Just nu i M3-nätverket
Jump to content

Program måste avslutas.. kolla min loggg tack!


kurre33

Recommended Posts

Kan inte öpnna några filmer i mediaplayer. Vet inte om andra program funkar, firefox och msn gör det iaf. Här är min logg från hijackthis. Tacksam för hjälp!

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 15:52:26, on 2006-10-05

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\WINDOWS\runservice.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\Program\F-Secure\Common\FIH32.EXE

C:\Program\F-Secure\Common\FSM32.EXE

C:\Program\iTunes\iTunesHelper.exe

C:\Program\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\WINDOWS\explorer.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wasadata.se/secure'>http://www.wasadata.se/secure

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.wasadata.se/secure

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [VideoraiPodConverter] C:\Program\VideoraiPodConverter\VideoraiPodConverter.exe -t

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PacificPoker - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\Program\PACIFI~1\pacificpoker.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{00D54DAF-412C-4E93-9E80-F2BBAFB63A81}: NameServer = 85.8.31.209,85.8.31.210

O17 - HKLM\System\CS1\Services\Tcpip\..\{00D54DAF-412C-4E93-9E80-F2BBAFB63A81}: NameServer = 85.8.31.209,85.8.31.210

O17 - HKLM\System\CS2\Services\Tcpip\..\{00D54DAF-412C-4E93-9E80-F2BBAFB63A81}: NameServer = 85.8.31.209,85.8.31.210

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\fsbwlan.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

[/log]

 

 

Link to comment
Share on other sites

hepp..

 

Vid genomsökning med f-secure visas i rapporten att en fil är angripen men inget är borttaget/omdöpt

 

[log]rapporten:

 

Mål:

 

* C:\

 

Åtgärd:

 

* Ta bort angripna filer

 

Alternativ för genomsökning:

 

* Genomsök alla filer

* Genomsök i arkiven: på

 

Genomsökningsmotorer:

 

* F-Secure AVP: 6.00.169, 2006-10-05

* F-Secure Libra: 2.01.05, 2006-10-05

* F-Secure Orion: 1.02.27, 2006-10-03

 

Resultat

Startsektorer

 

* Genomsökta: 1

* Angripna: 0

* Misstänkta: 0

* Rensade från virus: 0

 

Filer

 

* Genomsökta: 150111

* Angripna: 1

* Misstänkta: 0

* Rensade från virus: 0

* Bytt namn: 0

* Borttagna: 0

* Placerade i karantän: 0

 

Rapport

 

* C:\Documents and Settings\Oskar\Lokala inställningar\Application Data\Identities\{B6D098E5-3FCD-4015-A277-CCF2591C91A0}\Microsoft\Outlook Express\Inkorgen.dbx Angrepp: Email-Worm.Win32.Klez.h

 

* Det går inte att öppna filen C:\hiberfil.sys.

* Det går inte att öppna filen C:\pagefile.sys.

* Det går inte att öppna filen C:\WINDOWS\system32\mmf.sys.

* Det går inte att öppna filen C:\WINDOWS\system32\config\default.

* Det går inte att öppna filen C:\WINDOWS\system32\config\SAM.

* Det går inte att öppna filen C:\WINDOWS\system32\config\SECURITY.

* Det går inte att öppna filen C:\WINDOWS\system32\config\system.

* Genomsökningen av C:\WINDOWS\Downloaded Installations\{EDC246F0-EDAF-4FFA-BC38-E47646053862}\NHL Eastside Hockey Manager 2007.msi avbröts. [F-Secure AVP]

* Genomsökningen av C:\WINDOWS\Downloaded Installations\{54C0D94A-F467-4ABC-9D02-6E58748668D4}\iTunes.cab\iTunes.exe avbröts. [F-Secure AVP]

* Genomsökningen av C:\System Volume Information\_restore{D004217F-E66A-4D4A-B823-463BA5272D9E}\RP26\A0002814.msi avbröts. [F-Secure AVP]

* Filen C:\Program\PestPatrol\Spyware.dat\c är krypterad.

* Filen C:\Program\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\Ad-Aware SE Default.skn är krypterad.

* Det går inte att öppna filen C:\Program\F-Secure\Common\policy.ipf.

* Det går inte att öppna filen C:\Program\F-Secure\BackWeb\7681197\Users\Default\Data\chandir.dat.

* Det går inte att öppna filen C:\Program\F-Secure\BackWeb\7681197\Users\Default\Data\D0000000.FCS.

* Det går inte att öppna filen C:\Program\F-Secure\BackWeb\7681197\Users\Default\Data\L0000002.FCS.

* Det går inte att öppna filen C:\Program\F-Secure\BackWeb\7681197\Users\Default\Data\prs.dat.

* Det går inte att öppna filen C:\Program\F-Secure\BackWeb\7681197\Users\Default\Data\storydb.dat.

* Genomsökningen av C:\Program\Adobe\Acrobat 7.0\Setup Files\RdrBig708\ENU\Data1.cab\PPKLite.api avbröts. [F-Secure AVP]

* Genomsökningen av C:\Program\Adobe\Acrobat 7.0\Setup Files\RdrBig708\ENU\Data1.cab\AcroForm.api__NON_OPT avbröts. [F-Secure AVP]

* Genomsökningen av C:\Program\Adobe\Acrobat 7.0\Setup Files\RdrBig708\ENU\Data1.cab\SVGCore.DLL avbröts. [F-Secure AVP]

* Genomsökningen av C:\MSOCache\All Users\90000409-6000-11D3-8CFE-0150048383C9\E2561410.CAB\EXCEL.EXE avbröts. [F-Secure AVP]

* Genomsökningen av C:\MSOCache\All Users\90000409-6000-11D3-8CFE-0150048383C9\O1561403.CAB\MSO.DLL avbröts. [F-Secure AVP]

* Genomsökningen av C:\mats\WindowsXP-KB835935-SP2-SVE.exe avbröts. [F-Secure AVP]

* Det går inte att läsa från filen C:\Documents and Settings\support\Lokala inställningar\Temporary Internet Files\Content.IE5\CZIFKL9J\aawsepersonal[1].exe. [F-Secure Orion]

* Det går inte att öppna filen C:\Documents and Settings\Oskarb\NTUSER.DAT.

* Det går inte att öppna filen C:\Documents and Settings\Oskarb\Lokala inställningar\Application Data\Microsoft\Windows\UsrClass.dat.

* Filen C:\Documents and Settings\Oskar\Skrivbord\Lite program\Ska va kvar\program\Winzip\Winzip80\winzip80.exe\SETUP.WZ\WINZIP32.EX_ är krypterad.

* Det går inte att öppna filen C:\Documents and Settings\NetworkService.NT INSTANS\NTUSER.DAT.

* Det går inte att öppna filen C:\Documents and Settings\NetworkService.NT INSTANS\Lokala inställningar\Application Data\Microsoft\Windows\UsrClass.dat.

* Det går inte att öppna filen C:\Documents and Settings\LocalService.NT INSTANS\NTUSER.DAT.

* Det går inte att öppna filen C:\Documents and Settings\LocalService.NT INSTANS\Lokala inställningar\Application Data\Microsoft\Windows\UsrClass.dat.

* Ett fel inträffade när C:\Documents and Settings\All Users\Dokument\Codec\All Video Codecs\DivX_203e\DivX_203e.exe genomsöktes. [F-Secure Orion]

* Ett fel inträffade när C:\Documents and Settings\All Users\Dokument\Codec\All Video Codecs\DivX 3.11 Alpha\DivX 311alpha.exe genomsöktes. [F-Secure Orion]

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit10.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit11.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit12.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit5.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit6.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit7.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit8.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit9.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Newnet.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Newnet1.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Newnet2.zip\sbRecovery.reg är krypterad.

* Filen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Newnet3.zip\sbRecovery.reg är krypterad.

[/log]

 

[inlägget ändrat 2006-10-06 13:29:03 av Anders N]

Link to comment
Share on other sites

C:\Documents and Settings\Oskar\Lokala inställningar\Application Data\Identities\{B6D098E5-3FCD-4015-A277-CCF2591C91A0}\Micro

soft\Outlook Express\Inkorgen.dbx Angrepp: Email-Worm.Win32.Klez.h

Du har ett mejl i Inkorgen i Outlook express som innehåller en mask.

Det står om masken här:

http://www.f-secure.com/v-descs/klez_h.shtml

 

 

Link to comment
Share on other sites

ok, jag styr med det nu då får vi se.. Fattar bara inte hur det kan komma sig att den blir aktiv helt plötsligt och gör att jag innte kan öppna o behandla filmfiler... har inte öppnat mail på länge.. återkommer, tack så länge

 

Link to comment
Share on other sites

Tror inte det har något samband, Klez brukar inte göra sådant men för säkerhetsskull så använd borttagningsprogrammet på F-secure-sidan.

 

Link to comment
Share on other sites

Nej självklart inte =) F-secure-programmet sökte med DOS i en minut och hittade inget. Symatecs motsvarighet sökte i en timme och hittade Klez. Felet med filmerna återstod och åtgärdades genom att installera om codec-paketet. tss Tack så mycket för hjälpen! /oskar

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...