Just nu i M3-nätverket
Jump to content

Modemkapning


Guest idgadmin

Recommended Posts

Guest idgadmin

Hej

Jag har blivit utsatt för modemkapare och försöker nu rensa datorn. Nedan är loggen från HIJ. Någon som kan tolka den åt mig. Vad jag förstår så är programmet svchost.exe ett kaparprogram eller?

 

Hoppas på hjälp

Sven

Logfile of HijackThis v1.97.7

Scan saved at 10:43:13, on 2004-04-05

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\Ati2evxx.exe

C:\Program\NavNT\defwatch.exe

C:\WINNT\system32\NALNTSRV.EXE

C:\Program\NavNT\rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\wm.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\NOVELL\ZENRC\wuser32.exe

C:\WINNT\system32\WMRUNDLL.EXE

C:\WINNT\system32\spmonnt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\atiptaxx.exe

C:\WINNT\LTSMMSG.exe

C:\WINNT\system32\NWTRAY.EXE

C:\Program\NavNT\vptray.exe

C:\WINNT\system32\NALDESK.EXE

C:\Program\Fujitsu\BATTERYAID\BATTERYAID.exe

C:\WINNT\system32\PRPCUI.exe

C:\Program\Fujitsu\BtnHnd\BtnHnd.exe

C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program\DELADE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe

C:\WINNT\system32\internat.exe

C:\Program\Bluffstopparen\Bluffstopparen.exe

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\Program\Fujitsu\Fujitsu Quick Touch\AUVCore.exe

C:\Program\Microsoft Office\Office\Outlook.exe

C:\Program\Delade filer\System\MAPI\1053\nt\MAPISP32.EXE

C:\WINNT\system32\wuauclt.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Temp\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://evreka.passagen.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Program\FlashGet\jccatch.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program\FlashGet\fgiebar.dll

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe

O4 - HKLM\..\Run: [vptray] C:\Program\NavNT\vptray.exe

O4 - HKLM\..\Run: [bATTERYAID] C:\Program\Fujitsu\BATTERYAID\BATTERYAID.exe

O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe

O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program\Fujitsu\BtnHnd\BtnHnd.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Program\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe

O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\Program\DELADE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [host] C:\WINNT\system32\hosts.vbs

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [sVCHOST] C:\WINNT\svchost.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Bluffstopparen.lnk = C:\Program\Bluffstopparen\Bluffstopparen.exe

O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe

O4 - Global Startup: Fujitsu Quick Touch.lnk = C:\Program\Fujitsu\Fujitsu Quick Touch\AUVCore.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Download All by FlashGet - C:\Program\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program\FlashGet\jc_link.htm

O8 - Extra context menu item: Sök med Eniro - res://C:\WINNT\system32\ToolBand_SV.dll/MENUSEARCH.HTM

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/beta/vet_install_popup.pl?1&4&04.00.05.04&http://www9.volvo.com/truck/3dtruckconfigurator2/all/fh16.asp

O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.skandiabanken.se/CertControl/X86/xenroll.dll

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://194.18.89.220/activex/AxisCamControl.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37876.3544097222

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

 

 

 

Link to comment
Share on other sites

Hej.

 

Nej, svchost är ett legitimt program, även om det finns otrevliga varianter, som oftast har ett lite avvikande namn.

Varianterna kan vara tex SVCHOST eller svch0st, eller liknande.

 

Dock såg jag

[FET]

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Program\FlashGet\jccatch.dll

 

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program\FlashGet\fgiebar.dll

 

O8 - Extra context menu item: Download All by FlashGet - C:\Program\FlashGet\jc_all.htm

 

O8 - Extra context menu item: Download using FlashGet - C:\Program\FlashGet\jc_link.htm

[/FET], som du bör ta bort.

 

Instruktioner finns på

http://www.pestpatrol.com/PestInfo/f/flashget.asp

Alternativt går du till http://www.kephyr.com/spywarescanner/library/hosts.vbs/index.phtml

och laddar hem Bazooka...

 

Följande tar du bort med HJT:

O4 - HKLM\..\Run: [host] C:\WINNT\system32\hosts.vbs

Använd sedan sök för att söka efter filen, och ta bort den.

 

 

Link to comment
Share on other sites

Guest idgadmin

Nej,svchost.exe är inte ett kaparprogram.

 

svchost.exe är en nödvändig systemprocess som du inte ska röra!

 

 

 

 

 

Link to comment
Share on other sites

Hej alla!

 

Ang "svchost.exe".

 

Det beror på var någonstans den här filen lägger sig i datorn.

 

Titta på var den ligger. Elakingarna tar Windowsnamn och lägger dom någon annanstans.

 

Denna är riktig:

C:\WINDOWs\system32\svchost.exe

 

Detta är virus:

C:\WINDOWs\svchost.exe

 

 

Hälsningar: Malou

 

 

***** Ha En Fortsatt Underbar Dag *****

 

 

 

 

 

 

Link to comment
Share on other sites

Det här är också virus:

 

C:\WINDOWS\system32\drivers\svchost.exe

 

AMD Duron 1,2 Ghz 256 MB 20 + 80 GB GeForce 4 MX440 64 MB

 

Link to comment
Share on other sites

Guest idgadmin

Tack för alla svar. Problemet är borttaget. Men fortfarande så tycker jag att bluffstopparen skulle ha signalerat. Den upptäckte inte att telefonnumret ändrades utan ställde frågan om jag ville acceptera mitt vanliga nummer.

 

Link to comment
Share on other sites

Det kan man tycka.

Samtidigt så är det så att det är ett program.

 

Säkerligen så finns det någon bugg, eller så har någon kommit på hur man kan lura Bluffstopparen.

Iofs så får man väl beteckna även det som en bugg....

 

Skönt att du fått bort skräper i alla fall.

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...