Just nu i M3-nätverket
Gå till innehåll

Program måste avslutas.. kolla min loggg tack!


kurre33

Rekommendera Poster

Kan inte öpnna några filmer i mediaplayer. Vet inte om andra program funkar, firefox och msn gör det iaf. Här är min logg från hijackthis. Tacksam för hjälp!

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 15:52:26, on 2006-10-05

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\WINDOWS\runservice.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\Program\F-Secure\Common\FIH32.EXE

C:\Program\F-Secure\Common\FSM32.EXE

C:\Program\iTunes\iTunesHelper.exe

C:\Program\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\WINDOWS\explorer.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wasadata.se/secure'>http://www.wasadata.se/secure

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.wasadata.se/secure

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [VideoraiPodConverter] C:\Program\VideoraiPodConverter\VideoraiPodConverter.exe -t

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PacificPoker - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\Program\PACIFI~1\pacificpoker.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{00D54DAF-412C-4E93-9E80-F2BBAFB63A81}: NameServer = 85.8.31.209,85.8.31.210

O17 - HKLM\System\CS1\Services\Tcpip\..\{00D54DAF-412C-4E93-9E80-F2BBAFB63A81}: NameServer = 85.8.31.209,85.8.31.210

O17 - HKLM\System\CS2\Services\Tcpip\..\{00D54DAF-412C-4E93-9E80-F2BBAFB63A81}: NameServer = 85.8.31.209,85.8.31.210

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\fsbwlan.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

[/log]

 

 

Länk till kommentar
Dela på andra webbplatser

hepp..

 

Vid genomsökning med f-secure visas i rapporten att en fil är angripen men inget är borttaget/omdöpt

 

[log]rapporten:

 

Mål:

 

* C:\

 

Åtgärd:

 

* Ta bort angripna filer

 

Alternativ för genomsökning:

 

* Genomsök alla filer

* Genomsök i arkiven: på

 

Genomsökningsmotorer:

 

* F-Secure AVP: 6.00.169, 2006-10-05

* F-Secure Libra: 2.01.05, 2006-10-05

* F-Secure Orion: 1.02.27, 2006-10-03

 

Resultat

Startsektorer

 

* Genomsökta: 1

* Angripna: 0

* Misstänkta: 0

* Rensade från virus: 0

 

Filer

 

* Genomsökta: 150111

* Angripna: 1

* Misstänkta: 0

* Rensade från virus: 0

* Bytt namn: 0

* Borttagna: 0

* Placerade i karantän: 0

 

Rapport

 

* C:\Documents and Settings\Oskar\Lokala inställningar\Application Data\Identities\{B6D098E5-3FCD-4015-A277-CCF2591C91A0}\Microsoft\Outlook Express\Inkorgen.dbx Angrepp: Email-Worm.Win32.Klez.h

 

* Det går inte att öppna filen C:\hiberfil.sys.

* Det går inte att öppna filen C:\pagefile.sys.

* Det går inte att öppna filen C:\WINDOWS\system32\mmf.sys.

* Det går inte att öppna filen C:\WINDOWS\system32\config\default.

* Det går inte att öppna filen C:\WINDOWS\system32\config\SAM.

* Det går inte att öppna filen C:\WINDOWS\system32\config\SECURITY.

* Det går inte att öppna filen C:\WINDOWS\system32\config\system.

* Genomsökningen av C:\WINDOWS\Downloaded Installations\{EDC246F0-EDAF-4FFA-BC38-E47646053862}\NHL Eastside Hockey Manager 2007.msi avbröts. [F-Secure AVP]

* Genomsökningen av C:\WINDOWS\Downloaded Installations\{54C0D94A-F467-4ABC-9D02-6E58748668D4}\iTunes.cab\iTunes.exe avbröts. [F-Secure AVP]

* Genomsökningen av C:\System Volume Information\_restore{D004217F-E66A-4D4A-B823-463BA5272D9E}\RP26\A0002814.msi avbröts. [F-Secure AVP]

* Filen C:\Program\PestPatrol\Spyware.dat\c är krypterad.

* Filen C:\Program\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\Ad-Aware SE Default.skn är krypterad.

* Det går inte att öppna filen C:\Program\F-Secure\Common\policy.ipf.

* Det går inte att öppna filen C:\Program\F-Secure\BackWeb\7681197\Users\Default\Data\chandir.dat.

* Det går inte att öppna filen C:\Program\F-Secure\BackWeb\7681197\Users\Default\Data\D0000000.FCS.

* Det går inte att öppna filen C:\Program\F-Secure\BackWeb\7681197\Users\Default\Data\L0000002.FCS.

* Det går inte att öppna filen C:\Program\F-Secure\BackWeb\7681197\Users\Default\Data\prs.dat.

* Det går inte att öppna filen C:\Program\F-Secure\BackWeb\7681197\Users\Default\Data\storydb.dat.

* Genomsökningen av C:\Program\Adobe\Acrobat 7.0\Setup Files\RdrBig708\ENU\Data1.cab\PPKLite.api avbröts. [F-Secure AVP]

* Genomsökningen av C:\Program\Adobe\Acrobat 7.0\Setup Files\RdrBig708\ENU\Data1.cab\AcroForm.api__NON_OPT avbröts. [F-Secure AVP]

* Genomsökningen av C:\Program\Adobe\Acrobat 7.0\Setup Files\RdrBig708\ENU\Data1.cab\SVGCore.DLL avbröts. [F-Secure AVP]

* Genomsökningen av C:\MSOCache\All Users\90000409-6000-11D3-8CFE-0150048383C9\E2561410.CAB\EXCEL.EXE avbröts. [F-Secure AVP]

* Genomsökningen av C:\MSOCache\All Users\90000409-6000-11D3-8CFE-0150048383C9\O1561403.CAB\MSO.DLL avbröts. [F-Secure AVP]

* Genomsökningen av C:\mats\WindowsXP-KB835935-SP2-SVE.exe avbröts. [F-Secure AVP]

* Det går inte att läsa från filen C:\Documents and Settings\support\Lokala inställningar\Temporary Internet Files\Content.IE5\CZIFKL9J\aawsepersonal[1].exe. [F-Secure Orion]

* Det går inte att öppna filen C:\Documents and Settings\Oskarb\NTUSER.DAT.

* Det går inte att öppna filen C:\Documents and Settings\Oskarb\Lokala inställningar\Application Data\Microsoft\Windows\UsrClass.dat.

* Filen C:\Documents and Settings\Oskar\Skrivbord\Lite program\Ska va kvar\program\Winzip\Winzip80\winzip80.exe\SETUP.WZ\WINZIP32.EX_ är krypterad.

* Det går inte att öppna filen C:\Documents and Settings\NetworkService.NT INSTANS\NTUSER.DAT.

* Det går inte att öppna filen C:\Documents and Settings\NetworkService.NT INSTANS\Lokala inställningar\Application Data\Microsoft\Windows\UsrClass.dat.

* Det går inte att öppna filen C:\Documents and Settings\LocalService.NT INSTANS\NTUSER.DAT.

* Det går inte att öppna filen C:\Documents and Settings\LocalService.NT INSTANS\Lokala inställningar\Application Data\Microsoft\Windows\UsrClass.dat.

* Ett fel inträffade när C:\Documents and Settings\All Users\Dokument\Codec\All Video Codecs\DivX_203e\DivX_203e.exe genomsöktes. [F-Secure Orion]

* Ett fel inträffade när C:\Documents and Settings\All Users\Dokument\Codec\All Video Codecs\DivX 3.11 Alpha\DivX 311alpha.exe genomsöktes. [F-Secure Orion]

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit10.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit11.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit12.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit5.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit6.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit7.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit8.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit9.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Newnet.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Newnet1.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Newnet2.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Newnet3.zip\sbRecovery.reg är krypterad.

[/log]

 

[inlägget ändrat 2006-10-06 13:29:03 av Anders N]

Länk till kommentar
Dela på andra webbplatser

C:\Documents and Settings\Oskar\Lokala inställningar\Application Data\Identities\{B6D098E5-3FCD-4015-A277-CCF2591C91A0}\Micro

soft\Outlook Express\Inkorgen.dbx Angrepp: Email-Worm.Win32.Klez.h

Du har ett mejl i Inkorgen i Outlook express som innehåller en mask.

Det står om masken här:

http://www.f-secure.com/v-descs/klez_h.shtml

 

 

Länk till kommentar
Dela på andra webbplatser

ok, jag styr med det nu då får vi se.. Fattar bara inte hur det kan komma sig att den blir aktiv helt plötsligt och gör att jag innte kan öppna o behandla filmfiler... har inte öppnat mail på länge.. återkommer, tack så länge

 

Länk till kommentar
Dela på andra webbplatser

Tror inte det har något samband, Klez brukar inte göra sådant men för säkerhetsskull så använd borttagningsprogrammet på F-secure-sidan.

 

Länk till kommentar
Dela på andra webbplatser

Nej självklart inte =) F-secure-programmet sökte med DOS i en minut och hittade inget. Symatecs motsvarighet sökte i en timme och hittade Klez. Felet med filmerna återstod och åtgärdades genom att installera om codec-paketet. tss Tack så mycket för hjälpen! /oskar

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...