slippern Skrevet 4. juni 2008 Del Skrevet 4. juni 2008 Etter at jeg tok å trykte på en youtube link fikk jeg virus. fikk hjelp til og fjærne det men ser ikke ut til at det er helt vekke. Har store problemer med nettverket på maskinen, DNSen fungerer ikke helt som den skal. kan ikke tømme netbt når jeg reparerer tilkoblingen, kan ikke koble opp i mot et domene. Her er HiJackThis loggen =) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:51:06, on 04.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\NORMAN\Npm\bin\ELOGSVC.EXE C:\NORMAN\Npm\bin\ZANDA.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Bonjour\mDNSResponder.exe C:\WINDOWS\SYSTEM32\DWRCS.EXE C:\Programfiler\Fellesfiler\Microsoft Shared\VS7DEBUG\mdm.exe C:\NORMAN\Npm\bin\NJEEVES.EXE C:\NORMAN\Nvc\bin\nvcoas.exe C:\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\SYSTEM32\DWRCST.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programfiler\Java\jre1.6.0_05\bin\jusched.exe C:\NORMAN\Npm\bin\ZLH.EXE C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\NORMAN\Nvc\BIN\NIP.EXE C:\WINDOWS\system32\ctfmon.exe C:\NORMAN\Nvc\bin\cclaw.exe C:\Programfiler\Fellesfiler\Ahead\Lib\NMBgMonitor.exe C:\Programfiler\MSN Messenger\msnmsgr.exe C:\Programfiler\Fellesfiler\Ahead\Lib\NMIndexingService.exe C:\Programfiler\Fellesfiler\Ahead\Lib\NMIndexStoreSvr.exe D:\Programfiler\ComAgent\ComAgent.exe D:\Programfiler\TechSmith\SnagIt 8\SnagIt32.exe D:\Programfiler\TechSmith\SnagIt 8\TSCHelp.exe D:\Programfiler\TechSmith\SnagIt 8\SnagPriv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe D:\Programfiler\Opera\opera.exe C:\Programfiler\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programfiler\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: Koblingshjelpeprogram for Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Fellesfiler\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINDOWS\AUTOLO~1\AL2DLL.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programfiler\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [skyTel] SkyTel.EXE O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programfiler\Fellesfiler\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Npm\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [DameWare MRC Agent] C:\WINDOWS\system32\DWRCST.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programfiler\Fellesfiler\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Programfiler\MSN Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ComAgent.lnk = D:\Programfiler\ComAgent\ComAgent.exe O4 - Global Startup: SnagIt 8.lnk = D:\Programfiler\TechSmith\SnagIt 8\SnagIt32.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: iLO 2 Remote Console Applet - https://82.148.144.132/dvc.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = fauske.lokalt O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programfiler\Bonjour\mDNSResponder.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\NORMAN\Npm\bin\ELOGSVC.EXE O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programfiler\Fellesfiler\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: NBService - Nero AG - D:\Programfiler\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programfiler\Fellesfiler\Ahead\Lib\NMIndexingService.exe O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\NORMAN\Npm\bin\ZANDA.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE -- End of file - 7705 bytes Lenke til kommentar
norbat Skrevet 4. juni 2008 Del Skrevet 4. juni 2008 Kan du forsøke å fortelle nøyaktig hva du har gjort fra denne loggen du postet i går: https://www.diskusjon.no/index.php?session=...&p=11307156 og til problemet oppsto? Lenke til kommentar
slippern Skrevet 4. juni 2008 Forfatter Del Skrevet 4. juni 2008 (endret) Har ikke gjort noen verdens ting, da dette er en kontor pc å ikke multimedia / spille maskin. samme programmene osv. Dette problemet kom i dag da jeg ikke klarte å pinge div servere med navnet, men med ip adresse gikk det. Har prøvd å deaktivert og reinstallert nettverkskortet. flushdns og mere. skriver jeg inn \\server eller \\IPadresse så får jeg bare opp en hvit side. Endret 4. juni 2008 av slippern Lenke til kommentar
norbat Skrevet 4. juni 2008 Del Skrevet 4. juni 2008 Start systemgjenopprettingen og se om du kan stille systemet tilbake til i går (rundt 14-tiden) Tilbehør->systemverktøy->systemgjenoppretting. Lenke til kommentar
norbat Skrevet 4. juni 2008 Del Skrevet 4. juni 2008 Jeg ser at 017-linjene i hjt-loggen viser færre oppføringer enn den fra i går. Dette har antakelig tilknytning til problemet du opplever med dns - ip-adresse. Det spørs om domeneoppsettet bør rekonfigureres. Dere har kanskje en it-ansvarlig på jobb? Lenke til kommentar
slippern Skrevet 4. juni 2008 Forfatter Del Skrevet 4. juni 2008 jeg er en av it-folkene Får heller ikke meldt maskinen inn i domenet igjen. kommer opp dns feil har sjekket dnsen og på dns serveren. alt er iorden på serveren. Lenke til kommentar
norbat Skrevet 4. juni 2008 Del Skrevet 4. juni 2008 jeg er en av it-folkene De filene som ble slettet i går hørte alle til infeksjonen du fikk gjennom msn. Har ikke hørt at de skulle skape problemer slik du opplever. Kan heller ikke se at du fortsatt er infisert, så da står vi kanskje igjen med noen korrupte systemfiler. Du kunne ha forsøkt å kjøre sfc /scannow fra kjør-feltet. Dette vil sjekke systemfilene. Hvor langt tilbake kjørte du systemgjenopprettingen? Post gjerne en ny combofix-logg for en dobbeltsjekk. Lenke til kommentar
slippern Skrevet 4. juni 2008 Forfatter Del Skrevet 4. juni 2008 (endret) har gjort det. hjelper lite. oppdaget også at jeg ikke kommer meg inn på shell. (linux og SSH).. Kommer heller ikke inn på feks irc.homelien.no eller en annen IRC server. * Connect retry #2 irc.efnet.info (7000) (dns pool) Endret 4. juni 2008 av slippern Lenke til kommentar
norbat Skrevet 4. juni 2008 Del Skrevet 4. juni 2008 Det er ikke noe proxy e.l som skaper probl? Du kommer deg på nett ellers? Kanskje en runde med winsockfix kan hjelpe Lenke til kommentar
slippern Skrevet 4. juni 2008 Forfatter Del Skrevet 4. juni 2008 (endret) her er loggen ligger som vedlegg Har ikke proxy eller lignende. er rett ut på nett.. kun 3stk brannmurer iveien. men har ikke noe å si da feks mirc funker på andre datamaskiner. og kommer meg ellers på nett rimelig fint =) winsockfix funket til en viss grad. enda problemer med irc å ssh. men kom inn på domenet nå. combofix_log.txt Endret 4. juni 2008 av slippern Lenke til kommentar
norbat Skrevet 4. juni 2008 Del Skrevet 4. juni 2008 Combofix-loggen ser fin ut. Du skulle ikke lengre være infisert med noe. Kanskje en reinstallering av de prog. du ikke får koblet opp? Lenke til kommentar
slippern Skrevet 4. juni 2008 Forfatter Del Skrevet 4. juni 2008 får koblet til lokale server via ssh å på IRC. men ikke de eksterne.. rart.. Lenke til kommentar
Ducktoy Skrevet 4. juni 2008 Del Skrevet 4. juni 2008 prøvd med netsh interface ip reset? http://support.microsoft.com/kb/299357 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå