Just nu i M3-nätverket
Jump to content

Misstänker Virus i burken!


punkt

Recommended Posts

Kan nån snäll person kolla på min HajackThis logg och avgöra?

 

Har fått en del underliga meddelande av AV programet," trojan hitta den för nån dag sen, manipulering av programmet "Windows messenger" eller bara "messenger" samt att internet anslutningen bryts lite då och då.

 

Har rensat så gott jag har kunnat, men nåt finns det i burken, DET KÄNNER JAG:)

 

Tack på för hand

 

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 21:19:35, on 2006-11-26

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\BackWeb\7681197\program\fsbwsys.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Anti-Virus\fsqh.exe

C:\Program\F-Secure\Anti-Virus\fsrw.exe

C:\Program\Delade filer\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program\Delade filer\Softwin\BitDefender Scan Server\bdss.exe

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\Program\F-Secure\FWES\Program\fsdfwd.exe

C:\Program\F-Secure\Common\FIH32.EXE

C:\WINDOWS\Explorer.EXE

C:\Program\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\F-Secure\Common\FSM32.EXE

C:\program\softwin\bitdefender8\bdnagent.exe

C:\Program\Delade filer\Teleca Shared\CapabilityManager.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Spybot - Search & Destroy\TeaTimer.exe

C:\Program\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe

C:\Program\F-Secure\ANTI-S~1\fsaw.exe

C:\Program\F-Secure\FSGUI\fsguidll.exe

C:\Program\SpywareGuard\sgmain.exe

C:\Program\SpywareGuard\sgbhp.exe

C:\DownloadZZZ\Istallerade program\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program\SpywareGuard\dlprotect.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [bDNewsAgent] "c:\program\softwin\bitdefender8\bdnagent.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] "C:\Program\Spybot - Search & Destroy\TeaTimer.exe"

O4 - Startup: SpywareGuard.lnk = C:\Program\SpywareGuard\sgmain.exe

O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Program\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe

O4 - Global Startup: Privoxy.lnk = C:\Program\Privoxy\privoxy.exe

O8 - Extra context menu item: &Block this popup - C:\Program\F-Secure\Anti-Spyware\blockpopups.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program\F-Secure\Anti-Spyware\ieshield.dll

O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program\F-Secure\Anti-Spyware\ieshield.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\program\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program\f-secure\fsps\program\fslsp.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWSO20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program\Delade filer\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: DirectX multi version - Unknown owner - C:\WINDOWS\system32\dxcombin.exe (file missing)

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\F-Secure\BackWeb\7681197\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\F-Secure\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: ODBC service - Unknown owner - C:\WINDOWS\system32\odbc.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program\Delade filer\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

[/log]

 

Link to comment
Share on other sites

Det är olämpligt att ha flera antivirusprogram igång i datorn, avinstallera antingen Bitdefender eller F-secure (eller är det fråga om att någon avinstallation av Bitdefender inte har blivit komplett?). Dessutom så har du en rest av Panda.

 

Panda-resten och rest av otrevligheten ska väl gå att fixa.

 

Stäng av Spybots TeaTimer så att den inte förhindrar det du vill göra.

 

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta upp DirectX multi version i listan, dubbelklicka och välj Startmetod Inaktiverad. Upprepa med Remote Packet Capture Protocol v.0 (experimental).

 

Skanna med HijackThis och bocka för:

 

O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O20 - Winlogon Notify: avldr - C:\WINDOWS

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn.

 

Link to comment
Share on other sites

Hej Cici!

 

Nu har jag gjort som du beskrev och fick bort dem.

Jag hade ju problem med internät anslutning som bröts ganska ofta och att online scaningar inte genomfördes, nu får vi se vad som händer, ska online scanna snart igen!

 

 

Leta upp DirectX multi version i listan, dubbelklicka och välj Startmetod Inaktiverad. Upprepa med Remote Packet Capture Protocol v.0 (experimental).

 

Kan jag "aktivera" ovanstående punker nu igen?

 

 

Det är olämpligt att ha flera antivirusprogram igång i datorn

 

Jag har bara ett AV program uppe åt gången, då jag behöver scanna. Det verkar funka just den här kombinationen av F-secure och Bitdenfender. tror jag...

 

 

Tack Cici!

 

Link to comment
Share on other sites

DirectX multi version och ODBC service är troligen otrevligheter så de ska absolut inte aktiveras igen. Jag hoppas att de är borta från HijackThis-loggen numera och inte har återkommit.

 

Remote Packet Capture Protocol v.0 (experimental) står det file missing på så antagligen är det någon rest av något du har avinstallerat.

http://www.castlecops.com/o23list-13.html

 

Det finns i alla fall igång processer i datorn som hör både till F-secure och BitDefender.

 

Link to comment
Share on other sites

Kan man inte ta bort dem från "Kontrollpanelen - Administrationsverktyg - Tjänster?" för där finns dem kvar fortfarande.

 

Nu när jag googlade lite så fick jag fram att "Remote Packet Capture Protocol v.0" tillhör WinPcap och den behöver jag för att köra programet Laneye 2! WinPcap har jag aldrig tagit bort utan bara uppdaterat! Nu till frågan, ska den aktiveras eller ej? :)

 

Här är min nya logg om du tar dej tiden...

 

Tusen tack! bäst är du...

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 17:41:07, on 2006-11-27

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\F-Secure\Common\FSM32.EXE

C:\program\softwin\bitdefender8\bdnagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\SpywareGuard\sgmain.exe

C:\Program\SpywareGuard\sgbhp.exe

C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure\BackWeb\7681197\program\fsbwsys.exe

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Anti-Virus\fsqh.exe

C:\Program\F-Secure\Anti-Virus\fsrw.exe

C:\Program\Delade filer\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program\Delade filer\Softwin\BitDefender Scan Server\bdss.exe

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\Program\F-Secure\FWES\Program\fsdfwd.exe

C:\Program\F-Secure\Common\FIH32.EXE

C:\Program\F-Secure\ANTI-S~1\fsaw.exe

C:\Program\F-Secure\FSGUI\fsguidll.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\explorer.exe

C:\DownloadZZZ\Istallerade program\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program\SpywareGuard\dlprotect.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [bDNewsAgent] "C:\Program\Softwin\BitDefender8\bdnagent.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] "C:\Program\Spybot - Search & Destroy\TeaTimer.exe"

O4 - Startup: SpywareGuard.lnk = C:\Program\SpywareGuard\sgmain.exe

O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Program\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe

O4 - Global Startup: Privoxy.lnk = C:\Program\Privoxy\privoxy.exe

O8 - Extra context menu item: &Block this popup - C:\Program\F-Secure\Anti-Spyware\blockpopups.htm

O10 - Unknown file in Winsock LSP: c:\program\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program\f-secure\fsps\program\fslsp.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWSO20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program\Delade filer\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\F-Secure\BackWeb\7681197\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\F-Secure\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: ODBC service - Unknown owner - C:\WINDOWS\system32\odbc.exe (file missing)

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program\Delade filer\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

[/log]

 

Link to comment
Share on other sites

Nu till frågan, ska den aktiveras eller ej?

I så fall kan den aktiveras igen, men det stod "file missing" på den förut och det brukar innebära att det är en rest efter avinstallation så det var därför som jag tyckte den skulle inaktiveras förut.

 

Kan man inte ta bort dem från "Kontrollpanelen - Administrationsverktyg - Tjänster?" för där finns dem kvar fortfarande.

Om du tycker det är viktigt så kan du gå in i registereditorn regedit och leta reda på alla referenser där och ta bort dem. Kom ihåg att göra en systemåterställningspunkt och en säkerhetskopia av registret först.

 

Aktivera TeaTimer igen.

 

Jag ser inget otrevligt i loggen i alla fall. Hur uppför sig datorn?

 

Mina vanliga råd för en säkrare dator har du ju redan fått:

//eforum.idg.se/viewmsg.asp?entriesid=864359#864427

 

 

Link to comment
Share on other sites

Hej där igen!

 

Jag ska varken aktivera nånting eller använda internät banken på den här datorn :)

 

 

Hur uppför sig datorn?

 

Den uppför sej bra tycker jag, förutom att F-secure hittade dessa igår "2st-Renos samt 1st-Darkgain" virusen, logkey eller vad dem än är? :( Nåt är det i burken.

 

 

Mina vanliga råd för en säkrare dator har du ju redan fått:

 

Klart att jag följer alla dina goda råd Miss Cicilia :)

 

 

 

Här är den nya loggen

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 22:19:45, on 2006-11-30

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\F-Secure\Common\FSM32.EXE

C:\Program\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Spybot - Search & Destroy\TeaTimer.exe

C:\Program\SpywareGuard\sgmain.exe

C:\Program\SpywareGuard\sgbhp.exe

C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\BackWeb\7681197\program\fsbwsys.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\Eset\nod32krn.exe

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Anti-Virus\fsqh.exe

C:\Program\F-Secure\Anti-Virus\fsrw.exe

C:\Program\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\FWES\Program\fsdfwd.exe

C:\Program\F-Secure\Common\FIH32.EXE

C:\Program\F-Secure\ANTI-S~1\fsaw.exe

C:\Program\F-Secure\FSGUI\fsguidll.exe

C:\Program\F-Secure\FSGUI\fsavgui.exe

C:\DownloadZZZ\Istallerade program\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program\SpywareGuard\dlprotect.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] "C:\Program\Spybot - Search & Destroy\TeaTimer.exe"

O4 - Startup: SpywareGuard.lnk = C:\Program\SpywareGuard\sgmain.exe

O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Program\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe

O8 - Extra context menu item: &Block this popup - C:\Program\F-Secure\Anti-Spyware\blockpopups.htm

O10 - Unknown file in Winsock LSP: c:\program\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program\f-secure\fsps\program\fslsp.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} -

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: avldr - C:\WINDOWSO20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: DirectX multi version - Unknown owner - C:\WINDOWS\system32\dxcombin.exe (file missing)

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\F-Secure\BackWeb\7681197\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\F-Secure\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program\Eset\nod32krn.exe (file missing)

O23 - Service: ODBC service - Unknown owner - C:\WINDOWS\system32\odbc.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

 

[/log]

 

Link to comment
Share on other sites

Den uppför sej bra tycker jag, förutom att F-secure hittade dessa igår "2st-Renos samt 1st-Darkgain" virusen, logkey eller vad dem än är?

I vilka filer och mappar och komplett beteckning?

 

Inte ha två antivirusprogram igång, det blir inte bra i längden.

 

Tillägg: Glömde ju att tacka för poängen, tack! :)

[inlägget ändrat 2006-12-01 10:10:33 av Cecilia]

Link to comment
Share on other sites

Här är rapporten från F-secure

 

# C:\System Volume Information\_restore{6A77D61F-360F-431B-BC54-262AEE21E831}\RP53\A0024032.EXE Angrepp: Darkgain

# C:\System Volume Information\_restore{6A77D61F-360F-431B-BC54-262AEE21E831}\RP36\A0012592.exe Angrepp: Renos

# C:\System Volume Information\_restore{6A77D61F-360F-431B-BC54-262AEE21E831}\RP33\A0009265.exe Angrepp: Renos

 

Sen har jag inte 2 AV-program igång samtidigt! det ligger säker nån fil i registret från gammla program och lurar, för i "Lägg i och ta bort" ser jag bara F-secure som installerad samt spyware program.

 

Glömde ju att tacka för poängen, tack!

 

Den här poängen skulle du ha fått för länge sen plus en Blombukett minst! Jag hade ingen aning om att man delade ut poäng till varann här på forumet!:)

 

Link to comment
Share on other sites

Tack för blombuketten! :)

 

C:\System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att medan din dator var infekterad så skapade Windows en systemåterställningspunkt. Så länge som otrevligheterna ligger i den mappen så är de ofarliga. Däremot så om du återställer till en tidpunkt då datorn var infekterad så blir även otrevligheterna återställda.

 

Du kan ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning.

 

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta upp NOD32 Kernel Service i listan, dubbelklicka och välj Startmetod Inaktiverad. Ta sedan bort mappen C:\Program\Eset

 

Jag ser att DirectX multi version finns med i loggen igen. Har du aktiverat den i Tjänster? Den skulle väl vara inaktiverad.

 

Link to comment
Share on other sites

Tjena!

 

Nu är jag här igen:)

 

 

Du kan ta bort samtliga systemåterställningspunkter

 

Det har jag gjort nu...;)

 

Leta upp NOD32, DirectX multi version och inaktivera dem

 

Det har jag också gjort nu, Fattar bara inte varför DirektX:en va aktiverad återigen, kan det vart så att datorn har återställt sej till tidigare återställningspunkt utan mitt tillstånd? Isåfall har jag inget minne av det:)

 

 

En annan sak jag funderar över är att min Brandvägg blockar följande process:

 

C:\WINDOWS\system32\dwwin.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\services.exe

 

Jag kan varken tillåta dem eller ta bort dem från den blockerade listan, ska dem vara blockerade, är det verkligen nyttigt? För dem till hör ju Microsoft, om jag inte har fel.

 

Ha en bra kväll.

 

Link to comment
Share on other sites

C:\WINDOWS\system32\dwwin.exe - Dr Watson, felhanteringsprogram, vet inte varför det skulle behöva gå ut på internet

 

C:\WINDOWS\system32\rundll32.exe - Hjälpprogram, kör en dll-fil som om det vore ett program, behöver normalt ingen tillgång till internet

 

C:\WINDOWS\system32\services.exe - Windows Service Controller, hanterar tjänster, såsom start och stopp, ska inte behöva tillgång till internet

 

Kolla om dessa filer finns i datorn i både normalt och felsäkert läge med Utforskaren inställd så att du ser alla filer:

C:\WINDOWS\system32\odbc.exe

C:\WINDOWS\system32\dxcombin.exe

I så fall högerklicka på dem och välj Egenskaper och se om det går att ta reda på vilket företag/produkt de hör till på Versions-fliken.

 

Det kan också vara TeaTimer som strular. Högerklicka på dess ikon vid klockan och välj Settings, tryck på Allowed resp. Blocked registry changes och se om det finns något där om dessa tjänster. I så fall ta bort de raderna (tryck på X). Visa tjänster igen och sätt dem till Inaktiverade igen, då borde det komma upp en fråga från TeaTimer och så svarar du A som i Accept.

 

Link to comment
Share on other sites

Nu har ställt till det för mej själv:)

 

Kolla om dessa filer finns i datorn i både normalt och felsäkert läge med Utforskaren inställd så att du ser alla filer:

C:\WINDOWS\system32\odbc.exe

C:\WINDOWS\system32\dxcombin.exe

 

När jag först kollade efter ovanstående filer i system32 mapen så hittade jag inga.

 

Sen kopierade jag "hela namnet på filerna" in i wordPad och sparade den som "C:\WINDOWS\system32\odbc.exe", för att kunna leta upp dem i felsäkertläge senare. Men nu kommer det roliga...

 

Jag är nästan helt säker på att jag råka spara WordPad documentet inne i System32 mappen av nån konstig anledning, och nu hitta jag en liten Filtyp-program på 62-byte i System32mappen med beteckningen "odbc",

som är skapad just idag, presic vid det tillfället jag sparade den Wordpad ducomentet. Beksrivningen på den är bara just "odbc" och inget annat.

 

Efter att jag självmant startade om datorn så började Teatimer tjuta som bara den..så nu har jag stängt av Teatimer.

 

Kan det vara möjligt att ett Wordpad dokument kan ställa till det för system32 mappen så mycket? Ska jag tar bort den filen, vad är det för fil gentligen som jag nästan är helt säker på att jag har skapat med hjälp av Wordpad?

 

 

 

 

 

Link to comment
Share on other sites

Sen kopierade jag "hela namnet på filerna" in i wordPad och sparade den som "C:\WINDOWS\system32\odbc.exe"

Du sparade filen som odbc.exe i mappen system32, om jag förstår dig rätt.

 

62 bytes låter väl som en rimlig storlek på det du sparade i filen. Ta du bort odbc.exe i system32-mappen för det är filen som du sparade i WordPad. Om inte WordPad klagade när du sparade filen så kan det inte heller ha funnits någon odbc.exe i system32-mappen tidigare heller (fast något ovanligt sätt att ta reda på en fil finns eller inte).

 

Link to comment
Share on other sites

Du sparade filen som odbc.exe i mappen system32, om jag förstår dig rätt.

 

Det tror jag med all säkerhet cici...Ska jag ta bort den? Varför skulle jag från första början kolla om dem 2 fillerna fanns i system mappen från första början? det hajja inte jag:) Jag frågar rent av intresse, Hoppas det inte misstolkas.

 

fast något ovanligt sätt att ta reda på en fil finns eller inte).

 

Alla sätt är bra bara om den är logiskt...och det är den!;)

 

Link to comment
Share on other sites

Eftersom de dök upp i loggen igen så blev jag lite orolig att det finns något i datorn som skapar filerna och aktiverar dem bland tjänsterna.

 

Ta du bort filen du skapade. :thumbsup:

 

Link to comment
Share on other sites

Ahaaa....Nu är jag me!

 

Ska bara skriva klart ett arbete och skriva ut det sen. Sen kommer jag trycka på "ta Bort" knappen, Så feg man kan vara va.:)

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...