Just nu i M3-nätverket
Jump to content

610180.net


Hultas

Recommended Posts

Hej Cecilia :)

 

Nu förstår jag bätre hur du tänkte, men jag är inte säker på att man inte skulle kunna komma åt dessa filer om man bootar från en annan hårddisk.

Tack.

Jag tycker mig känna igen det här problemet. Försökte hjälpa en annan (privatperson) med ungerfär samma problem och där fanns det två hårddiskar med ett OP-System på vadera disk, varav det ena systemet var nerlusat med diverse saker som återuppstod hur mycket jag än höll på att scanna med Ad-Aware, HJT, Onlinescanningar och jag vet inte vad.

 

Så jag tänkte i samma banor och resonerade precis likadant som det görs nu.

Om jag sätter den disken som slave med det sjuka systemet och den andra med det friska systemet som master och bootar från den, då borde det kunna gå att få bort sk*ten från det sjuka systemet på slavedisken.

Visst filerna var synliga, men de gick tyvärr inte att ta bort via det friska systemet, eftersom de låg i ett annat system.

Men det är mycket möjligt att jag gjorde något fel vid det här tillfället då jag försökte att hjälpa den här privarpersonen. (Jag var nybörjare på sådant här då och det här var för över ett år sedan.)

 

Så det vara bara till att hoppa över till det sjuka systemet igen och börja om från början. Till slut lyckades jag få bort sk*ten i det sjuka systemet. Men hur jag bar mig åt och lyckades kommer jag tyvärr inte ihåg ;)

 

Men visst kan det göras ett försök med att sätta den som slave så får vi hålla alla tummar som finns för att det fungerar :thumbsup:

 

MVH/Malou

****Ha en fortsatt underbar dag****

 

Team Lavasoft

Lavasupporten

 

 

Link to comment
Share on other sites

Hej Hultas :)

 

Jag undrar om det skulle funka om jag byter ut hårddisken och startar systemet från en annan disk och kör den här som "slave"?

Då borde det väl gå att att radera de här envisa filerna!

Om du vill göra dig det här besväret, så visst kan vi göra ett försök.

Har vi tur så kan det fungera :)

 

MVH/Malou

****Ha en fortsatt underbar dag****

 

Team Lavasoft

Lavasupporten

 

 

Link to comment
Share on other sites

Till slut lyckades jag få bort sk*ten i det sjuka systemet. Men hur jag bar mig åt och lyckades kommer jag tyvärr inte ihåg

 

Det borde väl bara vara att boota med en dos startdiskett och ta bort filerna.

 

/Marcus

 

Link to comment
Share on other sites

Hej Hultas :)

 

Eventuellt så kan vi använda oss av ett litet verktyg som tar "död" på otrevliga/svårhanterliga filer som återuppstår.

 

Frågan är bara hur du vill göra???

 

MVH/Malou

 

****Ha en fortsatt underbar dag****

 

Team Lavasoft

Lavasupporten

 

 

Link to comment
Share on other sites

Hej!

Jag provar gärna det där "lilla verktyget" innan jag börjar skruva!

 

Men en annan undran: ska alla de här filerna bara raderas, eller ska några av dem ersättas av friska filer med samma eller andra namn?

 

Mvh

Hultas

 

Link to comment
Share on other sites

Hej Hultas :)

Men en annan undran: ska alla de här filerna bara raderas, eller ska några av dem ersättas av friska filer med samma eller andra namn?

De skall "dödas" och inte ersättas med andra filer. De här skall inte finnas överhuvudtaget i systemet.

 

Jag provar gärna det där "lilla verktyget" innan jag börjar skruva!

 

Ok. Då kör vi.

 

 

1: Ladda ner KillBox

http://www.downloads.subratam.org/KillBox.zip

Exportera programmet från zip-filen.

 

2: Klistra in detta i fältet C:\WINDOWS\system32\fservice.exe och "killa"/"döda" filen.

 

Gör likadant med de här två.

Mycket möjligt att du måste starta om datorn efter varje "killande/dödande"

 

Klistra in i fältet -> C:\WINDOWS\services.exe

 

Klistra in i fältet -> C:\WINDOWS\system\sservice.exe

 

 

3. Starta om datorn

 

4. Scanna med Ad-aware i Full system Scan. Lägg in loggen.

 

5. Posta en HJT-logg...

 

 

Lycka till

 

MVH/Malou

 

 

 

 

****Ha en fortsatt underbar dag****

 

Team Lavasoft

Lavasupporten

 

 

[inlägget ändrat 2004-10-21 19:08:46 av malou jansson]

[inlägget ändrat 2004-10-21 19:09:43 av malou jansson]

[inlägget ändrat 2004-10-21 19:12:57 av malou jansson]

Link to comment
Share on other sites

Hej :)

Killbox får nog skaffa effektivare vapen!

"This file could not be deleted", var svaret för alla filerna!

Vad är det du säger?????

Det här kan bara inte vara möjligt????

 

Ta bort den KillBoxen du nu har.

Testa den här versionen av KillBox.

Den är nyare och kommer inte zippad.

http://download.broadbandmedic.com/Killbox.exe

 

Gör precis på samma sätt med den här:

2: Klistra in detta i fältet C:\WINDOWS\system32\fservice.exe och "killa"/"döda" filen.

 

Gör likadant med de här två.

 

Klistra in i fältet -> C:\WINDOWS\services.exe

 

Klistra in i fältet -> C:\WINDOWS\system\sservice.exe

 

3. Starta om datorn

 

4. Scanna med Ad-aware

 

5. Posta en HJT-logg...

 

Hmmm....Jag undrar jag vad det är för jäkelskap du fått in i systemet????

 

MVH/Malou

****Ha en fortsatt underbar dag****

 

Team Lavasoft

Lavasupporten

 

 

Link to comment
Share on other sites

Hej!

När inte Killbox funkade, så tog jag ut hårddisken och stoppade in en annan disk med XP på. Jag startade alltså från den och stoppade in den ursprungliga disken i ett USB-kabinett och anslöt den och raderade alla de filer som jag inte tidigare lyckats radera. Monterade sen tillbaka och startade den virusrensade disken och gick in i registret och sökte efter namnen på de raderade filerna och tog bort dem. Startade sen om och körde full system scan med AdAware och körde sen med HiJackThis.

 

Bifogar dessa loggar:

 

[log]

Ad-Aware SE Build 1.05

Logfile Created on:den 21 oktober 2004 21:36:36

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R13 16.10.2004

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

None

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Definition File:

=========================

Definitions File Loaded:

Reference Number : SE1R13 16.10.2004

Internal build : 18

File location : C:\Program\Lavasoft\Ad-Aware SE Personal\defs.ref

File size : 363648 Bytes

Total size : 1150665 Bytes

Signature data size : 1124607 Bytes

Reference data size : 25546 Bytes

Signatures total : 31779

Fingerprints total : 291

Fingerprints size : 12292 Bytes

Target categories : 15

Target families : 589

 

 

Memory + processor status:

==========================

Number of processors : 2

Processor architecture : Intel Pentium IV

Memory available:63 %

Total physical memory:1047532 kb

Available physical memory:652316 kb

Total page file size:2524080 kb

Available on page file:2237760 kb

Total virtual memory:2097024 kb

Available virtual memory:2045032 kb

OS:Microsoft Windows XP Home Edition Service Pack 1 (Build 2600)

 

Ad-Aware SE Settings

===========================

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file

 

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects

 

 

2004-10-21 21:36:36 - Scan started. (Full System Scan)

 

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

#:1 [smss.exe]

FilePath : \SystemRoot\System32 ProcessID : 724

ThreadCreationTime : 2004-10-21 19:29:40

BasePriority : Normal

 

 

#:2 [csrss.exe]

FilePath : \??\C:\WINDOWS\system32 ProcessID : 772

ThreadCreationTime : 2004-10-21 19:29:41

BasePriority : Normal

 

 

#:3 [winlogon.exe]

FilePath : \??\C:\WINDOWS\system32 ProcessID : 796

ThreadCreationTime : 2004-10-21 19:29:42

BasePriority : High

 

 

#:4 [services.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 840

ThreadCreationTime : 2004-10-21 19:29:42

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Tjänst- och styrenhetsprogram

InternalName : services.exe

LegalCopyright : © Microsoft Corporation. Med ensamrätt.

OriginalFilename : services.exe

 

#:5 [lsass.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 852

ThreadCreationTime : 2004-10-21 19:29:42

BasePriority : Normal

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : lsass.exe

 

#:6 [svchost.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 1084

ThreadCreationTime : 2004-10-21 19:29:44

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:7 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1132

ThreadCreationTime : 2004-10-21 19:29:44

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:8 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1268

ThreadCreationTime : 2004-10-21 19:29:44

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:9 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1280

ThreadCreationTime : 2004-10-21 19:29:44

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:10 [spoolsv.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 1420

ThreadCreationTime : 2004-10-21 19:29:45

BasePriority : Normal

FileVersion : 5.1.2600.0 (XPClient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Spooler SubSystem App

InternalName : spoolsv.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : spoolsv.exe

 

#:11 [ctsvccda.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1532

ThreadCreationTime : 2004-10-21 19:29:45

BasePriority : Normal

FileVersion : 1.0.1.0

ProductVersion : 1.0.0.0

ProductName : Creative Service for CDROM Access

CompanyName : Creative Technology Ltd

FileDescription : Creative Service for CDROM Access

InternalName : CTsvcCDAEXE

LegalCopyright : Copyright © Creative Technology Ltd., 1999. All rights reserved.

OriginalFilename : CTsvcCDA.EXE

 

#:12 [mdm.exe]

FilePath : C:\Program\Delade filer\Microsoft Shared\VS7Debug ProcessID : 1584

ThreadCreationTime : 2004-10-21 19:29:46

BasePriority : Normal

FileVersion : 7.00.9064.9150

ProductVersion : 7.00.9064.9150

ProductName : Microsoft Development Environment

CompanyName : Microsoft Corporation

FileDescription : Machine Debug Manager

InternalName : mdm.exe

LegalCopyright : Copyright © Microsoft Corp. 1997-2000

OriginalFilename : mdm.exe

 

#:13 [zanda.exe]

FilePath : C:\Norman\NVC\BIN ProcessID : 1664

ThreadCreationTime : 2004-10-21 19:29:46

BasePriority : Normal

 

 

#:14 [scardsvr.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1692

ThreadCreationTime : 2004-10-21 19:29:46

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Resurshanteringsserver för smartkort

InternalName : SCardSvr.exe

LegalCopyright : © Microsoft Corporation. Med ensamrätt.

OriginalFilename : SCardSvr.exe

 

#:15 [smartscaps.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 1712

ThreadCreationTime : 2004-10-21 19:29:46

BasePriority : Normal

 

 

#:16 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1800

ThreadCreationTime : 2004-10-21 19:29:46

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:17 [explorer.exe]

FilePath : C:\WINDOWS ProcessID : 1008

ThreadCreationTime : 2004-10-21 19:30:21

BasePriority : Normal

FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)

ProductVersion : 6.00.2800.1106

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Utforskaren

InternalName : explorer

LegalCopyright : © Microsoft Corporation. Med ensamrätt.

OriginalFilename : EXPLORER.EXE

 

#:18 [atiptaxx.exe]

FilePath : C:\ATI-CPanel ProcessID : 1992

ThreadCreationTime : 2004-10-21 19:30:22

BasePriority : Normal

FileVersion : 6.14.10.5061

ProductVersion : 6.14.10.5061

ProductName : ATI Desktop Component

CompanyName : ATI Technologies, Inc.

FileDescription : ATI Desktop Control Panel

InternalName : Atiptaxx.exe

LegalCopyright : Copyright © 1998-2002 ATI Technologies Inc.

OriginalFilename : Atiptaxx.exe

 

#:19 [ctsysvol.exe]

FilePath : C:\Program\Creative\SBAudigy2\Surround Mixer ProcessID : 240

ThreadCreationTime : 2004-10-21 19:30:22

BasePriority : Normal

FileVersion : 1.1.3.0

ProductVersion : 1.0.0.0

ProductName : Creative Volume Control

CompanyName : Creative Technology Ltd

FileDescription : CTSysVol.exe

LegalCopyright : Copyright © Creative Technology Ltd., 2002. All rights reserved.

OriginalFilename : CTSysVol.exe

 

#:20 [ctdvddet.exe]

FilePath : C:\Program\Creative\SBAudigy2\DVDAudio ProcessID : 180

ThreadCreationTime : 2004-10-21 19:30:22

BasePriority : Normal

FileVersion : 1.0.2.0

ProductVersion : 1.0.2.0

ProductName : CTDVDDET

CompanyName : Creative Technology Ltd

FileDescription : CTDVDDET

InternalName : CTDVDDET

LegalCopyright : Copyright © Creative Technology Ltd., 2002. All rights reserved.

OriginalFilename : CTDVDDET.EXE

 

#:21 [cthelper.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1072

ThreadCreationTime : 2004-10-21 19:30:22

BasePriority : Normal

FileVersion : 1, 0, 0, 16

ProductVersion : 1, 0, 0, 16

ProductName : CtHelper Application

CompanyName : Creative Technology Ltd

FileDescription : CtHelper MFC Application

InternalName : CtHelper

LegalCopyright : Copyright © 2002-03

OriginalFilename : CtHelper.EXE

 

#:22 [ezsp_px.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1976

ThreadCreationTime : 2004-10-21 19:30:22

BasePriority : Normal

 

 

#:23 [evntsvc.exe]

FilePath : C:\Program\Delade filer\Real\Update_OB ProcessID : 1768

ThreadCreationTime : 2004-10-21 19:30:22

BasePriority : Normal

FileVersion : 0.1.0.880

ProductVersion : 0.1.0.880

ProductName : RealOne Player (32-bit)

CompanyName : RealNetworks, Inc.

FileDescription : RealNetworks Scheduler

InternalName : schedapp

LegalCopyright : Copyright © RealNetworks, Inc. 1995-2002

LegalTrademarks : RealAudio is a trademark of RealNetworks, Inc.

OriginalFilename : evntsvc.EXE

 

#:24 [hpgs2wnd.exe]

FilePath : C:\Program\Hewlett-Packard\HP Share-to-Web ProcessID : 256

ThreadCreationTime : 2004-10-21 19:30:22

BasePriority : Normal

FileVersion : 2,4,0,26

ProductVersion : 2,4,0,26

ProductName : Hewlett-Packard hpgs2wnd

CompanyName : Hewlett-Packard

FileDescription : hpgs2wnd

InternalName : hpgs2wnd

LegalCopyright : Copyright © 2001

OriginalFilename : hpgs2wnd.exe

 

#:25 [hpgs2wnf.exe]

FilePath : C:\Program\HEWLET~1\HPSHAR~1 ProcessID : 120

ThreadCreationTime : 2004-10-21 19:30:23

BasePriority : Normal

FileVersion : 2,4,0,26

ProductVersion : 2,4,0,26

ProductName : hpgs2wnf Module

FileDescription : hpgs2wnf Module

InternalName : hpgs2wnf

LegalCopyright : Copyright 2001

OriginalFilename : hpgs2wnf.EXE

 

#:26 [msnappau.exe]

FilePath : C:\Program\MSN Apps\Updater\01.02.3000.1001\sv ProcessID : 1760

ThreadCreationTime : 2004-10-21 19:30:23

BasePriority : Normal

 

 

#:27 [qttask.exe]

FilePath : C:\Program\QuickTime ProcessID : 356

ThreadCreationTime : 2004-10-21 19:30:23

BasePriority : Normal

FileVersion : 6.5.1

ProductVersion : QuickTime 6.5.1

ProductName : QuickTime

CompanyName : Apple Computer, Inc.

InternalName : QuickTime Task

LegalCopyright : © Apple Computer, Inc. 2001-2004

OriginalFilename : QTTask.exe

 

#:28 [zlh.exe]

FilePath : C:\Norman\NVC\BIN ProcessID : 652

ThreadCreationTime : 2004-10-21 19:30:23

BasePriority : Normal

 

 

#:29 [ctfmon.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 668

ThreadCreationTime : 2004-10-21 19:30:23

BasePriority : Normal

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : CTF Loader

InternalName : CTFMON

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : CTFMON.EXE

 

#:30 [rcman.exe]

FilePath : C:\Program\Creative\MediaSource\RemoteControl ProcessID : 684

ThreadCreationTime : 2004-10-21 19:30:23

BasePriority : Normal

FileVersion : 1.0.9.0

ProductVersion : 1.00

ProductName : Creative Media Source

CompanyName : Creative Technology Ltd.

FileDescription : Remote Control Manager

InternalName : RcMan

LegalCopyright : Copyright © Creative Technology Ltd.,2002. All rights reserved.

OriginalFilename : RcMan.EXE

 

#:31 [msmsgs.exe]

FilePath : C:\Program\Messenger ProcessID : 1064

ThreadCreationTime : 2004-10-21 19:30:23

BasePriority : Normal

FileVersion : 4.7.2009

ProductVersion : Version 4.7

ProductName : Messenger

CompanyName : Microsoft Corporation

FileDescription : Messenger

InternalName : msmsgs

LegalCopyright : Copyright © Microsoft Corporation 1997-2003

LegalTrademarks : Microsoft® is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.

OriginalFilename : msmsgs.exe

 

#:32 [spysweeper.exe]

FilePath : C:\Program\Webroot\Spy Sweeper ProcessID : 2072

ThreadCreationTime : 2004-10-21 19:30:24

BasePriority : Normal

FileVersion : 3.2.0.146

ProductVersion : 3.2

ProductName : Spy Sweeper

CompanyName : Webroot Software, Inc.

FileDescription : Spy Sweeper

LegalCopyright : Copyright © 2001-2004 Webroot Software, Inc.

LegalTrademarks : Spy Sweeper is a trademark of Webroot Software, Inc.

 

#:33 [acrotray.exe]

FilePath : C:\Program\Adobe\Acrobat 5.0\Distillr ProcessID : 2252

ThreadCreationTime : 2004-10-21 19:30:24

BasePriority : Normal

FileVersion : 5, 0, 0, 0

ProductVersion : 5, 0, 0, 0

ProductName : AcroTray - Adobe Acrobat Distiller helper application.

CompanyName : Adobe Systems Inc.

FileDescription : AcroTray

InternalName : AcroTray

LegalCopyright : Copyright © 2001

OriginalFilename : AcroTray.exe

 

#:34 [smartcertmover.exe]

FilePath : C:\Program\SmartTrust\SmartTrust Personal\Csp ProcessID : 2280

ThreadCreationTime : 2004-10-21 19:30:24

BasePriority : Normal

 

 

#:35 [wincinemamgr.exe]

FilePath : C:\Program\InterVideo\Common\Bin ProcessID : 2292

ThreadCreationTime : 2004-10-21 19:30:25

BasePriority : Normal

FileVersion : 1.0

ProductVersion : 1, 0, 0, 1

ProductName : WinCinema Manager for InterVideo WinCinema products

FileDescription : WinCinema Manager

InternalName : WinCinema Manager

LegalCopyright : Copyright © 2000 InterVideo Inc.

OriginalFilename : WinCinemaMgr.EXE

 

#:36 [wfxsnt40.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 2356

ThreadCreationTime : 2004-10-21 19:30:25

BasePriority : Normal

FileVersion : 7.00 (Build 019)

ProductVersion : 7.00 (Build 019)

ProductName : Microsoft ® Windows NT WinFax Printer Driver

CompanyName : Microsoft Corporation

FileDescription : Delrina Fax Port Launcher

InternalName : WFXSNT40.DLL

LegalCopyright : Copyright © Symantec Corp. 1990-1997

OriginalFilename : WFXSNT40.DLL

 

#:37 [wfxctl32.exe]

FilePath : C:\Program\Symantec\WinFax ProcessID : 2364

ThreadCreationTime : 2004-10-21 19:30:25

BasePriority : Normal

 

 

#:38 [wuauclt.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 2928

ThreadCreationTime : 2004-10-21 19:30:33

BasePriority : Normal

FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)

ProductVersion : 5.4.3790.2182

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Automatiska uppdateringar

InternalName : wuauclt.exe

LegalCopyright : © Microsoft Corporation. Med ensamrätt.

OriginalFilename : wuauclt.exe

 

#:39 [wfxmod32.exe]

FilePath : C:\Program\Symantec\WinFax ProcessID : 3112

ThreadCreationTime : 2004-10-21 19:30:37

BasePriority : High

 

 

#:40 [nvcoas.exe]

FilePath : C:\NORMAN\Nvc\BIN ProcessID : 752

ThreadCreationTime : 2004-10-21 19:35:26

BasePriority : Normal

FileVersion : 5, 3, 0, 1

ProductVersion : NVC forTerminal server beta

ProductName : NVC on-access scanner

CompanyName : Norman ASA

FileDescription : NVC on-access virus scanner

InternalName : NVCNT

LegalCopyright : Copyright © 2000-2001

OriginalFilename : NVCOAS.EXE

 

#:41 [nvcsched.exe]

FilePath : C:\NORMAN\Nvc\BIN ProcessID : 760

ThreadCreationTime : 2004-10-21 19:35:27

BasePriority : Normal

FileVersion : 1.03

ProductVersion : 1.03

ProductName : Norman Virus Control

CompanyName : Norman Data Defense Systems

FileDescription : NVC Scheduler

InternalName : NVCSched.exe

LegalCopyright : © Norman Data Defense Systems. 1997-2000

OriginalFilename : NVCSched.exe

 

#:42 [nymse.exe]

FilePath : C:\NORMAN\Nvc\BIN ProcessID : 1100

ThreadCreationTime : 2004-10-21 19:35:27

BasePriority : Normal

 

 

#:43 [njeeves.exe]

FilePath : C:\NORMAN\Nvc\BIN ProcessID : 2132

ThreadCreationTime : 2004-10-21 19:35:28

BasePriority : Normal

 

 

#:44 [nipsvc.exe]

FilePath : C:\NORMAN\Nvc\BIN ProcessID : 2164

ThreadCreationTime : 2004-10-21 19:35:28

BasePriority : Normal

 

 

#:45 [nip.exe]

FilePath : C:\NORMAN\Nvc\BIN ProcessID : 2312

ThreadCreationTime : 2004-10-21 19:35:28

BasePriority : Normal

 

 

#:46 [npfmsg2.exe]

FilePath : C:\NORMAN\Nvc\BIN ProcessID : 2688

ThreadCreationTime : 2004-10-21 19:35:31

BasePriority : Normal

FileVersion : 1, 2, 0, 0

ProductVersion : 1, 2, 0, 0

ProductName : NPFMessenger Application

FileDescription : NPFMessenger MFC Application

InternalName : NPFMessenger

LegalCopyright : Copyright © 2000

OriginalFilename : NPFMessenger.EXE

 

#:47 [npfsvice.exe]

FilePath : C:\NORMAN\Nvc\BIN ProcessID : 4084

ThreadCreationTime : 2004-10-21 19:35:32

BasePriority : Normal

 

 

#:48 [cclaw.exe]

FilePath : C:\NORMAN\Nvc\BIN ProcessID : 3248

ThreadCreationTime : 2004-10-21 19:35:34

BasePriority : Normal

 

 

#:49 [ad-aware.exe]

FilePath : C:\Program\Lavasoft\Ad-Aware SE Personal ProcessID : 416

ThreadCreationTime : 2004-10-21 19:36:11

BasePriority : Normal

FileVersion : 6.2.0.206

ProductVersion : VI.Second Edition

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved

 

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

 

 

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

 

 

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

 

 

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

 

 

 

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for C:»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

 

 

Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

2 entries scanned.

New critical objects:0

Objects found so far: 0

 

 

21:51:18 Scan Complete

 

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:14:41.922

Objects scanned:178491

Objects identified:0

Objects ignored:0

New critical objects:0

[/log]

 

HiJack:

[log]

Logfile of HijackThis v1.98.2

Scan saved at 21:53:44, on 2004-10-21

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTSvcCDA.EXE

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Norman\NVC\BIN\Zanda.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\WINDOWS\system32\Smartscaps.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\ATI-CPanel\atiptaxx.exe

C:\Program\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Program\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\System32\CTHELPER.EXE

C:\WINDOWS\System32\ezSP_Px.exe

C:\Program\Delade filer\Real\Update_OB\evntsvc.exe

C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe

C:\Program\QuickTime\qttask.exe

C:\Norman\NVC\BIN\ZLH.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Creative\MediaSource\RemoteControl\RcMan.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program\SmartTrust\SmartTrust Personal\Csp\SmartCertmover.exe

C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\system32\wfxsnt40.exe

C:\Program\Symantec\WinFax\wfxctl32.exe

C:\Program\Symantec\WinFax\WFXMOD32.EXE

C:\NORMAN\Nvc\BIN\nvcoas.exe

C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

C:\NORMAN\Nvc\BIN\NYMSE.EXE

C:\NORMAN\Nvc\BIN\NJEEVES.EXE

C:\NORMAN\Nvc\BIN\nipsvc.exe

C:\NORMAN\Nvc\BIN\NIP.EXE

C:\NORMAN\Nvc\BIN\npfmsg2.exe

C:\NORMAN\Nvc\BIN\NPFSVICE.EXE

C:\NORMAN\Nvc\BIN\cclaw.exe

C:\HiJack\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O1 - Hosts: 64.91.255.87 www.dcsresearch.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.3000.1001\sv\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.3000.1001\sv\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [CTSysVol] "C:\Program\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe"

O4 - HKLM\..\Run: [CTDVDDet] C:\Program\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [sBDrvDet] "C:\Program\Creative\SB Drive Det\SBDrvDet.exe" /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [TkBellExe] C:\Program\Delade filer\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] "C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe"

O4 - HKLM\..\Run: [PSDrvCheck] "c:\program\pinnacle\liquid edition demo\program\PSDrvCheck.exe" -CheckReg

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [msnappau] "C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [THGuard] "C:\Program\TrojanHunter 4.0\THGuard.exe"

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Program\Creative\MediaSource\RemoteControl\RcMan.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [spySweeper] "C:\Program\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Startup: WinFax Application Port Starter.lnk = C:\WINDOWS\system32\wfxsnt40.exe

O4 - Startup: WinFax PRO Controller.lnk = C:\Program\Symantec\WinFax\wfxctl32.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Certificate Mover.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Program\Microsoft interaktiv träning\O10C\mitm0026.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2B8781EC-5B2C-44BB-9D68-EE70365BFE17}: NameServer = 195.67.199.18,195.67.199.19

[/log]

 

Hur ser det ut, verkar det finnas nåt misstänkt kvar?

 

Mvh

Hultas

 

Link to comment
Share on other sites

Hej Hultas :)

 

Du är beundransvärd *ler*

Jag som var så otroligt osäker på den här metoden.

Då har man lärt sig något nytt nu då *skratt*

 

Ad-Aware-loggen är ren och fin.

Inga konstigheter eller otrevligheter finns att hitta.

 

HJT-loggen:

Det enda jag hittar är den här nedanstående detaljen som du kan bocka och fixa:

Öppna HJT. Klicka på Scan-knappen. Bocka för nedanstående detalj. Klicka på Fix checked-knappen. Starta om datorn

O1 - Hosts: 64.91.255.87 www.dcsresearch.com

 

Ber att få gratulera till en ren och fin dator (bortsett från ovanstående detalj).

Jag är full av beundran över vad du har gjort.

Och jag håller alla tummar jag kan för att det här skall bestå nu, så det inte kommer tillbaka.

Du har gjort ett utomordentligt jobb.

 

MVH/Malou

 

 

 

 

****Ha en fortsatt underbar dag****

 

Team Lavasoft

Lavasupporten

 

 

[inlägget ändrat 2004-10-21 22:46:33 av malou jansson]

Link to comment
Share on other sites

Hej igen!

Tack för alla tips och stort engagemang.

Nu funkar burken som den ska igen och jag har uppgraderat till SP2, vilket inte gick när virusen härjade i systemet. Hustrun som är "försteanvändare" av denna dator, sänder också ett stort tack för att hon nu kan återuppta sin filmredigering vilken inte heller gick att köra med "sjuk" dator.

 

Jag ser nu att jag skrev fel i rubriken från början. Det skulle egentligen ha stått 680180.net, men det är väl överspelat nu!

 

Hjärtligt tack

från

Hultas

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...