Just nu i M3-nätverket
Jump to content

AntiVirusGold 2.0


Tom_J

Recommended Posts

Kan nagon hjalpa mig med att fa bort detta fran datorn? Utover att programmet har installerat sig sjalv, sa byter det aven bakgrundsbild som jag inte lyckas gora mig av med. Tacksam for hjalp!

 

Link to comment
Share on other sites

Det ska väl gå bra att få bort, även om det kräver en del jobb.

 

Om du kan göra en skärmdump av din bakgrund så vore det bra. Minimera alla fönster och tryck på PrintScreen-tangenten. Ta upp Paint och Klistra in, sedan Spara i GIF-format. I ditt svar här så kryssar du för att du vill bifoga en bild.

 

Använd programmet HijackThis, det finns här:

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen (inget annat), så att vi får se vad som kör i datorn.

 

I ditt svar här så bifogar du loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Link to comment
Share on other sites

Har ar loggen fran HijackThis och skarmdumpen.

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 20:04:42, on 29/7/2548

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\CFusionMX\runtime\bin\jrunsvc.exe

C:\CFusionMX\db\slserver52\bin\swagent.exe

C:\CFusionMX\runtime\bin\jrun.exe

C:\CFusionMX\db\slserver52\bin\swstrtr.exe

C:\CFusionMX\db\slserver52\bin\swsoc.exe

C:\WINNT\System32\CTSvcCDA.exe

C:\WINNT\System32\svchost.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\svchost.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\Program Files\Creative\News\NewsUpd.EXE

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

c:\program files\mcafee.com\agent\mcagent.exe

C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program Files\ThaiSoftware Enterprise\ThaiSoftware Dictionary\Bin\MagicLnk.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\MSN Apps\Updater\01.03.0000.1005\en-us\msnappau.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINNT\System32\wuauclt.exe

C:\Program Files\AntivirusGold\AntivirusGold.exe

C:\WINNT\System32\internat.exe

C:\Program Files\AntivirusGold\AntivirusGold.exe

C:\Program Files\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\Program Files\BrightEcho\LanRoad PPPoE Client\LanRoadDialupE.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\WINZIP\winzip32.exe

C:\Documents and Settings\User\Local Settings\Temp\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\en-us\msntb.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [MagicLinker3] C:\Program Files\ThaiSoftware Enterprise\ThaiSoftware Dictionary\Bin\MagicLnk.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.03.0000.1005\en-us\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AntivirusGold] C:\Program Files\AntivirusGold\AntivirusGold.exe /h

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [intel system tool] C:\WINNT\System32\hookdump.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: CAMEDIA Master.lnk = C:\Program Files\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab

O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst4_x.cab

O16 - DPF: Yahoo! Word Racer - http://download.games.yahoo.com/games/clients/y/wt1_x.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c9.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409

O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://zone.msn.com/bingame/rtlw/default/ReflexiveWebGameLoader.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://download.games.yahoo.com/games/web_games/gamehouse/frenzy/SproutLauncher.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/popcap/zuma/popcaploader_v6.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F1B4E00-2AC2-43EF-A3CF-812A4722298A}: NameServer = 203.144.207.49 203.144.207.29

O17 - HKLM\System\CS1\Services\Tcpip\..\{0F1B4E00-2AC2-43EF-A3CF-812A4722298A}: NameServer = 203.144.207.49 203.144.207.29

O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe

O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe

O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

 

[/log]

 

[bild bifogad 2005-07-29 15:01:57 av Tom_J]

734125_thumb.jpg

Link to comment
Share on other sites

Ha internetanslutningen urdragen så mycket som möjligt tills datorn är ren.

 

Stämmer det att du ska ha thailändska DNSer?

 

Var säker på att du förstår allt nedan innan du fortsätter, fråga annars.

 

För att HijackThis ska kunna spara säkerhetskopior på det den tar bort måste den körbara filen HijackThis.exe ligga i sin egen mapp. Om du laddar ner hijackthis.zip så måste den packas upp så att den körbara filen HijackThis.exe kan användas, den får inte köras innifrån Winzip. Skapa en ny mapp t ex C:\HjT och lägg den körbara filen HijackThis.exe där (sedan kan du slänga den nedladdade filen hijackthis.zip).

 

Du behöver ladda ner några verktyg, Killbox och Avgoldfix.reg:

 

http://www.bleepingcomputer.com/files/killbox.php

Ladda ner och packa upp den exekverbara filen och lägg den t ex på Skrivbordet.

 

http://www.bleepingcomputer.com/files/reg/avgoldfix.reg

avgoldfix.reg sparar du lämpligen på Skrivbordet.

 

Ställ in Utforskaren (Windows Explorer) så att du kan se alla filer:

http://www.bleepingcomputer.com/forums/How_to_see_hidden_files_in_Windows-tut62.html#win2000

 

Stäng alla program och fönster.

 

Starta Killbox. Välj Delete on reboot. Fortsätt att ha programmet öppet.

 

[log]Start - Run - notepad.exe för att starta Notepad.

Kopiera denna lista av filnamn:

C:\Program Files\AntivirusGold\AntivirusGold.exe

C:\WINNT\System32\winnook.exe

C:\WINNT\System32\hookdump.exe

C:\WINNT\desktop.html

C:\WINNT\screen.html

C:\WINNT\windows.html

och klistra in i Notepad.

 

I Killbox: File - Paste from Clipboard, så ska listan komma in där också.

Tryck på Delete-knappen (vitt kryss på röd cirkel).

Tryck Yes för att filerna ska bort.

Tryck No för att starta om datorn.

 

Om datorn inte startar om automatiskt så gör det själv.

Datorn ska startas i felsäkert läge, som nås genom att trycka F8 upprepade gånger under uppstarten och välja Safe Mode i menyn.

 

Med Windows Explorer ta bort denna mapp:

C:\Program Files\AntivirusGold

Stäng Windows Explorer.

 

Starta HijackTHis, skanna och bocka för dessa rader:

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [AntivirusGold] C:\Program Files\AntivirusGold\AntivirusGold.exe /h

O4 - HKCU\..\Run: [intel system tool] C:\WINNT\System32\hookdump.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c9.cab

 

Tryck på Fix checked.

 

Dubbelklicka på avgoldfix.reg, som du laddade ner förut. Tryck Yes för att acceptera att den ändrar i registret. Vänta tills den är klar.

 

Control Panel - Display - Desktop - Customize Destop - Website

Avmarkera Security Info (eller liknande text).

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg.

Skriv i ditt svar hur det har gått och hur datorn mår, samt bifoga den nya loggen.[/log]

 

Link to comment
Share on other sites

Vad DSNer ar for ngt vet jag inte, men troligtvis stammer detta da jag sitter i Bangkok.

 

Kanns sakrast att fraga: Nar jag "I Killbox: File - Paste from Clipboard, så ska listan komma in där också." ser det ut som att bara

 

C:\WINNT\screen.html

C:\Program Files\AntivirusGold\AntivirusGold.exe

 

ar de filer som laggs in, dvs nar jag faller ner rullgardinen i Killbox ar dessa filer de anda jag ser. Stammer detta?

 

 

Link to comment
Share on other sites

Vet inte riktigt, det skulle kunna bero på att den inte hittar de andra filerna på datorn, men den här finns i din logg så den måste med också:

C:\WINNT\System32\hookdump.exe

 

Man kan ju söka upp filerna en och en också genom att trycka på mapp-ikonen och trycka på Delete-krysset efter varje fil, då får man bara se efter att man bara tillåter omstart efter den sista filen (man kan alltid starta om själv).

 

Link to comment
Share on other sites

?? Filerna gar inte att hitta, varken om jag soker med Killbox eller med Windows sokverktyg.

 

Skickar med en ny logg fran HijackThis, vad jag forstar sa finns fortfarande hookdump.exe kvar. Ngt tips pa hur jag kan fa fatt i denna?

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 17:50:56, on 30/7/2548

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\CFusionMX\runtime\bin\jrunsvc.exe

C:\CFusionMX\db\slserver52\bin\swagent.exe

C:\CFusionMX\runtime\bin\jrun.exe

C:\CFusionMX\db\slserver52\bin\swstrtr.exe

C:\CFusionMX\db\slserver52\bin\swsoc.exe

C:\WINNT\System32\CTSvcCDA.exe

C:\WINNT\System32\svchost.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Creative\News\NewsUpd.EXE

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

c:\program files\mcafee.com\agent\mcagent.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program Files\ThaiSoftware Enterprise\ThaiSoftware Dictionary\Bin\MagicLnk.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\MSN Apps\Updater\01.03.0000.1005\en-us\msnappau.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\AntivirusGold\AntivirusGold.exe

C:\WINNT\System32\internat.exe

C:\Program Files\AntivirusGold\AntivirusGold.exe

C:\Program Files\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\WINNT\system32\svchost.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\WINNT\System32\wuauclt.exe

C:\Program Files\BrightEcho\LanRoad PPPoE Client\LanRoadDialupE.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\en-us\msntb.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [MagicLinker3] C:\Program Files\ThaiSoftware Enterprise\ThaiSoftware Dictionary\Bin\MagicLnk.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.03.0000.1005\en-us\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AntivirusGold] C:\Program Files\AntivirusGold\AntivirusGold.exe /h

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [intel system tool] C:\WINNT\System32\hookdump.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: CAMEDIA Master.lnk = C:\Program Files\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab

O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst4_x.cab

O16 - DPF: Yahoo! Word Racer - http://download.games.yahoo.com/games/clients/y/wt1_x.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c9.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409

O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://zone.msn.com/bingame/rtlw/default/ReflexiveWebGameLoader.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://download.games.yahoo.com/games/web_games/gamehouse/frenzy/SproutLauncher.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/popcap/zuma/popcaploader_v6.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F1B4E00-2AC2-43EF-A3CF-812A4722298A}: NameServer = 203.144.207.49 203.144.207.29

O17 - HKLM\System\CS1\Services\Tcpip\..\{0F1B4E00-2AC2-43EF-A3CF-812A4722298A}: NameServer = 203.144.207.49 203.144.207.29

O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe

O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe

O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

 

[/log]

 

Link to comment
Share on other sites

Windows Sök-funktion är inte att lita på. Bättre att gå med Windows Explorer till rätt mapp och titta efter själv. Eftersom filen finns med i loggen så finns den på datorn.

 

Du har väl kommit ihåg att ställa in Windows Explorer så att du kan se alla filer. Nu när jag läser på den sidan så ser jag att de inte har tagit upp ännu ett alternativ, nämligen Visa innehållet i systemmappar (vet inte vad det kan bli på engelska). Se om det hjälper.

 

Link to comment
Share on other sites

Det finns helt enkelt inte en fil som heter hookdump.exe under C:\WINNT\System32. Har kollat med Windows Explore.

 

Skickar med en .gif pa mina installningar av filvisning.

 

Finns det ngt annat satt att komma at filer som "gommer" sig?

 

[bild bifogad 2005-07-31 05:54:14 av Tom_J]

734479_thumb.jpg

Link to comment
Share on other sites

Jag lyckades, tror jag vart fall, bli av med AVG 2.0. Min gamla bakgrund ar tillbaka och alla ikoner ar borta. Jag gjorde pa foljande satt:

 

Korde CleanUp

Korde Ad-aware SE

Korde CWShredder

Korde Spybot S&D

 

Vet inte vilket program som plockade bort AVG 2.0, men borta ar det i vilket fall.

 

Bifogar en logg, ser allt ut att vara ok?

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 14:00:56, on 31/7/2548

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\CFusionMX\runtime\bin\jrunsvc.exe

C:\CFusionMX\db\slserver52\bin\swagent.exe

C:\CFusionMX\runtime\bin\jrun.exe

C:\CFusionMX\db\slserver52\bin\swstrtr.exe

C:\CFusionMX\db\slserver52\bin\swsoc.exe

C:\WINNT\System32\CTSvcCDA.exe

C:\WINNT\System32\svchost.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\wuauclt.exe

C:\Program Files\Creative\News\NewsUpd.EXE

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

c:\program files\mcafee.com\agent\mcagent.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program Files\ThaiSoftware Enterprise\ThaiSoftware Dictionary\Bin\MagicLnk.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\MSN Apps\Updater\01.03.0000.1005\en-us\msnappau.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINNT\System32\internat.exe

C:\Program Files\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\Program Files\BrightEcho\LanRoad PPPoE Client\LanRoadDialupE.exe

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\en-us\msntb.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [MagicLinker3] C:\Program Files\ThaiSoftware Enterprise\ThaiSoftware Dictionary\Bin\MagicLnk.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.03.0000.1005\en-us\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: CAMEDIA Master.lnk = C:\Program Files\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab

O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst4_x.cab

O16 - DPF: Yahoo! Word Racer - http://download.games.yahoo.com/games/clients/y/wt1_x.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c9.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409

O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://zone.msn.com/bingame/rtlw/default/ReflexiveWebGameLoader.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://download.games.yahoo.com/games/web_games/gamehouse/frenzy/SproutLauncher.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/popcap/zuma/popcaploader_v6.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F1B4E00-2AC2-43EF-A3CF-812A4722298A}: NameServer = 203.144.207.49 203.144.207.29

O17 - HKLM\System\CS1\Services\Tcpip\..\{0F1B4E00-2AC2-43EF-A3CF-812A4722298A}: NameServer = 203.144.207.49 203.144.207.29

O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe

O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe

O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

 

[/log]

 

 

 

Link to comment
Share on other sites

Ja, AntivirusGold ser ut att vara borta. :thumbsup: Var väl Ad-aware eller Spybot som fick bort den, bra att veta att någon av dem har blivit uppdaterad att klara av detta otyg.

 

Konstigt att du inte hittade hookdump, längre ner i den där inställningsrutan du bifogade finns ett val till som har att göra med vad man ser i datorn.

 

Kontrollera att mappen C:\Program Files\AntivirusGold är borta.

 

Stäng av alla program.

Starta HijackTHis, skanna och bocka för dessa rader:

 

R3 - Default URLSearchHook is missing

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c9.cab

 

Tryck på Fix checked.

Starta om datorn kontrollera att ovanstående två rader är borta ur en ny HijackThis-logg.

 

Jag hoppas du vet vad MagicLinker från Thai Software är.

 

För att skydda din dator i framtiden så kommer här mina vanliga rekommendationer.

 

Uppdatera från Windows Update och kör antispionprogrammen Ad-aware och Spybot S&D regelbundet.

http://www.lavasoft.com

http://www.safer-networking.org/en/download/index.html

 

Om det inte ingår en brandvägg i ditt McAfee-program så använd en gratis från t ex Sygate eller Zone Labs.

 

Komplettera då och då med att köra online-skanningarna:

http://housecall.trendmicro.com/

http://www.pandasoftware.com/products/activescan/com/activescan_p

rincipal.htm

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmen SpywareBlaster och SpywareGuard, vilka hindrar en hel del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

https://netfiles.uiuc.edu/ehowes/www/btw/ie/ie-opts.htm

 

Samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

 

Om man byter webbläsare så är det bara SpywareGuard som behövs. Andra webbläsare är t ex Mozilla Firefox och Opera:

http://www.mozilla.se

http://www.opera.com

 

Allt gratis för hemanvändare/personligt bruk.

 

Link to comment
Share on other sites

R3, O16 borta och allt ser ut att fungera som det ska.

Tack for hjalp och tips!!

 

(MagicLinker ingar i ett oversattningsprogram fran Thai Software)

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...