Nu funkar, men sen???

[losssst]

Hej alla här. Ny dag i dag :-)

Igår blev min hela dag förstörd och det började med datan som inte ville fungera korrekt. Gav upp o stängde av den, satt på den nu och plötsligt är den lite snabbare och jag kommer in i sidor jag vill......Lyckades ladda hem hijackThis och gissa om den var lååång. Är det nån som kan tolka de, för jag vet inte vad jag ska delate. klistrar här o hoppas på hjälp

 

[log]

 

Logfile of HijackThis v1.99.1

Scan saved at 15:19:11, on 2005-04-09

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Norman\Bin\Zanda.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Norman\bin\NJEEVES.EXE

C:\WINNT\Explorer.EXE

C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe

C:\Norman\bin\ZLH.EXE

C:\Program\Yahoo!\Messenger\ymsgr_tray.exe

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\BIN\NIP.EXE

C:\Norman\Nvc\BIN\npfmsg2.exe

C:\Norman\Nvc\bin\nvcoas.exe

C:\NORMAN\Nvc\BIN\nipsvc.exe

C:\NORMAN\Nvc\BIN\NPFSVICE.EXE

C:\Norman\Nvc\bin\cclaw.exe

C:\WINNT\system32\taskmgr.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administratör\Skrivbord\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html'>http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.se/'>http://www.msn.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.se/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.3000.1001\sv\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.3000.1001\sv\msntb.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [blubster] C:\Program\Blubster\Blubster.exe SILENT

O4 - HKLM\..\Run: [msnappau] "C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program\Yahoo!\Messenger\ypager.exe -quiet

O16 - DPF: ChatSpace Java Client - http://chat.asmarino.com:8000/Java/cs4.cab

O16 - DPF: ChatSpace JavaLight Client - http://chat.asmarino.com:8000/Java/cslt4.cab

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by14fd.bay14.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12cecf7f487b84c04915/netzip/RdxIE601.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://sakerhet.bredband.net/ols/fscax.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v6.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE

 

[/log]

 

 

 

[Anjuna Moon]

Någon annan får kolla din logg för jag måste iväg om en stund, men den var inte alls farligt lång (därmed inte sagt att det kanske inte finns ett och annat som skall bort)

 

Jag tror det problem du hade igår helt enkelt berodde på att den DNS-server som din leverantör använder sig av hade problem. Det förklarar varför du kom in på vissa sidor men inte andra (pga att du haft vissa IP-nr cachade i datorn och för dessa sajter behövdes alltså ingen namnuppslagning, vilket är vad DNS-servern sysslar med, konverterar webbadresser till IP-nr)

 

[Cecilia]

Inte mycket att klaga på i den loggen.

 

Vet du vad C:\Program\Blubster är?

En del rekommenderar att det ska bort medan andra tycker att det kan vara kvar.

 

Kan du leta upp filen:

C:\WINNT\SYSTEM32\nwprovau.dll

i Utforskaren och titta på dess Egenskaper. Kan man se någon Copyright eller annat som knyter den till en visst företag, t ex Microsoft? Stämmer filens datum med övriga datum för Windows-filer i din dator.

 

En sak bör i alla fall fixas.

Skapa en ny mapp till HijackThis, t ex C:\Hjt, och flytta HijackThis dit så att den kan skapa sina säkerhetskopior ordentligt, vilket inte går så bra när den ligger på Skrivbordet.

Kör HijackThis och skanna. Bocka för detta:

 

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12cecf7f487b84c04915/netzip/RdxIE601.

cab

 

Välj detta själv:

För att få din dator lite snabbare så kan du boka för även denna rad:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

 

Avsluta alla program och fönster förutom HijackThis.

Tryck på Fix checked.

Starta om datorn.

 

Skanna din dator med dessa online-skanningar:

http://housecall.antivirus.com/housecall/start_corp.asp

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

så får vi se hur du har det med virus.

 

[losssst]

Hej alla här.

Måste tacka ännu en gång och särskillt Cecilia om det tip jag fick.

Nåt stämmer inte men jag vet inte vad det kan vara. Svårt att upptäcka det, men datan går nu mkt bättre.

 

Av:

Kan du leta upp filen:

C:\WINNT\SYSTEM32\nwprovau.dll

i Utforskaren och titta på dess Egenskaper. Kan man se någon Copyright eller annat som knyter den till en visst företag, t ex Microsoft? Stämmer filens datum med övriga datum för Windows-filer i din dator.

 

verka ok.

 

scannade och fick resultat:

 

[log]

Incident Status Location

 

Adware:Adware/WebHancer No disinfected C:\WINNT\webhdll.dll*

Adware:Adware/Twain-Tech No disinfected C:\WINNT\smdat32a.sys

Spyware:Spyware/Altnet No disinfected Windows Registry

Adware:Adware/P2PNetworking No disinfected C:\Documents and Settings\Administratör\Lokala inställningar\Temp\p2psetup.exe

Adware:Adware/WebHancer No disinfected C:\Documents and Settings\Administratör\Lokala inställningar\Temp\temp.fr2530

Adware:Adware/WebHancer No disinfected C:\Documents and Settings\Administratör\Lokala inställningar\Temp\temp.fr8B91\Programs\whiehlpr.dll

Adware:Adware/WebHancer No disinfected C:\Documents and Settings\Administratör\Lokala inställningar\Temp\temp.frEB4D

Adware:Adware/nCase No disinfected C:\Documents and Settings\Administratör\Mina dokument\misstänkt\SoftwareInstall.exe

Adware:Adware/WebHancer No disinfected C:\Program\Blubster\whcc-1.exe

Adware:Adware/WebHancer No disinfected C:\Program\Blubster\whcc-1.exe[whInstaller.ini]

Adware:Adware/WebHancer No disinfected C:\Program\Blubster\whcc-1.exe[whAgent.inf]

Adware:Adware/WebHancer No disinfected C:\Program\Blubster\whcc-1.exe[WhAgent.exe]

Adware:Adware/WebHancer No disinfected C:\Program\Blubster\whcc-1.exe[whInstaller.exe]

Adware:Adware/WebHancer No disinfected C:\Program\Blubster\whcc-1.exe[WhSurvey.exe]

Adware:Adware/WebHancer No disinfected C:\Program\Blubster\whcc-1.exe[Webhdll.dll]

Adware:Adware/WebHancer No disinfected C:\Program\Blubster\whcc-1.exe[whiehlpr.dll]

Adware:Adware/Gator No disinfected C:\WINNT\Downloaded Program Files\GainPlugin.dll

Adware:Adware/WebHancer No disinfected C:\WINNT\webhdll.dll_tobedeleted

 

 

[/log]

 

Nån som kan det här.

Tack i förhand!!

 

[losssst]

Hej igen!!

 

Måste bara fråga om det spelar nån roll med vad man scannar sin dator med. Isåfall vilken är bäst...

Är det dåligt att man använder flera olika. Hade en som hette Commandantiv. Bytte till nuvarande NAV (norman), men inte nöjd för den visar bara filer som inte gick att scanna. Fast hört den ska vara en av de bästa.

Sen har vi online scan:

Housecall som visade noll.

Panda som visade mest spyware (tror jag).

Och sist men inte minst online scanning av F-Secure fick jag det här resultatet:

 

 

[log]

Finished: 1 virus found

 

Scanned files: 18556 Warning: 1 file(s) still infected!

 

 

C:\WINNT\Downloaded Program Files\axload.dll Trojan.Win32.Dialer.ep

 

C:\WINNT\Downloaded Program Files\axload.dll Trojan.Win32.Dialer.ep

 

C:\WINNT\Downloaded Program Files\axload.dll Trojan.Win32.Dialer.ep

 

C:\WINNT\Downloaded Program Files\axload.dll Trojan.Win32.Dialer.ep

 

 

[/log]

 

Det konstiga är att jag gått in i filerna för att ta bort den men den är inte me, Vad betyder det??

Är jag nojig eller e det nåt här. Det tar aldrig slut.

 

Tack i förhand:)

 

[Zipp.]

Sök och ta bort

 

C:\WINNT\webhdll.dll

C:\WINNT\smdat32a.sys

C:\WINNT\Downloaded Program Files\GainPlugin.dll

C:\WINNT\webhdll.dll_tobedeleted

C:\Documents and Settings\Administratör\Mina dokument\misstänkt\SoftwareInstall.exe

 

Töm denna Temp mappen (ta inte bort den)

 

C:\Documents and Settings\Administratör\Lokala inställningar\Temp

 

Sen detta:

 

C:\Program\Blubster\whcc-1.exe

 

Här får du välja själv för att tar man bort whcc-1.exe så kanske Blubster funkar inte längre.

 

 

> men den är inte me <

 

Öppna Hijackken

Config.. > Misc Tools > Delete a file on reboot

Sen kopiera och klistra in detta rad dit

 

C:\WINNT\Downloaded Program Files\axload.dll

 

Öppna den dit och starta om datorn

 

 

[inlägget ändrat 2005-04-12 10:42:08 av Zipp.]

[Cecilia]

Tack för poängen!

 

Hoppas du med Zipp.s anvisningar får bort dina andra otrevliga filer också.

 

För att se alla filer som finns på datorn kan man behöva göra några inställningar i Utforskaren:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

Det är så att olika antivirusprogram hittar lite olika saker, det går inte att säga att någon är bättre än någon annan i alla avseenden. Det gäller att hitta någon man trivs med och förstår sig på som man har installerat och så kompletterar man med att köra någon online-skanning lite då och då.

 

Speciellt när man kommer till sådant som inte är virus utan dialers (som F-secure hittade) och annons- och spionprogram (som Panda hittade) så kan det skilja mycket mellan olika program vad de hittar.

 

Commandantiv har jag dock aldrig hört talas om.

 

[losssst]

Hej Zipp. Följde dit råd men det gick inte så bra.

 

Fick bort 3 av 5 filer, men de andra två hittar jag inte.

De jag inte hittade är:

 

C:\WINNT\webhdll.dll

C:\WINNT\Downloaded Program Files\GainPlugin.dll

 

I sök o ta bort.

Cecilias råd att avbocka var redan iordning men jag hade inte den sista där jag skulle bocka för visa innehållet i....

 

Sen i töm men inte ta bort.....Vet jag inte vad du menar. Mappen temp innehåller mkt mappar och filer som verkar viktiga. Hur gör jag isåfall att tömma den.

 

 

Och sista var lyckat att ta bort med HijackThis Kanske man kan också göra de två filer som inte med på samma sätt, eller??

 

Taaackar i förhand.

 

[Zipp.]

> Kanske man kan också göra de två filer som inte med på samma sätt, eller?? <

 

Ja gör det

 

Skriv i Kör fältet cleanmgr och Ok

Bocka i dom här och putsa bort dom.

 

Temporary Files

Temporary Internet Files

Recycle Bin