\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programfiler\Softwin\BitDefender10\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programfiler\Fellesfiler\Softwin\BitDefender Communicator\xcommsvr.exe

 

--

End of file - 7781 bytes

 

 

 

Ny HJT-logg

[r2d290]

nå tror jeg det ser ganske bra ut, men kjenner du gijen linken i denne linja?

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

 

If you recognize the URL at the end as your homepage or search engine, it's OK. If you don't, check it and have HijackThis fix it.

[Dominicus]

nå tror jeg det ser ganske bra ut, men kjenner du gijen linken i denne linja?

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

 

If you recognize the URL at the end as your homepage or search engine, it's OK. If you don't, check it and have HijackThis fix it.

 

global.acer.com var vel den opprinnelige startsiden på internett. Er det lurt å fjerne den?

 

Kjørte en ComboFix, men Norton avbrøyt med varsel om ondsinnet skript og så låste PCn seg, så det ble vel aldri gjennomført.

 

MSNFix fungerte heller ikke. Fikk opp en feilmelding om at programmet ikke finner angitt bane, eller fil. Husker ikke helt det, men ga opp.

[norbat]

Noen av-prog reagerer på noen av prosessene i combofix. Det kan være lurt å slå av antivirus/brannmuren midlertidig. Vil tro norton har oppdatert sine virusdefinisjoner, så det burder holde å kjøre en full scan med dette.