Just nu i M3-nätverket
Jump to content

Hjälp med HJT-log


Pelle Plot

Recommended Posts

Min dator är förlamad. Skärmen uppdateras ständigt med prickar och linjer. Flera funktioner som Windows Update är låsta.

Hjälp!

 

Min HJT-log:

Logfile of HijackThis v1.99.1

Scan saved at 00:16:14, on 2005-12-16

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

c:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Eset\nod32krn.exe

C:\Program\Webroot\Spy Sweeper\WRSSSDK.exe

C:\windows\system\hpsysdrv.exe

C:\Program\USB Storage RW\shwicon.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program\Eset\nod32kui.exe

C:\Program\Messenger\msmsgs.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Diverse\HJT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [storageGuard] "C:\Program\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [WCOLOREAL] C:\Program\Coloreal\coloreal.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ccApp] c:\Program\Delade filer\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] c:\Program\Delade filer\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [Registry Checkup System1 Monitor] Winregs1.exe

O4 - HKCU\..\Run: [CU1] C:\Program\Common Files\VCClient\VCClient.exe

O4 - HKCU\..\Run: [CU2] C:\Program\Common Files\VCClient\VCMain.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134289261453

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - c:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: Windows 32 (Win32) - Unknown owner - C:\WINDOWS\System32\sayaneger.exe" -netsvcs (file missing)

 

 

 

Link to comment
Share on other sites

c:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Eset\nod32krn.exe

Du har två antivirusprogram igång samtidigt, det är känt att detta kan leda till konstiga problem.

 

Hittar något av dina antivirusprogram eller SpySweeper något?

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Leta reda på filen

Winregs1.exe

Troligen så finns den i C:\WINDOWS\system32 eller C:\WINDOWS, när du har hittat filen så gå till denna sida:

http://virusscan.jotti.org/

och skriv in (eller bläddra) filnamn inkl. sökväg/mapp, t ex så här:

C:\WINDOWS\system32\Winregs1.exe

Kopiera in resultatet i ditt svar här.

 

Skriv även in dessa filnamn där:

C:\Program\Common Files\VCClient\VCClient.exe

C:\Program\Common Files\VCClient\VCMain.exe

och kopiera in resultaten i ditt svar.

 

Gå till Kontrollpanelen - Administrationsverktyg - Tjänster

Leta reda på namnet "Windows 32", dubbelklicka på det, tryck på Stoppa om det går och välj Startmetod Inaktiverad.

 

 

 

Link to comment
Share on other sites

Pelle Plot, hej :)

 

Skulle du kunna navigera till

C:\WINDOWS\System32\sayaneger.exe

och

Winregs1.exe (finns antagligen också i system32-mappen)

och kopiera och zippa filerna och skicka dom till mig.

E-mail är diehardATmalware-research.co.uk , ersätt "AT" med @

 

Sedan gör så här:

Klicka (Windowstangent+R) och skriv services.msc>OK och i högra delen av fönstret rulla ner till Windows 32 (Win32) .

Dubbelklicka på den och i nästa fönster under "Startmetod" välj "Inaktiverad". Klicka "stoppa>verkställ" och stäng.

 

Öppna HiJack This och bocka för dessa detaljer, sedan klicka på "fix checked" :

 

 

O4 - HKCU\..\Run: [Registry Checkup System1 Monitor] Winregs1.exe

O23 - Service: Windows 32 (Win32) - Unknown owner - C:\WINDOWS\System32\sayaneger.exe" -netsvcs (file missing)

 

Starta sedan om till felsäkert läge genom att starta om och under uppstarten klick på F8 upprepat.

I felsäkert läge navigera till dessa filer och kasta bort dom:

Winregs1.exe

C:\WINDOWS\System32\sayaneger.exe

 

Posta sedan en ny HJT-log

 

Hälsning

 

Die Hard :)

 

Link to comment
Share on other sites

Hej Die Hard,

Problem med dina instruktioner för:

- Filerna winregs1.exe eller sayaneger.exe hittar jag ej.

- Windows32 går att avaktivera i Services.msc - OK

- de register du vill jag skall radera i HighjackThis finns ej kvar, se nedan ny log fil.

- det är ett mindre h-e att läsa på skärmen när jag närmar mig "känsliga" rutiner, den blinkar med prickar och streck som skrivs över filnamnen.

 

Logfile of HijackThis v1.99.1

Scan saved at 10:56:25, on 2005-12-16

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

c:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Eset\nod32krn.exe

C:\Program\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Eset\nod32kui.exe

C:\Program\USB Storage RW\shwicon.exe

C:\HP\KBD\KBD.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program\Messenger\msmsgs.exe

C:\Diverse\HJT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [WCOLOREAL] C:\Program\Coloreal\coloreal.exe

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [ccRegVfy] c:\Program\Delade filer\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [ccApp] c:\Program\Delade filer\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - c:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program\Webroot\Spy Sweeper\WRSSSDK.exe

 

 

Link to comment
Share on other sites

Har du gjort något med datorn emellan dessa två loggfiler (förutom att inaktivera Windows32 i Tjänster)? Undrar eftersom alla misstänkta rader har försvunnit.

 

PS. När du har klistrat in en logg så blir folk glada om du markerar (målar) loggen och sedan trycker på LOG-knappen på samma rad som :thumbsdown::thumbsup:.

 

Link to comment
Share on other sites

Hej Cecilia,

Det enda jag kunde utföra av dina instruktioner var att inaktivera Windows 32, allt annat funkade inte eftersom jag ej finner filerna.

PellePlot

 

Link to comment
Share on other sites

eftersom jag ej finner filerna

Jag förstår det eftersom filerna inte finns kvar i den nya loggen.

 

Har du installerat och kört Microsoft AntiSpyware emellan dessa två loggfiler, så att det är den som har rensat bort otrevligheterna? Eller har du kört något annat rensningsprogram?

 

Link to comment
Share on other sites

Hej Cecilia,

Har lite svårt att minnas exakt vad jag pysslade med vid 4-5-snåret imorse - var lite suddig. Jag är ganska säker att jag redan då, på eget bevåg, raderade både windows 32 och sayaneger.exe i HighjackThis.

Sorry.

Vad som däremot lyser klart är min skärm som blinkar som bara den när med linjer och prickar samt att windows update inte funkar att köra. Den stänger även av nätaktiva processer som housecall från trendmicro samt pandasoftware.

/PellePlot

 

Link to comment
Share on other sites

Korrekt Cecilia :-)

Jag körde Microsoft Antispyware liksom Nod32 Spybot & Co. I princip allt som jag kommer åt, har liksom lite panik.

Men som sagt, mina vän datorn är fortfarande ej sig lik :-(

 

/PellePlot

 

Link to comment
Share on other sites

Ytterligare info:

Det går ej att uppdatera display drivrutinerna från ATI. När jag kör uppdateringen så svarar datorn att den inte hittar några drivrutiner.

/PellePlot

 

Link to comment
Share on other sites

Loggade på i normalläge och lät datorn få tillgång till nätverket. Då ser jag på modemet att saker börjar hända och datorn låser sig. Ingenting går sedan att göra utan att hård-boota genom att hålla avstängningsknappen inne ca 5 sek.

 

Ryyys,

/PellePlot

 

Link to comment
Share on other sites

saker börjar hända och datorn låser sig

Se efter om det har tillkommit rader i en ny HijackThis-logg, titta själv först om den ser likadan ut som sist för i så fall är det ju ingen mening med att klistra in den här. Om den har förändrats så klistra in den men kom ihåg att markera/måla den och trycka på LOG-knappen.

 

Du kan också se om du kan installera en brandvägg på datorn.

 

Link to comment
Share on other sites

Hej alla och tack för hjälpen. Jag har gett upp och raderat rubbet dvs formaterat datorn och ominstallerat windows.

Verkar vara enda lösningen mot ilskna maskar och trojaner.

/PellePlot

 

Link to comment
Share on other sites

För det mesta så går det att fixa utan att formatera om men ibland så kanske det inte är värt besväret.

 

Här kommer lite tips för en säkrare dator.

 

Uppdatera från Windows Update och kör antispionprogrammen Ad-aware och Spybot S&D regelbundet.

http://www.lavasoft.com

http://www.safer-networking.org/en/download/index.html

 

Komplettera antivirusprogrammet med några online-skanningar då och då:

http://housecall.trendmicro.com/

http://www.pandasoftware.com/products/activescan/

 

Använd en brandvägg (annan än den inbyggda i XP), finns gratis från t ex ZoneLabs.

http://www.zonelabs.com/store/content/home.jsp

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmen SpywareBlaster och SpywareGuard, vilka hindrar en hel del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

https://netfiles.uiuc.edu/ehowes/www/btw/ie/ie-opts.htm

 

Samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

 

Om man byter webbläsare så är det bara SpywareGuard som behövs. Andra webbläsare är t ex Mozilla Firefox och Opera:

http://www.mozilla.se

http://www.opera.com

 

Allt gratis för hemanvändare/personligt bruk.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...