Snodiz Skrevet 24. januar 2008 Del Skrevet 24. januar 2008 (endret) Plutselig forleden dag gikk alt til helvete, og det blir ikke bedre uansett hva jeg prøver. Er ikke helt grønn, men jeg får ikke fjernet det jeg sliter med. Enten dukker det opp på nytt, nekter meg adgang eller removal-toolsene nekter å initialisere seg. Første jeg la merke til var mllmk.dll/exe. Jeg får også masse doble prossesser med falske filnavn f.x: "svchost .exe" eller "explorer.Exe" Hijack logg følger, håper noen kan hjelpe. Jeg får ikke fjerna F3 gjennom hijackthis heller =\ ------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:30:16, on 24.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe D:\apps\Spyware Terminator\sp_rsser.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE D:\apps\Logitech\G-series Software\LGDCore.exe D:\apps\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\vsnpstd3.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\apps\SPYWAR~1\SpywareTerminatorShield.exe C:\Program Files\DAEMON Tools Pro\DTProAgent.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe C:\WINDOWS\system32\rundll32.exe D:\apps\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe D:\apps\Logitech\G-series Software\Applets\LCDClock.exe D:\apps\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe D:\apps\Logitech\G-series Software\Applets\LCDMedia.exe C:\Program Files\DAEMON Tools Pro\DTProAgent .exe C:\WINDOWS\vsnpstd3 .exe C:\WINDOWS\system32\ctfmon .exe C:\WINDOWS\system32\rundll32.exe D:\apps\Opera\Opera.exe D:\Greier\hijackthis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemonsearch.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 F3 - REG:win.ini: load=C:\WINDOWS\system32\mllmk.exe O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {BF508823-0446-49D1-B140-E38651411632} - C:\WINDOWS\system32\mllmk.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Launch LGDCore] "D:\apps\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "D:\apps\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Zune Launcher] "C:\Program Files\Zune\ZuneLauncher.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe O4 - HKLM\..\Run: [spywareTerminator] "D:\apps\SPYWAR~1\SpywareTerminatorShield.exe" O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [HijackThis startup scan] D:\Greier\hijackthis\HijackThis.exe /startupscan O4 - HKUS\S-1-5-21-1644491937-115176313-725345543-500\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear (User '?') O4 - HKUS\S-1-5-21-1644491937-115176313-725345543-500\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" (User '?') O4 - HKUS\S-1-5-21-1644491937-115176313-725345543-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-21-1644491937-115176313-725345543-500\..\Run: [HijackThis startup scan] D:\Greier\hijackthis\HijackThis.exe /startupscan (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Facebo...toUploader3.cab O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/Facebo...otoUploader.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - D:\apps\SPYWAR~1\sp_rsser.exe -- End of file - 5765 bytes Endret 24. januar 2008 av Snodiz Lenke til kommentar
r2d290 Skrevet 24. januar 2008 Del Skrevet 24. januar 2008 du kan hvertfall markere og trykke fix på O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe med hijackthis Lenke til kommentar
snippsat Skrevet 24. januar 2008 Del Skrevet 24. januar 2008 (endret) Første jeg la merke til var mllmk.dll/exe Ja den er ikke god,så det må vi få fjernet. Vundofix regner jeg med tar dette. Fix linjen som nevt over her. last ned Vundofix Scan for Vundo. Når det er ferdig "Remove vundo" Logg fra vundofix,vanligvis C:\vundofix.txt Poster du. Last ned kjør SAS Post logg. Så en ny htj-logg. Endret 24. januar 2008 av SNIPPSAT Lenke til kommentar
r2d290 Skrevet 24. januar 2008 Del Skrevet 24. januar 2008 la merke til at det også var mange "[mellomrom] .exe" filer der... det er vel ikke helt normalt? Lenke til kommentar
Programvare Skrevet 24. januar 2008 Del Skrevet 24. januar 2008 la merke til at det også var mange "[mellomrom] .exe" filer der... det er vel ikke helt normalt? Jeg har sett det ofte. Vet ikke helt hva det kommer av, men de aller fleste skal nok være der. Lenke til kommentar
r2d290 Skrevet 24. januar 2008 Del Skrevet 24. januar 2008 (endret) la merke til at det også var mange "[mellomrom] .exe" filer der... det er vel ikke helt normalt? Jeg har sett det ofte. Vet ikke helt hva det kommer av, men de aller fleste skal nok være der. sikker? på den hijackthis.de sto det som info 30.12.2007 - All .exe with spaces are VUNDO INFECTED!!!! edit: leif Endret 24. januar 2008 av r2d290 Lenke til kommentar
snippsat Skrevet 24. januar 2008 Del Skrevet 24. januar 2008 (endret) Jeg har sett det ofte. Vet ikke helt hva det kommer av, men de aller fleste skal nok være der. Ikke vær sikker på det Vundo gjøre det på denne måten. Eksp:ofte oppstart programmer si ctfmon.exe Lager da en copy ctfmon .exe Så blir den replassert med infisert ctfmon.exe Som igjen infiserer flere startopp filer. Det kan da være vanskelig og vite om filen er god er dårlig. Fordi størrelsen blir ofte er helt lik. Vundofix ordner som regel med dette. Scanning av enkelt filer her,kan hjelpe og løse problemet. http://virusscan.jotti.org/ http://www.virustotal.com/ Endret 24. januar 2008 av SNIPPSAT Lenke til kommentar
Snodiz Skrevet 25. januar 2008 Forfatter Del Skrevet 25. januar 2008 (endret) Første jeg la merke til var mllmk.dll/exe Ja den er ikke god,så det må vi få fjernet. Vundofix regner jeg med tar dette. Fix linjen som nevt over her. last ned Vundofix Scan for Vundo. Når det er ferdig "Remove vundo" Logg fra vundofix,vanligvis C:\vundofix.txt Poster du. Last ned kjør SAS Post logg. Så en ny htj-logg. Vundofix får beskjed om at den gjør en rekke ulovlige operasjoner og starter ikke, SAS nekter å isntallere seg, da maskinen min ikke greier å kjøre Windows Installer. Jeg tror kanskje den hater meg. Endret 25. januar 2008 av Snodiz Lenke til kommentar
Snodiz Skrevet 25. januar 2008 Forfatter Del Skrevet 25. januar 2008 (endret) Virustotal: Antivirus Version Last Update Result AhnLab-V3 2008.1.25.10 2008.01.24 Win-Trojan/Vundo.334848 AntiVir 7.6.0.48 2008.01.24 TR/Vundo.DWK Authentium 4.93.8 2008.01.24 - Avast 4.7.1098.0 2008.01.25 Win32:TratBHO AVG 7.5.0.516 2008.01.24 Generic9.ARVP BitDefender 7.2 2008.01.25 Trojan.Vundo.DWK CAT-QuickHeal 9.00 2008.01.24 - ClamAV 0.91.2 2008.01.25 - DrWeb 4.44.0.09170 2008.01.24 Trojan.Virtumod.257 eSafe 7.0.15.0 2008.01.16 - eTrust-Vet 31.3.5483 2008.01.24 Win32/Vundo.LF Ewido 4.0 2008.01.24 - FileAdvisor 1 2008.01.25 - Fortinet 3.14.0.0 2008.01.24 - F-Prot 4.4.2.54 2008.01.24 W32/Virtumonde.G.gen!Eldorado Ikarus T3.1.1.20 2008.01.25 Virus.Win32.TratBHO Kaspersky 7.0.0.125 2008.01.25 not-a-virus:AdWare.Win32.Virtumonde.dyx McAfee 5215 2008.01.24 - Microsoft 1.3109 2008.01.25 Trojan:Win32/Vundo.gen!A NOD32v2 2821 2008.01.25 Win32/Adware.Virtumonde.FP Norman 5.80.02 2008.01.24 Vundo.BD Panda 9.0.0.4 2008.01.24 Spyware/Virtumonde Additional information File size: 334848 bytes MD5: f50872174b9a7ff310034f7adffb9d36 SHA1: 461665f42900d4a71edca9b0056424b6f59eb15f PEiD: - jotti Scan taken on 25 Jan 2008 03:52:32 (GMT) A-Squared Found nothing AntiVir Found TR/Drop.Agent.dgo.221 ArcaVir Found Trojan.Dropper.Agent.Dgo, Adware.Virtumonde.Dps Avast Found Win32:Agent-PSG AVG Antivirus Found Dropper.Agent.GIT BitDefender Found Trojan.Dropper.Vundo.D ClamAV Found Trojan.Dropper-3531 CPsecure Found nothing Dr.Web Found Trojan.MulDrop.10006 F-Prot Antivirus Found W32/Virtumonde.OQ F-Secure Anti-Virus Found Trojan-Dropper.Win32.Agent.dgo Fortinet Found W32/Trats.B Ikarus Found Trojan-Dropper.Win32.Agent.dgo Kaspersky Anti-Virus Found Trojan-Dropper.Win32.Agent.dgo NOD32 Found Win32/TrojanDropper.Agent.DGO Norman Virus Control Found W32/Vundo.AY Panda Antivirus Found nothing Rising Antivirus Found nothing Sophos Antivirus Found W32/VirtInf-B VirusBuster Found Win32.Trats.Gen VBA32 Found Win32.TrojanDropper.Agent.DGO Jeg får ikke starta og stoppa tjenester eller installert noe som helst. Tror gamle trofast er døende. Håpet liksom å slippe en formatC: =P Endret 25. januar 2008 av Snodiz Lenke til kommentar
øl_i_tastaturet Skrevet 25. januar 2008 Del Skrevet 25. januar 2008 la merke til at det også var mange "[mellomrom] .exe" filer der... det er vel ikke helt normalt? Hadde det en gang selv, men det var "MSGmessenger .exe". Trojaner er noe herk for å si det sånn. Reinstaller OS'et ditt du Lenke til kommentar
snippsat Skrevet 25. januar 2008 Del Skrevet 25. januar 2008 (endret) Får du ikke kjørt vundofix? Sikkerhetmodus f8 boot går det greit? Må da ha med netteverk i sikkerhetmodus. http://housecall.trendmicro.com/ Lag en ny bruker der logg deg på den. se om det hjelper. Prøv comofix og. Last Combofix ned ,legg på skrivebordet. Ikke klikk på vindu mens programet kjører. post logg C:\combofix.txt Last ned kjør SAS Post logg Endret 25. januar 2008 av SNIPPSAT Lenke til kommentar
r2d290 Skrevet 25. januar 2008 Del Skrevet 25. januar 2008 la merke til at det også var mange "[mellomrom] .exe" filer der... det er vel ikke helt normalt? Hadde det en gang selv, men det var "MSGmessenger .exe". Trojaner er noe herk for å si det sånn. Reinstaller OS'et ditt du er det så ille at det er nødvendig å reintallere OS'et da? Lenke til kommentar
Gjest medlem-105082 Skrevet 25. januar 2008 Del Skrevet 25. januar 2008 Formatering er alltid siste utvei. Tull å komme med slike utsagn om reinstallering av OS. Lenke til kommentar
snippsat Skrevet 25. januar 2008 Del Skrevet 25. januar 2008 (endret) da maskinen min ikke greier å kjøre Windows Installer Ahh så ikke den,så du har gitt opp skal og innstalere windows? Endret 25. januar 2008 av SNIPPSAT Lenke til kommentar
Demantios Skrevet 25. januar 2008 Del Skrevet 25. januar 2008 Fjerna selv vundo med housecall og drweb webscan fra safemode. Kommer tilbake med linkene (har dem på minnepenn) Lenke til kommentar
NorwegianAssassin Skrevet 27. januar 2008 Del Skrevet 27. januar 2008 Jeg vil anbefale at du laster ned Avast! Home edition OG AVG Free edition! Du kan også laste ned spybot som siste utvei! Linker: Avast! Home Edition AVG Free Edition Spybot S&D Håper det hjelper Lenke til kommentar
Gjest medlem-105082 Skrevet 27. januar 2008 Del Skrevet 27. januar 2008 Man skal ikke ha to antivirusprogrammer som kjører samtidig. Det kan skape konflikter, noe som gjør at du blir mindre beskyttet. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå