Just nu i M3-nätverket
Jump to content

Jag blir seriöst galen!!!!


~*Linda*~

Recommended Posts

Hjälp någon!!!

 

Jag kan inte ändra min startsida och jag har finkammat tidigare diskussioner kring detta här och jag har kört följande program utan resultat:

 

Panda Platinium 2005

Ad-Aware (med senaste updatering)

Spybot

CWShredder

HijackThis med följande log:

[log]Logfile of HijackThis v1.99.1

Scan saved at 22:23:57, on 2005-03-24

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\system32\MMTrayLSI.exe

C:\WINDOWS\system32\MMTray2k.exe

C:\WINDOWS\system32\MMTray.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\QuickTime\qttask.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE

C:\Program\Messenger\msmsgs.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\iPod\bin\iPodService.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\alg.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

C:\Program\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program\Outlook Express\msimn.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\devldr32.exe

C:\Program\Windows Media Player\wmplayer.exe

C:\WINDOWS\regedit.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\IFACE.EXE

C:\Documents and Settings\Familjen Molnegren\Skrivbord\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tradera.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O3 - Toolbar: (no name) - {EB381422-F797-4A98-A266-9DC490821907} - (no file)

O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe

O4 - HKLM\..\Run: [Microsoft JavaVM] msjarun.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe

O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe

O4 - HKLM\..\Run: [MMTray] MMTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe

O4 - HKLM\..\RunServices: [Microsoft JavaVM] msjarun.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [Video Process] MSlti64.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Microsoft JavaVM] msjarun.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095279651903

O17 - HKLM\System\CCS\Services\Tcpip\..\{4131A129-AA32-4BFB-8769-BC8A3BB30F95}: NameServer = 195.67.199.39 195.67.199.40

O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin11.dll

O23 - Service: iPod-tjänst (iPodService) - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

[/log]

 

Jag har även kört allt detta i felsäkert läge + att jag har meckat i registret (ändrat till min startsida)

Sidan som kommer upp är: http://69.50.164.196/?said=heaven2 "Lions-Search"

 

Finns det någon vänlig själ som kan förbarma sig över mig och mitt problem, annars finns risken att burken med tillhörande kringutrustning hamnar på en kvast till Blåkulla....

 

Link to comment
Share on other sites

Anjuna Moon

Kör HijackThis igen, markera följande rader och välj "Fix checked"

O3 - Toolbar: (no name) - {EB381422-F797-4A98-A266-9DC490821907} - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)

 

Link to comment
Share on other sites

Det hjälpte tyvärr inte. Finns det nåt mer program jag bör köra, snart sitter man och ägnar 50% av tiden vid datorn till att jaga virus, trojaner, spioner och annat skit...ack vad trött jag blir!!!!!

 

Link to comment
Share on other sites

Anjuna Moon

Titta i filen C:\WINNT\system32\drivers\etc\hosts (kan vara C:\windows\system32\drivers\etc\hosts också) (utan filändelse)

Använd Notepad eller Wordpad för att titta i den. Vad listar den för IP-nr i den (titta bara på rader som inte inleds med #)

 

Bootade du om datorn efter att du rensat i HJT? Det kanske finns mer att rensa där, någon annnan kanske har lust att ta en titt?

 

Link to comment
Share on other sites

Japp jag startade om efter rensningen och IP-nr som jag får fram utan # är följande: 127.0.0.1 localhost

 

En liten fråga bara: vad gjorde jag precis?!

 

Link to comment
Share on other sites

Anjuna Moon

Ok, din hostsfil ser ut som den skall då.

 

En liten fråga bara: vad gjorde jag precis?!

I HijackThis menar du? Du rensade bort ett antal filer som är kända som MalWare. Sådana har en förmåga att just peka om till specifika adresser när man försöker surfa. Hur ser din logg ut nu?

 

Link to comment
Share on other sites

Jag mnade vad det var jag gjorde när jag kollade upp mappen etc?

 

Och loggen ser ut som följer:

[log]

Logfile of HijackThis v1.99.1

Scan saved at 23:33:56, on 2005-03-24

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\system32\MMTrayLSI.exe

C:\WINDOWS\system32\MMTray2k.exe

C:\WINDOWS\system32\MMTray.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\QuickTime\qttask.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE

C:\Program\Messenger\msmsgs.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\iPod\bin\iPodService.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\alg.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

C:\Program\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\devldr32.exe

C:\Program\Outlook Express\msimn.exe

C:\Program\Windows Media Player\wmplayer.exe

C:\Documents and Settings\Familjen Molnegren\Skrivbord\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tradera.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe

O4 - HKLM\..\Run: [Microsoft JavaVM] msjarun.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe

O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe

O4 - HKLM\..\Run: [MMTray] MMTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe

O4 - HKLM\..\RunServices: [Microsoft JavaVM] msjarun.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [Video Process] MSlti64.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Microsoft JavaVM] msjarun.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095279651903

O17 - HKLM\System\CCS\Services\Tcpip\..\{4131A129-AA32-4BFB-8769-BC8A3BB30F95}: NameServer = 195.67.199.39 195.67.199.40

O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin11.dll

O23 - Service: iPod-tjänst (iPodService) - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

 

[/log]

 

Link to comment
Share on other sites

Anjuna Moon

Jag hittade fler poster som du ska ta bort. Framförallt den rödmarkerade tror jag är lösningen på ditt problem.

[log]

O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe

O4 - HKLM\..\Run: [Microsoft JavaVM] msjarun.exe

O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe

O4 - HKLM\..\RunServices: [Microsoft JavaVM] msjarun.exe

O4 - HKCU\..\Run: [Microsoft JavaVM] msjarun.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4131A129-AA32-4BFB-8769-B

C8A3BB30F95}: NameServer = 195.67.199.39 195.67.199.40

O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)

[/log]

 

Vad gäller hostsfilen så kan gammaldags hijacks ändra i den för att surfa till felaktiga sidor. Men som sagt det ser ut som den skall. Fixa ovanstående och kontrollera sedan med HijackThis igen att de verkligen togs bort.

 

EDIT: Ta bara bort den rödmarkerade posten om IP-numren inte är de som din internetleverantör angett är dina tilldelade DNS-adresser

[inlägget ändrat 2005-03-24 23:49:59 av Anjuna Moon]

Link to comment
Share on other sites

Konstigt att inte Panda tar bort den spyware som du har fått (i alla fall delar av den).

 

 

Bocka för och radera de här raderna:

 

O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe

O4 - HKLM\..\Run: [Microsoft JavaVM] msjarun.exe

O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe

O4 - HKLM\..\RunServices: [Microsoft JavaVM] msjarun.exe

O4 - HKCU\..\Run: [Video Process] MSlti64.exe

O4 - HKCU\..\Run: [Microsoft JavaVM] msjarun.exe

 

 

O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin11.dll

 

Sen kör du Panda och tar bort det som programmet rekommenderar. Panda bör ta bort muamgrd.exe, msjarun.exe osv. Om Panda inte hittar något under sökning så bör du avinstallera det och använda något annat bättre antivirusprogram. Jag har haft lycka med Kaspersky antivirus som finns att ladda ner som testversion:

 

http://d-ru-1h.kaspersky-labs.com/trial/registered/2T17J48017F63KM1T941/kav5.0trial_personalen.exe

 

Om Kaspersky inte hittar något under manuell sökning så kan det ändå hitta skadliga filer om man låter programmet rulla på i bakgrunden.

 

Du bör också köra Ad-Aware och Spybot igen och se om de kan ta bort något.

 

 

EDIT: Ja det blev tårta på tårta när även Anjuna Moon svarade med ungefär samma resultat.

 

[inlägget ändrat 2005-03-24 23:52:10 av znej]

Link to comment
Share on other sites

Ja, det verkar vara OK IP-nummer:

 

[log]Trying whois for 195.67.199.39...

Connection established.

 

GeekTools Whois Proxy v5.0.4 Ready.

Checking access for 81.XXX.XXX.XXX... ok.

Final results obtained from whois.ripe.net.

Results:

% This is the RIPE Whois query server #1.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/db/copyright.html

 

inetnum: 195.67.198.0 - 195.67.207.255

netname: TELIANET

descr: Telia Network services

descr: ISP

country: SE

admin-c: TR889-RIPE

tech-c: TR889-RIPE

status: ASSIGNED PA

notify: mntripe@telia.net

mnt-by: TELIANET-LIR

changed: rr@telia.net 19970910

changed: rr@telia.net 19990107

changed: anna.s@telia.net 19990224

changed: eva@telia.net 20040309

source: RIPE

 

route: 195.67.0.0/16

descr: TELIANET-BLK

origin: AS3301

mnt-by: TELIANET-RR

changed: hh@telia.net 19970521

source: RIPE

 

role: TeliaNet Registry

address: TeliaSonera AB Networks

address: Carrier & Networks

address: Marbackagatan 11

address: SE-123 86 Farsta

address: Sweden

fax-no: +46 8 6047006

e-mail: ip@telia.net

e-mail: registry@telia.net

e-mail: dns@telia.net

e-mail: backbone@telia.net

admin-c: AA90-RIPE

tech-c: AA90-RIPE

tech-c: LK221-RIPE

tech-c: YL39-RIPE

tech-c: IC106-RIPE

tech-c: ACA-RIPE

tech-c: UL302-RIPE

tech-c: EC1084-RIPE

tech-c: JS7984-RIPE

tech-c: OE207-RIPE

tech-c: EER2-RIPE

tech-c: RR6890-RIPE

tech-c: PJ2540-RIPE

tech-c: IF264-RIPE

tech-c: LS483-RIPE

tech-c: AF145-RIPE

tech-c: VB1108-RIPE

nic-hdl: TR889-RIPE

notify: mntripe@telia.net

mnt-by: TELIANET-LIR

changed: fia@telia.net 20020319

changed: eva@telia.net 20020821

changed: eva@telia.net 20031014

changed: eva@telia.net 20040419

changed: eva@telia.net 20040817

source: RIPE

 

 

 

Results brought to you by the GeekTools WHOIS Proxy

Server results may be copyrighted and are used with permission.

Your host (81.XXX.XXX.XXX) has visited 3 times today.

 

 

 

[/log]

 

Är det copyright på det här? Det är väl ändå ok att lägga ut för det står ju att det kommer från GeekTools.....

 

[inlägget ändrat 2005-03-24 23:57:00 av znej]

[inlägget ändrat 2005-03-24 23:58:45 av znej]

Link to comment
Share on other sites

Hej Linda!

Det du gjorde var att du var inne och petade i filen C:\windows\system32\drivers\etc\hosts, vilket är HOSTS-textfilen som oftast finns i alla 'civiliserad' operativsystem ,Unix, Linux, *BSD, you name it(SIC, den finns även i MS-DOS.). Det är den enklaste formen av lista över vilka IP-adresser som datorn ska kunna se. Den finns lagrad på din egen dator, och är därför 'jobbig' att arbeta med, när en dator i nätverket ändras så måste alla datorer få ny version av HOSTS-filen. Men, nu är vi tillbaka på nätverk i DOS-nivå. Alltså INNAN windows 95. 1990?? Men den finns fortfarande, tillochmed i Windows 2003 tror jag, och defintivt i Windows XP. Och 95/98/ME/NT.

 

/Mathias

 

Link to comment
Share on other sites

Hmmm..nu blev det mycket på en gång. Jag tog bort ALLT som du rek. även de som INTE var rödmarkerat och jag har ingen aning om de var mina tilldelade DNS-adresser. (Är inte så hemma på det här)

 

Nu ser loggen ut så här

[log]

Logfile of HijackThis v1.99.1

Scan saved at 23:59:05, on 2005-03-24

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\system32\MMTrayLSI.exe

C:\WINDOWS\system32\MMTray2k.exe

C:\WINDOWS\system32\MMTray.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\QuickTime\qttask.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE

C:\Program\Messenger\msmsgs.exe

C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\iPod\bin\iPodService.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\alg.exe

C:\Program\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

C:\Program\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Outlook Express\msimn.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\devldr32.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Familjen Molnegren\Skrivbord\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tradera.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe

O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe

O4 - HKLM\..\Run: [MMTray] MMTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [Video Process] MSlti64.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095279651903

O17 - HKLM\System\CCS\Services\Tcpip\..\{4131A129-AA32-4BFB-8769-BC8A3BB30F95}: NameServer = 195.67.199.39 195.67.199.40

O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin11.dll

O23 - Service: iPod-tjänst (iPodService) - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

 

[/log]

Och nr 23 som är rödmarkerad vill inte försvinna, och min j-vla Lions-search hänger fortfarande med som en igel.

 

Jag fattar inte riktigt vad du menar med att posten borde ligga kvar, jag tog bort allt och mitt bredband funkar fortfarande (fast det har kanske inte med det att göra).

 

Och enligt Panda så är allt OK?!

 

Link to comment
Share on other sites

Nu fick jag upp den här rutan:

 

[bild bifogad 2005-03-25 00:17:13 av ~*Linda*~]

[bild bifogad 2005-03-25 00:18:00 av ~*Linda*~]

 

Varför kommer inte bilden med?!

[inlägget ändrat 2005-03-25 00:18:58 av ~*Linda*~]

693733_thumb.jpg

Link to comment
Share on other sites

Försöker skicka med bilden

 

[bild bifogad 2005-03-25 00:21:34 av ~*Linda*~]

 

Det går inte att få med bilden "Fel på sidan"

 

Men det står att "An unexpected error has occured at procedure: modBackup_MakeBackup(sItem=020 - AppInit_DLLs: C:\Windows\System32\dbgwin11.dll) Error#5 - Invalid procedure call or argument...

 

Vad gjorde jag nu...är det dax att skicka burken till Blåkulla?

[inlägget ändrat 2005-03-25 00:29:56 av ~*Linda*~]

693734_thumb.jpg

Link to comment
Share on other sites

Bilden är redan bifogad. Klicka på det lilla gemet lite övanför själva meddelandet (till höger om ditt användarnamn). Sen bör du vara försiktig när du tar bort saker med HijackThis. Har du tur kanske Cecilia - Eforums spyware expert - ser den här tråden.

 

/OZn

_______________________________________________________

Microchips - De små potatisflingorna du äter allra sist i chipspåsen

 

Link to comment
Share on other sites

Anjuna Moon

Hm, jag är inte säker på vad mer som skall göras. Den posten som jag först rekommenderade dig att ta bort hade att göra med dina dns-adresser. En hijack kan ändra dessa så att deras egna servrar används för att bestämma vart du ska hamna när du skriver in adresser i browsern. Men eftersom det verkar vara legitima adresser ska den ligga kvar (vilket den gör såg jag)

 

Försök återkomma och se om du kan få hjälp av en duktig tjej härinne, användarnamn Cecilia. Hon är bättre på hijackloggar än jag är.

 

Link to comment
Share on other sites

Haaa, nu känner jag mig superdum, missade visst det lilla gemet!

 

Och jag vet att man inte bör härja skoningslöst i Hijack men jag är så frustrerad att jag snart inte bryr mig om hela datorn lägger av i en djup suck - fattar inte att jag skrev det för jag blir tokgalen om den lägger av!!!

 

Link to comment
Share on other sites

Tusen tack för all hjälp iaf!!! Jag meckar vidare och det finns ju alltid format c att tillgå, det bör väl få Lions-Search på fall om inget annat....

 

Tack!

 

/Linda

 

Link to comment
Share on other sites

Anjuna Moon

Ey, nu har jag hittat boven:

 

O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin11.dll

 

Get rid of that bastard ;) så slipper du donera burken till häxorna...

 

EDIT: Dock ser jag att andra som försökt ta bort den ur HijackThis inte lyckats. Men det är garanterat den som lägger dit Lions-skräpet. Ska leta vidare och se hur man tar bort den för gott.

[inlägget ändrat 2005-03-25 00:48:35 av Anjuna Moon]

Link to comment
Share on other sites

Jag har försökt att ta bort den men som du vet så går det inte...kan man inte mecka bort den manuellt tro?

 

Link to comment
Share on other sites

Anjuna Moon

Det var inte mycket att hitta dessvärre. Om inte HijackThis lyckas ta bort den så försök med följande:

 

- Kör "cmd" från Start->Kör program (Start->Run)

- Skriv in regsvr32 /u dbgwin11.dll och tryck enter

- Skriv in del C:\WINDOWS\System32\dbgwin11.dll och tryck enter.

 

 

Link to comment
Share on other sites

Jag hamnar i ett dosfönster och i min egen katalog, ska jag inte gå ur den först så att jag står i C:/ eller? Har ingen aning om vad jag ska göra, får bara upp att det inte är ett internt eller externt kommando?!

 

Link to comment
Share on other sites

HURRA!!!!! Du är fan dagens hjälte, plötsligt är filen borta och jag har min startsida tillbaks!!! Vet inte riktigt hur det gick till men nu är den borta iaf, och INGEN är gladare än jag! TJOHO!!!

 

TUSEN TACK ÄNNU EN GÅNG!!!!! och håll nu tummarna att den håller sig borta!!!!

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...