Just nu i M3-nätverket
Gå till innehåll

explorer.exe processen avslutas direk när jag startar den.


solecki

Rekommendera Poster

Hej

 

Nu är det såhär att jag ahr ett jobbigt problem. Det är nämligen så att direkt när jag loggar in på ett windows användarkonto så ser jag hur taskbaren startas som vanligt, för att sedan försvinna (stängas ner). När jag kollar i aktivitetshanteraren så ser jag då att explorer.exe processen har stängts av.

Jag har försökt att starta processen (både i felsäkertläge och normalt läge) men den stängs bara av hela tiden.

Det jag misstänker som stänger av processen är en 'felaktigt' svchost.exe process. När jag är inne i felsäkertläge hittar jag två stycken svchost.exe processer, den ena är den 'riktiga' (har testat stänga av den och då kommer systemnerstängnings rutan fram) och den andra misstänker jag är bunden med något jobbigt virus/script eller liknande. Kan också tillägga att den 'felaktiga' svchost.exe processen alkolerar mer minne än den 'riktiga'.

Dessutom så om jag stänger av svchost.exe processerna och försöker starta explorer.exe så startas inte den processen förens svchost.exe processerna har startats om igen, och då stängs explorer.exe processen av igen som "vanligt" (tillägger också att det hörs ett konstigt ljud från diskettstationen varje gång jag försöker starta explorer.exe, om det nu skulle ringa i några klockor/vara viktig info).

 

Jag hoppas det finns några här på idg forum som kan komma fram med en lösning på mitt problem.

Ha överseende med stavfel o.s.v. och meddela mig om jag postat forum tråden på fel ställe, jag är helt ny här och har lite svårt att navigera :P

 

Länk till kommentar
Dela på andra webbplatser

Stefan Eklinder

 

Kör ett onlinescan och se vad det hittar:

http://www.pandasoftware.com/products/activescan.htm

 

Hittar det inget och problemet kvarstår, så kan du posta en Hijackthis:

 

http://www.thespykiller.co.uk/files/HJTsetup.exe

Installera, kör, skanna och spara loggen (inget annat).

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Rör inget förrän Cecilia och våra andra loggexperter tittat på loggen.

 

---

C:\Eforum\Stefan Eklinder>|

 

"Om allt verkar gå bra, måste du ha missat något."

 

- Steven Wright

 

 

 

Länk till kommentar
Dela på andra webbplatser

[log]Logfile of HijackThis v1.99.1

Scan saved at 21:30:38, on 2006-12-09

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\WINDOWS\System32\wdfmgr.exe

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Common\FIH32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\WINDOWS\System32\cmd.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://slan.nu/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer erhållet av soleC:\ki>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: Seekmo Search Assistant Helper /fleok=1D8A83A5C5E0167791A975760EA83FA5EF80752B94E3D87D587E442A3ECF - {5929CD6E-2062-44a4-B2C5-2C7E78FBAB38} - c:\program\seekmo\seekmohook.dll (file missing)

O2 - BHO: (no name) - {DEE0EDDF-3809-4FEF-8A98-F137EEB9E351} - C:\WINDOWS\System32\msab.dll (file missing)

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [sygate Personal Firewall] Sygate.exe

O4 - HKLM\..\Run: [taskopen.exe] taskopen.exe

O4 - HKLM\..\Run: [EXE32EXE] RtlFindVal.exe

O4 - HKLM\..\Run: [sbin] dePloy.exe

O4 - HKLM\..\Run: [ias] C:\Program\Invisible Activity Spy 2.3\Ias.exe

O4 - HKLM\..\Run: [Windows32Bit Service] C:\WINDOWS\winsys32.exe

O4 - HKLM\..\Run: [seekmo] "c:\program\seekmo\seekmo.exe"

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

O4 - HKLM\..\RunServices: [sygate Personal Firewall] Sygate.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O12 - Plugin for .mpg: C:\Program\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/dev/code/IE_1070/DownloadManager.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0261d13a446a4147af16/netzip/RdxIE601.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139750179173

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by2fd.bay2.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F919FC2-B6C1-43BE-8B1C-0F2BEF439924}: NameServer = 85.255.116.52,85.255.112.106

O17 - HKLM\System\CCS\Services\Tcpip\..\{451503E0-25D4-480F-B393-BA5A359AEBCF}: NameServer = 85.255.116.52,85.255.112.106

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.52 85.255.112.106

O17 - HKLM\System\CS1\Services\Tcpip\..\{0F919FC2-B6C1-43BE-8B1C-0F2BEF439924}: NameServer = 85.255.116.52,85.255.112.106

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.52 85.255.112.106

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\Program\Google\GOOGLE~1\GOEC62~1.DLL

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

[/log]

 

log fixad men tyvärr kan jag inte köra en scan på pandasoftware.com eftersom jag har exakt samma problem med iexplore.exe processen, och det krävs en ie webbläsare för att köra en scan (sitter i ff för tillfället).

 

Länk till kommentar
Dela på andra webbplatser

Platform: Windows XP SP1

 

Sp1 när sp2 varit ute i flera år. Tror inte vi behöver felsöka så mycket mer än så.

Bara du ser till att hålla datorn uppdaterad så slipper du det mesta otyg.

[inlägget ändrat 2006-12-09 22:36:40 av Hundbert]

Länk till kommentar
Dela på andra webbplatser

Ja det kan vara en orsakande faktor till problemet, men problemet kvarstår tyvärr för det.

Jag skulle uppskatta en lösning bortsätt från en hårddisks formatering.

 

Länk till kommentar
Dela på andra webbplatser

Det är flera otrevligheter i den loggen. Bland annat sådana som öppnar bakdörrar till datorn så att andra kan komma åt den från internet. Håll internetanslutningen urdragen så mycket som möjligt och när datorn är ren byt alla lösenord i datorn och på internet.

 

Ladda ner FixWareout från en av dessa platser och spara t ex på Skrivbordet:

http://downloads.subratam.org/Fixwareout.exe

http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe

 

Stäng alla program eftersom datorn kommer att startas om snart.

 

Dubbelklicka på den just nedladdade filen för att starta programmet FixWareout.

 

Tryck sedan Next, Install, kolla att Run fixit är förbockad och tryck Finish.

Fixen börjar köra, följ alla anvisningar. När du blir ombedd att starta om datorn så gör det. Det är normalt att omstarten tar längre tid än vanligt.

Klistra in loggfilen C:\fixwareout\report.txt som normalt öppnas automatiskt och en ny HijackThis-logg i ditt svar samt skriv hur det har gått.

 

Länk till kommentar
Dela på andra webbplatser

[log]

Fixwareout

Last edited 12/06/2006

Post this report in the forums please

...

Prerun check

[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"="csclv.exe"

...

...

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}80B7415E12DA-E1DB-5E04-1544-527D6B2C{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D8FCD1585872-5ECB-CD64-F672-0762A1EA{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\asvmd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes

...

 

Random Runs removed from HKLM

"dmvsa.exe"=-

...

...

 

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

 

»»»»» Searching by size/names...

 

»»»»»

Search five digit cs, dm kd and jb files.

This WILL/CAN also list Legit Files, Submit them at Virustotal

C:\WINDOWS\SYSTEM32\CSCLV.EXE 51 728 2006-11-02

C:\WINDOWS\SYSTEM32\DMOFY.EXE 60 961 2002-09-09

C:\WINDOWS\SYSTEM32\DMVSA.EXE 60 961 2002-09-09

 

Other suspects.

C:\WINDOWS\System32\{3D9E3D4B-0FDA-4706-A76F-DB0D4BD446EF}.exe

C:\WINDOWS\System32\{C0770A00-59C4-403A-9511-D2C38B829304}.exe

 

»»»»» Misc files.

C:\WINDOWS\System32\xscan.exe

 

»»»»» Checking for older varients covered by the Rem3 tool.

C:\WINDOWS\System32\unlodctl.exe

C:\WINDOWS\System32\spnping.exe

C:\WINDOWS\System32\openconf.exe

C:\WINDOWS\System32\nlsfuncs.exe

...

Postrun check

[/log]

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 10:04:57, on 2006-12-10

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\WINDOWS\System32\taskmgr.exe

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\Program\F-Secure\Common\FIH32.EXE

C:\cmd.exe

C:\WINDOWS\system32\ntvdm.exe

C:\WINDOWS\system32\cmd.exe

C:\fixwareout\FindT\regdiff.exe

C:\WINDOWS\System32\notepad.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\System32\cmd.exe

C:\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://slan.nu/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer erhållet av soleC:\ki>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: Seekmo Search Assistant Helper /fleok=1D8A83A5C5E0167791A975760EA83FA5EF80752B94E3D87D587E442A3ECF - {5929CD6E-2062-44a4-B2C5-2C7E78FBAB38} - c:\program\seekmo\seekmohook.dll (file missing)

O2 - BHO: (no name) - {DEE0EDDF-3809-4FEF-8A98-F137EEB9E351} - C:\WINDOWS\System32\msab.dll (file missing)

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [sygate Personal Firewall] Sygate.exe

O4 - HKLM\..\Run: [EXE32EXE] RtlFindVal.exe

O4 - HKLM\..\Run: [sbin] dePloy.exe

O4 - HKLM\..\Run: [ias] C:\Program\Invisible Activity Spy 2.3\Ias.exe

O4 - HKLM\..\Run: [Windows32Bit Service] C:\WINDOWS\winsys32.exe

O4 - HKLM\..\Run: [seekmo] "c:\program\seekmo\seekmo.exe"

O4 - HKLM\..\RunServices: [sygate Personal Firewall] Sygate.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O12 - Plugin for .mpg: C:\Program\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/dev/code/IE_1070/DownloadManager.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0261d13a446a4147af16/netzip/RdxIE601.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139750179173

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by2fd.bay2.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F919FC2-B6C1-43BE-8B1C-0F2BEF439924}: NameServer = 85.255.116.52,85.255.112.106

O17 - HKLM\System\CCS\Services\Tcpip\..\{451503E0-25D4-480F-B393-BA5A359AEBCF}: NameServer = 85.255.116.52,85.255.112.106

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.52 85.255.112.106

O17 - HKLM\System\CS1\Services\Tcpip\..\{0F919FC2-B6C1-43BE-8B1C-0F2BEF439924}: NameServer = 85.255.116.52,85.255.112.106

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.52 85.255.112.106

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\Program\Google\GOOGLE~1\GOEC62~1.DLL

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

[/log]

 

Det går fortfarande inte att starta explorer och när jag körde fixwareout programmet så kom ett sånt här felmeddelande fram:

 

'regcliff.exe - det går inte att hitta en komponen

 

Det här programmet kunde inte startas eftersom MSVCR71.dll inte kunde hittas. Det här problemet kanske kan rättas till genom att du installerar om programmet.'

 

om det nu skulle vara till någon hjälp.

 

Länk till kommentar
Dela på andra webbplatser

FixWareout tycks ha gjort det mesta i alla fall enligt loggen.

 

Gå till http://www.virustotal.com/ klistra in ett av följande filnamn i rutan, tryck på Send och vänta tills resultatet är klart (Status blir Finished). Om något otrevligt hittas i filen så ta bort den. Upprepa med nästa filnamn.

C:\WINDOWS\SYSTEM32\CSCLV.EXE

C:\WINDOWS\SYSTEM32\DMOFY.EXE

C:\WINDOWS\SYSTEM32\DMVSA.EXE

C:\WINDOWS\System32\xscan.exe

C:\WINDOWS\System32\{3D9E3D4B-0FDA-4706-A76F-DB0D4BD446EF}.exe

C:\WINDOWS\System32\{C0770A00-59C4-403A-9511-D2C38B829304}.exe

C:\WINDOWS\System32\unlodctl.exe

C:\WINDOWS\System32\spnping.exe

C:\WINDOWS\System32\openconf.exe

C:\WINDOWS\System32\nlsfuncs.exe

Skriv om det är någon fil som inte går att ta bort, dock inte om det beror på att filen inte finns.

 

[log]Skanna med HijackThis och bocka för:

 

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: Seekmo Search Assistant Helper /fleok=1D8A83A5C5E0167791A975760EA83FA5EF80752B94E3D87D587E4

42A3ECF - {5929CD6E-2062-44a4-B2C5-2C7E78FBAB38} - c:\program\seekmo\seekmohook.dll (file missing)

O2 - BHO: (no name) - {DEE0EDDF-3809-4FEF-8A98-F137EEB9E351} - C:\WINDOWS\System32\msab.dll (file missing)

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll (file missing)

O4 - HKLM\..\Run: [sygate Personal Firewall] Sygate.exe

O4 - HKLM\..\Run: [EXE32EXE] RtlFindVal.exe

O4 - HKLM\..\Run: [sbin] dePloy.exe

O4 - HKLM\..\Run: [Windows32Bit Service] C:\WINDOWS\winsys32.exe

O4 - HKLM\..\Run: [seekmo] "c:\program\seekmo\seekmo.exe"

O4 - HKLM\..\RunServices: [sygate Personal Firewall] Sygate.exe

O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/dev/code/

IE_1070/DownloadManager.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0261d13a446a4147af16/netzip/RdxIE601.

cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F919FC2-B6C1-43BE-8B1C-0

F2BEF439924}: NameServer = 85.255.116.52,85.255.112.106

O17 - HKLM\System\CCS\Services\Tcpip\..\{451503E0-25D4-480F-B393-B

A5A359AEBCF}: NameServer = 85.255.116.52,85.255.112.106

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.52 85.255.112.106

O17 - HKLM\System\CS1\Services\Tcpip\..\{0F919FC2-B6C1-43BE-8B1C-0

F2BEF439924}: NameServer = 85.255.116.52,85.255.112.106

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.52 85.255.112.106

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

 

Om du inte själv har installerat InvisibleASpy keystroke logger/monitoring program så även denna rad:

O4 - HKLM\..\Run: [ias] C:\Program\Invisible Activity Spy 2.3\Ias.exe

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Ta bort filerna (om de finns kvar):

C:\WINDOWS\System32\msab.dll

C:\WINDOWS\System32\iecust.dll

C:\WINDOWS\System32\Sygate.exe

C:\WINDOWS\System32\RtlFindVal.exe

C:\WINDOWS\System32\dePloy.exe

C:\WINDOWS\winsys32.exe

C:\WINDOWS\System32\vbsys2

 

Ta bort mapparna (om de finns kvar):

c:\program\seekmo

 

Starta om i normalt läge och så en ny HijackThis-logg.[/log]

 

Länk till kommentar
Dela på andra webbplatser

[log]Logfile of HijackThis v1.99.1

Scan saved at 22:02:25, on 2006-12-10

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program\F-Secure\Common\FSM32.EXE

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\WINDOWS\System32\cmd.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Common\FIH32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://slan.nu/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer erhållet av soleC:\ki>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O12 - Plugin for .mpg: C:\Program\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139750179173

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by2fd.bay2.hotmail.msn.com/activex/HMAtchmt.ocx

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\Program\Google\GOOGLE~1\GOEC62~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

[/log]

 

Nu så har jag fått bort en hel del adware, trojan downloader och en hel del annat otrevligt, men den förbannade explorer.exe processen stängs fortfarande av :(

Jag följde alla dina steg till punkt och pricka iaf.

Vet inte vad det kan vara som stänger av processen, dock så tror jag fortfarande på att en av de två svchost.exe processerna som startar upp sig själva efter att jag stängt av dom, har med saken att göra.

När jag stänger båda processerna (svchost) och efter det startar explorer.exe så startar inte explorer förens jag ser att svchost.exe dyker upp i aktivitetshanteraren.

Finns det inget verktyg som man kan kolla om en fil är bunden med en annan eller dylikt?

Tack för hjälpen iaf.

 

Länk till kommentar
Dela på andra webbplatser

Du har bara en fil C:\WINDOWS\System32\svchost.exe som körs, däremot så körs den i dubbla upplagor. Det är normalt att den filen körs i flera upplagor, själv har jag 5 stycken för tillfället. Den filen hjälper andra program med vissa vanliga funktioner, troligen så behöver explorer använda sig av någon av dessa vanliga funktioner. Men visst kan du skanna filen på virustotal-sidan.

 

Skanna med HijackThis och bocka för:

 

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn.

Det är det enda konstiga som syns i HijackThis-loggen, men det är inte allt som syns i en HijackThis-logg. Denna online-skanning går bra med Firefox:

http://housecall.trendmicro.com/

Sedan så skadar det ju inte att köra ett bra antispionprogram som AVG Anti-Spyware (Ewido) eller SUPERAntiSpyware:

http://www.ewido.net/en/

http://www.superantispyware.com/

 

Om inte de heller hittar något som hjälper, så kolla i Loggboken (Kontrollpanelen - Administrationsverktyg) vad det kommer för Fel precis när Explorer eller Internet Explorer kraschar. Sedan kan man använda Källa (source) och Händelse id (event id) för att hitta mer info på internet, t ex här:

http://www.eventid.net/

 

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...