Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

Modemkapning

Gäst idgadmin

Startad av Gäst idgadmin,
i Virus, skadliga program & botemedel

Rekommendera Poster

Gäst idgadmin

Gäst idgadmin

Postad
Postad

Hej

Jag har blivit utsatt för modemkapare och försöker nu rensa datorn. Nedan är loggen från HIJ. Någon som kan tolka den åt mig. Vad jag förstår så är programmet svchost.exe ett kaparprogram eller?

 

Hoppas på hjälp

Sven

Logfile of HijackThis v1.97.7

Scan saved at 10:43:13, on 2004-04-05

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\Ati2evxx.exe

C:\Program\NavNT\defwatch.exe

C:\WINNT\system32\NALNTSRV.EXE

C:\Program\NavNT\rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\wm.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\NOVELL\ZENRC\wuser32.exe

C:\WINNT\system32\WMRUNDLL.EXE

C:\WINNT\system32\spmonnt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\atiptaxx.exe

C:\WINNT\LTSMMSG.exe

C:\WINNT\system32\NWTRAY.EXE

C:\Program\NavNT\vptray.exe

C:\WINNT\system32\NALDESK.EXE

C:\Program\Fujitsu\BATTERYAID\BATTERYAID.exe

C:\WINNT\system32\PRPCUI.exe

C:\Program\Fujitsu\BtnHnd\BtnHnd.exe

C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program\DELADE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe

C:\WINNT\system32\internat.exe

C:\Program\Bluffstopparen\Bluffstopparen.exe

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\Program\Fujitsu\Fujitsu Quick Touch\AUVCore.exe

C:\Program\Microsoft Office\Office\Outlook.exe

C:\Program\Delade filer\System\MAPI\1053\nt\MAPISP32.EXE

C:\WINNT\system32\wuauclt.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Temp\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://evreka.passagen.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Program\FlashGet\jccatch.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program\FlashGet\fgiebar.dll

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe

O4 - HKLM\..\Run: [vptray] C:\Program\NavNT\vptray.exe

O4 - HKLM\..\Run: [bATTERYAID] C:\Program\Fujitsu\BATTERYAID\BATTERYAID.exe

O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe

O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program\Fujitsu\BtnHnd\BtnHnd.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Program\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe

O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\Program\DELADE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [host] C:\WINNT\system32\hosts.vbs

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [sVCHOST] C:\WINNT\svchost.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Bluffstopparen.lnk = C:\Program\Bluffstopparen\Bluffstopparen.exe

O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe

O4 - Global Startup: Fujitsu Quick Touch.lnk = C:\Program\Fujitsu\Fujitsu Quick Touch\AUVCore.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Download All by FlashGet - C:\Program\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program\FlashGet\jc_link.htm

O8 - Extra context menu item: Sök med Eniro - res://C:\WINNT\system32\ToolBand_SV.dll/MENUSEARCH.HTM

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/beta/vet_install_popup.pl?1&4&04.00.05.04&http://www9.volvo.com/truck/3dtruckconfigurator2/all/fh16.asp

O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.skandiabanken.se/CertControl/X86/xenroll.dll

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://194.18.89.220/activex/AxisCamControl.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37876.3544097222

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

 

 

 

Länk till kommentar
Dela på andra webbplatser
Mij

Mij

Postad
Postad

Hej.

 

Nej, svchost är ett legitimt program, även om det finns otrevliga varianter, som oftast har ett lite avvikande namn.

Varianterna kan vara tex SVCHOST eller svch0st, eller liknande.

 

Dock såg jag

[FET]

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Program\FlashGet\jccatch.dll

 

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program\FlashGet\fgiebar.dll

 

O8 - Extra context menu item: Download All by FlashGet - C:\Program\FlashGet\jc_all.htm

 

O8 - Extra context menu item: Download using FlashGet - C:\Program\FlashGet\jc_link.htm

[/FET], som du bör ta bort.

 

Instruktioner finns på

http://www.pestpatrol.com/PestInfo/f/flashget.asp

Alternativt går du till http://www.kephyr.com/spywarescanner/library/hosts.vbs/index.phtml

och laddar hem Bazooka...

 

Följande tar du bort med HJT:

O4 - HKLM\..\Run: [host] C:\WINNT\system32\hosts.vbs

Använd sedan sök för att söka efter filen, och ta bort den.

 

 

Länk till kommentar
Dela på andra webbplatser
Gäst idgadmin

Gäst idgadmin

Postad
Postad

Nej,svchost.exe är inte ett kaparprogram.

 

svchost.exe är en nödvändig systemprocess som du inte ska röra!

 

 

 

 

 

Länk till kommentar
Dela på andra webbplatser
Malou_031

Malou_031

Postad
Postad

Hej alla!

 

Ang "svchost.exe".

 

Det beror på var någonstans den här filen lägger sig i datorn.

 

Titta på var den ligger. Elakingarna tar Windowsnamn och lägger dom någon annanstans.

 

Denna är riktig:

C:\WINDOWs\system32\svchost.exe

 

Detta är virus:

C:\WINDOWs\svchost.exe

 

 

Hälsningar: Malou

 

 

***** Ha En Fortsatt Underbar Dag *****

 

 

 

 

 

 

Länk till kommentar
Dela på andra webbplatser
Arvid87

Arvid87

Postad
Postad

Det här är också virus:

 

C:\WINDOWS\system32\drivers\svchost.exe

 

AMD Duron 1,2 Ghz 256 MB 20 + 80 GB GeForce 4 MX440 64 MB

 

Länk till kommentar
Dela på andra webbplatser
Gäst idgadmin

Gäst idgadmin

Postad
Postad

Tack för alla svar. Problemet är borttaget. Men fortfarande så tycker jag att bluffstopparen skulle ha signalerat. Den upptäckte inte att telefonnumret ändrades utan ställde frågan om jag ville acceptera mitt vanliga nummer.

 

Länk till kommentar
Dela på andra webbplatser
Mij

Mij

Postad
Postad

Det kan man tycka.

Samtidigt så är det så att det är ett program.

 

Säkerligen så finns det någon bugg, eller så har någon kommit på hur man kan lura Bluffstopparen.

Iofs så får man väl beteckna även det som en bugg....

 

Skönt att du fått bort skräper i alla fall.

 

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...