Just nu i M3-nätverket
Gå till innehåll

liten log att kasta er över.


Stefanc4data

Rekommendera Poster

Stefanc4data

Hejsan.

 

Bidrar med en liten hijack this log. som kanske är kul att skuma igenom. har kört adaware och hittat massor.

 

Men jag undrar om där finns mycket skit kvar. Har nån tid och känner för det så får nån gärna hjälpa mig.

 

[log]

Logfile of HijackThis v1.99.1

Scan saved at 17:19:37, on 2005-04-29

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\CTSvcCDA.EXE

C:\Program\SYMANT~1\SYMANT~1\DefWatch.exe

C:\WINDOWS\system32\HPConfig.exe

C:\Program\HPQ\Notebook Utilities\HPWirelessMgr.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program\Citrix\ICA Client\ssonsvr.exe

C:\WINDOWS\Explorer.EXE

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\carpserv.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\vptray.exe

C:\Program\Ahead\InCD\InCD.exe

C:\Program\DELADE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe

C:\Program\Lexmark X1100 Series\lxbkbmgr.exe

C:\Program\Fellowes\MediaFACE 4.0\SetHook.exe

C:\Program\QuickTime\qttask.exe

C:\Program\Lexmark X1100 Series\lxbkbmon.exe

C:\Program\Telia\Supportassistent\bin\tgcmd.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\COMMON~1\mzow\mzowm.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\COMMON~1\mzow\mzowa.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program\COMMON~1\mzow\mzowl.exe

C:\hijack this\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://win-eto.com/hp.htm?id=11316

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKLM\..\Run: [Cpqset] C:\Program\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Display Settings] C:\Program\HPQ\Notebook Utilities\hptasks.exe /s

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [vptray] C:\Program\Symantec_Client_Security\Symantec AntiVirus\vptray.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\Program\DELADE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [MediaFace Integration] C:\Program\Fellowes\MediaFACE 4.0\SetHook.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TeliaTGCMD] "C:\Program\Telia\Supportassistent\bin\tgcmd.exe" /server /startmonitor /deaf

O4 - HKLM\..\Run: [dnscleaner] C:\WINDOWS\dnscleaner.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [mzow] C:\Program\COMMON~1\mzow\mzowm.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = videoide.se

O17 - HKLM\Software\..\Telephony: DomainName = videoide.se

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = videoide.se

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = videoide.se

O20 - AppInit_DLLs: 561tbreohx2e4bl.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE

O23 - Service: DefWatch - Symantec Corporation - C:\Program\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program\HPQ\Notebook Utilities\HPWirelessMgr.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program\SYMANT~1\SYMANT~1\Rtvscan.exe

 

[/log]

 

mvh stefan

 

Länk till kommentar
Dela på andra webbplatser

Halloj, verkar som om du lider av en CwS infektion, fast verkar bara vara några rester kvar.

 

Skriver ner hur du får bort allt som har med CWS att göra innan vi fixar något i HijackThis. Efter du har gjort allt som jag postade i LOG posta hit en ny HJT logg, även loggen från mwav.

 

[log]Kör CWShredder

Ladda ner CWShredder till skrivbordet eller annat ställe. Stäng alla internet fönsterm dubbelklicka CWShredder ikonen att starta, kolla updates först och klicka senan Fix -> knappen. När den är klar, starta om och kör resterande program.

http://cwshredder.net/bin/CWShredder.exe

 

Töm innehållet i dina temp mappar såsom C:\documents and settings\ditt namn\lokala inställningar\temp och temporary internet files. Och även C:\windows\temp

 

Vill du ha hjälp med det så kan du tanka ner detta program

 

Empty Temp Folders 2.8.3

http://www.majorgeeks.com/download1575.html

 

Kör Ad-Aware

Glöm inte att uppdatera! Tryck sen på start och välj "full system scan" och välj bort "search for negligible risk entries" Ta bort allt

 

Spybot-Search & Destoy

http://www.download.com/Spybot-Search-Destroy/3000-8022-10289035.html?tag=list

Ladda ner, ladda ner alla updates och scanna o ta bort

 

Ladda ner Microsofts AntiSpyware beta härifrån:

http://www.microsoft.com/athome/security/spyware/software/default.mspx

 

Update spyware databasen genom att klicka "Spyware Definitions"

Ladda ner updaten och starta om programet, låt den scanna och ta bort allt som har med Spyware att göra

 

Scanna med några Onlinescanners, (åtminstonde 2 stycken)

 

housecall.trendmicro.com/

www.pandasoftware.com/activescan

www.kaspersky.com/scanforvirus

 

 

Scanna sedan datorn med denna scanner

 

http://www.spywareinfo.dk/download/mwav.exe

 

Dubbelklicka på mwav.exe sen klicka Unzip och den skapar automatiskt en ny mapp C:\Kapersky

Sen öppna Kapersky mappen och dubbelklicka på kavupd.exe och leta uppdateringar.

När den är klar så tryck på nån tangent och det blir automatiskt 2 nya mappar på C:\

 

C:\Bases

C:\Downloads

 

Öppna Downloads mappen och måla alla filer och Klipp ut

Klicka på Kapersky mappen och klistra in och svara ja till alla.

Sen öppna Kapersky mappen och dubbelklicka på mwavscan.com

Bocka i Drive och Scan All Files.

Sen klicka på Scan och låt den scanna klart.(kan ta upp till 2 timmar)

Kopiera det som blir i nedre fönster.

Först måla svart sen Ctrl+C (kopiera)

Sen Ctrl+V (klista in)

 

Skicka hit loggen från scannen,alltså allt som kommer i nedre fönster.[/log]

 

[inlägget ändrat 2005-04-29 18:50:40 av diGitahL]

Länk till kommentar
Dela på andra webbplatser

Stefanc4data

Halloj själv.

 

Tack för dina fina instruktioner jag har följt dem till punkt o pricka.

 

loggen från mwav kommer här, jag tog bort de resultaten som norton redan hittat och som låg i nortons karantänmapp. men annars e allt med.

och de andra sökningarna med online scan och adaware mm. hittade lite var.

 

File C:\Download\agfreesetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Program\Common Files\mzow\mzowl.exe infected by "Trojan-Downloader.Win32.TSUpdate.j" Virus. Action Taken: File Deleted.
File C:\Program\Common Files\mzow\mzowp.exe tagged as not-a-virus:AdWare.Xupiter.m. No Action Taken.
File C:\RECYCLER\S-1-5-21-1026913669-1983854587-1234779376-1043\Dc655.tmp tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\RECYCLER\S-1-5-21-1026913669-1983854587-1234779376-1043\Dc687.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.
File C:\RECYCLER\S-1-5-21-1026913669-1983854587-1234779376-1043\Dc944.exe infected by "Trojan-Downloader.Win32.TSUpdate.i" Virus. Action Taken: File Deleted.
File C:\RECYCLER\S-1-5-21-1026913669-1983854587-1234779376-1043\Dc945.exe infected by "Trojan-Downloader.Win32.TSUpdate.k" Virus. Action Taken: File Deleted.
File C:\RECYCLER\S-1-5-21-1026913669-1983854587-1234779376-1043\Dc951.exe tagged as not-a-virus:AdWare.WebRebates.g. No Action Taken.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP316\A0078618.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP317\A0080907.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP319\A0081012.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP319\A0081015.exe infected by "Trojan-Downloader.Win32.TSUpdate.f" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP319\A0081016.exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP319\A0081018.exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP319\A0081117.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP320\A0081182.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP321\A0081353.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP350\A0085159.exe tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP351\A0089116.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP361\A0099600.dll tagged as not-a-virus:AdWare.ToolBar.SideFind. No Action Taken.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP361\A0099601.dll tagged as not-a-virus:AdWare.ToolBar.SideFind. No Action Taken.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP361\A0099603.dll infected by "Trojan-Downloader.Win32.IstBar.ge" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP361\A0099606.exe tagged as not-a-virus:AdWare.WebRebates.c. No Action Taken.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP364\A0100355.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.m. No Action Taken.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP365\A0100368.EXE infected by "Trojan-Downloader.Win32.TSUpdate.f" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP365\A0100370.exe infected by "Trojan-Downloader.Win32.TSUpdate.f" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP365\A0100385.exe infected by "Trojan-Downloader.Win32.TSUpdate.k" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP365\A0100386.exe infected by "Trojan-Downloader.Win32.TSUpdate.l" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP365\A0100387.exe infected by "Trojan-Downloader.Win32.TSUpdate.j" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP365\A0100388.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP365\A0100389.exe infected by "Trojan-Downloader.Win32.TSUpdate.i" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{0D15E502-D507-40F4-A475-DBA8E2EC6054}\RP365\A0100390.exe infected by "Trojan-Downloader.Win32.TSUpdate.k" Virus. Action Taken: File Deleted.

 

tackk på förhand Stefan

 

Länk till kommentar
Dela på andra webbplatser

Programmet har hittat mycket i System Volume Informater\_restore, det är där Windows lagrar sina systemåterställningspunkter, dvs den har sparat systemets status (viktigaste filerna) medan datorn var infekterad. För att ta bort alla systemåterställninngspunkter stänger man av systemåterställningsfunktionen, startar om datorn och sedan sätter på funktionen igen. Inställningen finns här:

 

Den här datorn - högerklick - Egenskaper - Systemåterställning

 

Du kan vänta med att sätta på funktionen tills datorn är ren så att du inte behöver upprepa ovanstående en gång till.

 

Du ser också ut att behöva tömma Papperskorgen (C:\RECYCLER), det finns tydligen otrevligheter där också.

 

När du har gjort det så kan du lägga hit en ny HijackThis-logg också. (Kom ihåg att det är LOG-knappen som ska användas, inte någon annan.)

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...