Just nu i M3-nätverket
Jump to content

Problem i min HijackThis-logg?


nisseö

Recommended Posts

Hej

 

Vore tacksam för hjälp med följande:

 

KASPERSKY ONLINE SCANNER upptäckte vad den kallade "not-a-virus:RiskTool.Win32.HideWindows" och satte CMDOW.EXE i karantän, utan att tala om var filen hittades.

 

Jag laddade upp filen till Virus Total och där fick jag ytterligare tre träffar:

AntiVir APPL/HideWindows.31232.1

DrWeb Tool.HideWindows

F-Secure RiskTool.Win32.HideWindows

 

Vad jag förstår är cmdow.exe en legitim fil. Datorn visar inga infektionssymptom, men är kanske slöare än vanligt. Avslöjar min HijackThis-logg något?

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:59:58, on 2009-07-19

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\COMODO\Firewall\cmdagent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Bluetooth\Bluetooth Software\bin\btwdins.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\TpKmpSVC.exe

C:\Program\ThinkPad\ConnectUtilities\AcSvc.exe

C:\Program\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program\ThinkPad\ConnectUtilities\ACWLIcon.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe

C:\Program\ThinkPad\UTILIT~1\EzEjMnAp.Exe

C:\Program\Lenovo\TrackPoint\tp4serv.exe

C:\Program\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe

C:\Program\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\COMODO\Firewall\cfp.exe

C:\WINDOWS\system32\iid.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgnsx.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Java\jre6\bin\java.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/ig?hl=sv&source=iglk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.realnetworks.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll

O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program\pdfforge Toolbar\WidgiToolbarIE.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll

O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program\Google\Google Toolbar\GoogleToolbar.dll

O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program\pdfforge Toolbar\WidgiToolbarIE.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ACWLIcon] C:\Program\ThinkPad\ConnectUtilities\ACWLIcon.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\Program\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [EZEJMNAP] C:\Program\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program\ThinkPad\Program\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [TrackPointSrv] C:\Program\Lenovo\TrackPoint\tp4serv.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program\COMODO\Firewall\cfp.exe" -h

O4 - HKLM\..\Run: [soundMax] "C:\Program\Analog Devices\SoundMAX\smax4.exe" /tray

O4 - HKLM\..\Run: [Net iD] C:\WINDOWS\system32\iid.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [searchSettings] C:\Program\pdfforge Toolbar\SearchSettings.exe

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program\COMODO\Firewall\cfp.exe" -h

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Lokala inställningar\Temp" (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Lokala inställningar\Temp" (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Skicka till &Bluetooth-enhet... - C:\Program\Bluetooth\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll

O9 - Extra 'Tools' menuitem: &Inställningar i Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} (IASRunner Class) - http://www-307.ibm.com/pc/support/acpir.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229014517518

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229014472834

O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab

O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll

O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Program\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program\ThinkPad\ConnectUtilities\AcSvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program\Bluetooth\Bluetooth Software\bin\btwdins.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program\COMODO\Firewall\cmdagent.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Update Service (gupdate1c980cb14beddb6) (gupdate1c980cb14beddb6) - Google Inc. - C:\Program\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: System Update (SUService) - Unknown owner - c:\program\lenovo\system update\suservice.exe (file missing)

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

 

--

End of file - 11816 bytes

[/log]

 

Tack på förhand

Nils Östergren

 

Link to comment
Share on other sites

Ska det vara det cmdow.exe som det skrivs om på

http://www.commandline.co.uk/cmdow/ ?

 

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program\pdfforge Toolbar\WidgiToolbarIE.dll

Verkar vara något som ska avinstalleras enligt

http://www.systemlookup.com/CLSID/34383-SearchSettings_dll.html

http://www.systemlookup.com/CLSID/57018-WidgiToolbarIE_dll.html

 

Jag hoppas att du inte installerade Comodos antivirusprogram när du installerade Comodo eftersom du har AVG installerat.

 

Link to comment
Share on other sites

Hej och tack för ditt svar. Såg det först nu. Aviseringen tycks inte funka.

 

Ska det vara det cmdow.exe som det skrivs om på

http://www.commandline.co.uk/cmdow/ ?

Mycket möjligt. Men jag lyckas inte förstå hur jag får jag fram filens checksum. Finns det ett enkelt trick?

 

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program\pdfforge Toolbar\WidgiToolbarIE.dll

Verkar vara något som ska avinstalleras

Ja, det följde med ett pdf-fixar-program som jag inte är nöjd med. Tar bort det.

 

ag hoppas att du inte installerade Comodos antivirusprogram när du installerade Comodo eftersom du har AVG installerat.

Nej, det gjorde jag inte.

 

Link to comment
Share on other sites

Har du någon aning om varifrån cmdow.exe kommer ifrån?

Sätter verkligen Kasperskys online-skanner filer i karantän? Jag har för mig att den bara varnar om filer. Sök igenom datorn efter cmdow.exe och se om du hittar någon.

 

Man ska inte ha två antivirusprogram igång samtidigt eftersom det kan leda till slö dator och konstiga problem. Eftersom det är okänt hur bra Comodos antivirusprogram är, åtminstone har jag inte lyckats hitta någon test, så rekommenderar jag inte det.

 

Link to comment
Share on other sites

Har du någon aning om varifrån cmdow.exe kommer ifrån?

Nej.

Sätter verkligen Kasperskys online-skanner filer i karantän?

Skanningen resulterade i följande logtext:

[log]

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0 REPORT

Sunday, July 19, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Program database last update: Saturday, July 18, 2009 19:13:50

Records in database: 2489756

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

C:\

 

Scan statistics:

Files scanned: 81994

Threat name: 1

Infected objects: 1

Suspicious objects: 0

Duration of the scan: 02:47:26

 

 

File name / Threat name / Threats count

C:\Documents and Settings\AdmNisse\.housecall6.6\Quarantine\CMDOW.EXE.bac_a00628 Infected: not-a-virus:RiskTool.Win32.HideWindows 1[/log]

 

Sök igenom datorn efter cmdow.exe och se om du hittar någon.
Sökfunktionen hittar bara filen i karantänen.

 

Man ska inte ha två antivirusprogram igång samtidigt.

Konstigt. Vad jag vet kör jag bara brandväggen, eller ser du något annat i hjt-loggen?

 

Har problem med rehash.exe. Återkommer när jag får fram checksum.

 

Link to comment
Share on other sites

Har nu gjort en jämförelse mellan karantänfilen och den cmdow-fil som finns på

http://www.commandline.co.uk/cmdow/

med hjälp av ett program som heter HashCalc och som finns här

http://www.slavasoft.com/hashcalc/

 

Tyvärr är jag inte helt säker på att jag kalkylerar med rätt algoritmer, men följande fyra visar karantänfilen på den övre raden och exempelfilen från Commandline på den undre.

 

MD5

d83e13bc3235611569942d61a46495f5

48a78bf8ef453d9ca4d6c0587ae2de94

 

SHA1

bce9d694a8d7d0b069d45fd8a456c6274e76cce6

fdcc71edb09d13165abb106dec95b5376cc05527

 

RIPEMD160

f7a064e0d00cee48d45ebc6d870cb32ac0cb39d9

c9ff3adcc6939ae4e0e7483c1c725310fb63f9a8

 

CRC32

3795f64f

ad61a2a4

 

Kan jag av detta dra slutsatsen att den cmdow-fil som Kaspersky satte i karantän är infekterad och ska tas bort?

 

Link to comment
Share on other sites

C:\Documents and Settings\AdmNisse\.housecall6.6\Quarantine\CMDOW.EXE.bac_a00

Det är alltså en fil som någon gång har satts i karantän av HouseCall (Trend Micros online-skanning). Filen var alltså redan oskadliggjord/oanvändbar när Kaspersky hittade den.

 

Konstigt. Vad jag vet kör jag bara brandväggen, eller ser du något annat i hjt-loggen?
Förlåt, jag missuppfattade nog vad du skrev förut. Jag tolkade det fel.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...