Virus problem?

[Gäst idgadmin]

Håller på med min pappas dator och problemen är följande:

 

OS Win 98

När jag försöker koppla upp mig på nätet kommer det en startsida med adressen C:\windows\secure.htlm fram. Blå bakrund med text om att det finns spyware på datorn. När jag skriver in en riktig internetadress hittas inte sidan. Har prövat åtskilliga, ingen fungerar. Har kollat datorn med ad-aware, spybot, pestpatrol och tagit bort det som programen hittat, samt installerat min nortonlicens på datorn, då han inte har ngt virus skydd, och scannat. Men det är Norton 2003 och eftersom jag inte kommer ut på internet kan jag inte uppdatera programmen eller göra en online scan. Har en hijackthis log. SNÄLLA!!! hjälp mig någon...

 

 

Logfile of HijackThis v1.97.7

Scan saved at 11:52:16, on 2004-06-29

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\WINMODEM.101\winmodem.exe

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM\VANLIGA FILER\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\TASKMON.EXE

C:\PROGRAM\SYMANTEC\LIVEUPDATE\AUPDATE.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\VOYETRA\TBS MONTEGO\VTRAY.EXE

C:\PROGRAM\VANLIGA FILER\SYMANTEC SHARED\CCAPP.EXE

C:\PROGRAM\MSOFFICE\OFFICE\FINDFAST.EXE

C:\PROGRAM\MSOFFICE\OFFICE\OSA.EXE

C:\PROGRAM\SYMANTEC\LIVEUPDATE\LUCOMSERVER.EXE

C:\WINDOWS\EXPLORER.EXE

D:\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer erhållet av TenFour SWEDEN AB

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = login1.telia.com;

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot\SDHelper.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [scanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [Disknag] C:\DELL\DISKNAG.EXE

O4 - HKLM\..\Run: [mdm_init] C:\WINDOWS\OPTIONS\CABS\MDM_INIT.EXE

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [VoyetraTray] C:\Program\VOYETRA\TBS MONTEGO\VTRAY.EXE /s

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup

O4 - HKLM\..\Run: [ccApp] C:\Program\Vanliga filer\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Program\Vanliga filer\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\RunServices: [Winmodem] C:\WINDOWS\SYSTEM\WINMODEM.101\winmodem.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Program\Vanliga filer\Symantec Shared\ccEvtMgr.exe

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program\Vanliga filer\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - Startup: Microsoft Office Snabbsökning.lnk = C:\Program\MsOffice\Office\FINDFAST.EXE

O4 - Startup: Office-autostart.lnk = C:\Program\MsOffice\Office\OSA.EXE

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Vanliga filer\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O12 - Plugin for .exe: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37963.1724305556

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//396754/main.chm::/load.exe

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = telia.com

 

Pain is temporary - Glory is forever

 

[Gäst idgadmin]

Hej, hann inte söka så mkt nu, men om du har tillgång till dator och internet så kan du kolla uppgifterna från hijack, bara ta de sista i raderna, typ: wucrtupd.exe -startup

 

Detta har du, men tror dock inte att det är den som hindrar dig från att komma ut på nätet, så det finns troligtvis något mer.

 

 

 

 

O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup

 

To ensure that the worm runs at every Windows startup, it creates either, or both of the following autorun entries in the registry:

 

HKEY_CURRENT_USER\Software\MicrosoftWindows\CurrentVersion\Run

CriticalUpdate = "%Windows%\wucrtupd.exe"

 

HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\Run

CriticalUpdate = "%Windows%\wucrtupd.exe"

 

\o/

 

[[@]]

Jag tro att Proxyn kan vara orsaken till att du inte kommer ut på nät.

 

Kolla att rutan till ProxyServer är tom

 

 

 

[Malou_031]

Två inlägg av mig samtidigt och likadana???????

 

Nu har forumet fått fnatt

 

MVH/Malou

***** Ha En Fortsatt Underbar Dag *****

 

Mail: janssonmalou@idgmail.se

 

 

 

 

[inlägget ändrat 2004-06-30 21:31:54 av malou jansson]

[Malou_031]

Hej gudihimlen

 

Gör så här:

Stäng ner Internet (logga ut):

Öppna HJT. Klicka på Scan-knappen. Bocka för nedanstående detaljer. Klicka på Fix Checked-knappen. Starta om datorn:

[FET]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

 

O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup Då du bockat för den här detaljen och du vill bli av med den helt och hållet, går du in i kontrollpanelen lägg/till ta bort och letar upp criticalUpdate och markerar den, klickar på knappen lägg/till ta bort sedan Ok-knappen

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//396754/main.chm::/load.exe[/FET]

**********************************************

Den här nedanstående. Är det din startsida som du valt?

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer erhållet av TenFour SWEDEN AB

***********************************************

 

Om problem kvarstår återkom med en ny HJT-log så tar vi en titt igen.

 

MVH/Malou

***** Ha En Fortsatt Underbar Dag *****

 

Mail: janssonmalou@idgmail.se

 

 

 

 

[inlägget ändrat 2004-06-30 21:36:16 av malou jansson]

[Gäst idgadmin]

Tack för svaret...gjorde som du skrev men c:\window\secure.htlm filerna är fortfarande kvar, har prövat att fix checka dem flera gånger. Glömde skriva tidigare att datorn är seg som sirap och hänger sig hela tiden efter an kort stund i normal läge, ngt bättre i felsäkert. Om man skriver ny adress i IE så händer inget, men kollar jag i ctrl+alt+del (kommer inte på vad det heter) så ligger en ny sida uppe som heter virgin-****.com...dessutom återkommer ständigt DSO Exploit när jag kör spybot. Detta till plus varnar nu norton på MIN dator för Blodhound.Exploit.6 som inte kan fixas,och hittas inte heller av andra program. KAn vi inte återgå till stenåldern??? Den nya logen...

 

Logfile of HijackThis v1.97.7

Scan saved at 23:19:56, on 2004-06-30

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\WINMODEM.101\winmodem.exe

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM\VANLIGA FILER\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\VOYETRA\TBS MONTEGO\VTRAY.EXE

C:\PROGRAM\VANLIGA FILER\SYMANTEC SHARED\CCAPP.EXE

C:\PROGRAM\VANLIGA FILER\SYMANTEC SHARED\CCREGVFY.EXE

C:\PROGRAM\MSOFFICE\OFFICE\FINDFAST.EXE

C:\PROGRAM\SYMANTEC\LIVEUPDATE\AUPDATE.EXE

C:\PROGRAM\MSOFFICE\OFFICE\OSA.EXE

C:\PROGRAM\VANLIGA FILER\SYMANTEC SHARED\CCPWDSVC.EXE

C:\PROGRAM\SYMANTEC\LIVEUPDATE\LUCOMSERVER.EXE

C:\WINDOWS\SKRIVBORD\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer erhållet av TenFour SWEDEN AB

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = login1.telia.com;

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot\SDHelper.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [scanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [Disknag] C:\DELL\DISKNAG.EXE

O4 - HKLM\..\Run: [mdm_init] C:\WINDOWS\OPTIONS\CABS\MDM_INIT.EXE

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [VoyetraTray] C:\Program\VOYETRA\TBS MONTEGO\VTRAY.EXE /s

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [ccApp] C:\Program\Vanliga filer\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Program\Vanliga filer\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\RunServices: [Winmodem] C:\WINDOWS\SYSTEM\WINMODEM.101\winmodem.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Program\Vanliga filer\Symantec Shared\ccEvtMgr.exe

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program\Vanliga filer\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - Startup: Microsoft Office Snabbsökning.lnk = C:\Program\MsOffice\Office\FINDFAST.EXE

O4 - Startup: Office-autostart.lnk = C:\Program\MsOffice\Office\OSA.EXE

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Vanliga filer\Adobe\Calibration\Adobe Gamma Loader.exe

O12 - Plugin for .exe: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37963.1724305556

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = telia.com

 

 

Pain is temporary - Glory is forever

 

[Gäst idgadmin]

**********************************************

Den här nedanstående. Är det din startsida som du valt?

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer erhållet av TenFour SWEDEN AB

***********************************************

 

Tror den ligger kvar sen farsan köpte datorn med moden, för hundra år sedan...kommer ihåg att det alltid har stått där...är det ngt man bör ta bort??? Texten står i blålisten i IE thet´s it...

Pain is temporary - Glory is forever

 

[Malou_031]

Hej gudihimlen

 

För att fixa DSO Exploit använd nedanstående länkar:

http://www.askmehelpdesk.com/cgi-bin/yabb/YaBB.cgi?board=computers_for_beginners;action=display;num=1082096807

 

http://forums.techguy.org/archive/index.php/t-240084.html

 

**************************************

 

Fixa dessa nedanstående detaljer:

Öppna HJT. Klicka på Scan-knappen. Bocka för nedanstående detaljer. Klicka på Fix Checked-knappen. Starta om datorn.

[FET]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer erhållet av TenFour SWEDEN AB

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

[/FET]

 

*************************************

Används det här nedanstående modemet?

O4 - HKLM\..\RunServices: [Winmodem] C:\WINDOWS\SYSTEM\WINMODEM.101\winmodem.exe

***************************************

Har ni Telia som eran Internetleverantör och använder de sig av proxyserver?

***************************************

 

Vidare:

Töm tempmappen:

C:\windows\temp <-Töm mappen på innehållet

Töm papperskorgen. Starta om datorn.

Kan hända att du får upprepa proceduren några gånger för att få temmappen tömd.

 

Vidare:

Töm temporära Internetfilerna, offlineinnehållet och cookies. Även rensa startsidorna:

 

Gå till vertyg -> Internet-alternativ -> fliken Allmänt:

************************************

Då du gjort ovanstående, återkom med en ny HJT-log så går vi vidare *ler*.

 

Har även du fått problem på din dator???

Detta till plus varnar nu norton på MIN dator för Blodhound.Exploit.6 som inte kan fixas,och hittas inte heller av andra program.

 

Smittar dt av sig *ler*.

 

Jo,tack gärna stenåldern igen *skratt*

 

MVH/Malou

 

 

***** Ha En Fortsatt Underbar Dag *****

 

Mail: janssonmalou@idgmail.se

 

 

 

 

[inlägget ändrat 2004-07-01 00:38:05 av malou jansson]

[inlägget ändrat 2004-07-01 00:40:33 av malou jansson]

[Gäst idgadmin]

ÄNTLIGEN!!! DET ÄR BORTA!!! ALLT FUNGERAR!!! Hoppas bara allt fungerar när jag instalerar den hemma hos el padre igen, men nu fungerar allt felfritt men min telia anslutning i alla fall (var proxykrysset som spökade, konstigt att det står att det ska vara ibckat i installations anvisningarna, men när jag tänker efter så var jag nog tvungen att kryssa ur det för att få det att fungera när jag skaffade adsl-abonemanget för ett par år sedan. Efter diverse uppdateringar visade det sig att datorn kryllade med virus, så nu har han fått en instruktionsbok hur den ska skötas härefter...TUSEN TUSEN TACK...nu ska jag ta i tu med min dator skickar väl en log...här är dden nya logen från den här trådens dator...åter igen tack för att ni hjälpsamma finns...han har bredband så modemet används inte kan man kryssa i och ta bort då?

 

Logfile of HijackThis v1.97.7

Scan saved at 13:44:55, on 2004-07-01

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\WINMODEM.101\winmodem.exe

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM\VANLIGA FILER\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\VOYETRA\TBS MONTEGO\VTRAY.EXE

C:\PROGRAM\VANLIGA FILER\SYMANTEC SHARED\CCAPP.EXE

C:\PROGRAM\MSOFFICE\OFFICE\FINDFAST.EXE

C:\PROGRAM\MSOFFICE\OFFICE\OSA.EXE

C:\PROGRAM\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SKRIVBORD\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.telia.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = login1.telia.com;

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot\SDHelper.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [scanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [Disknag] C:\DELL\DISKNAG.EXE

O4 - HKLM\..\Run: [mdm_init] C:\WINDOWS\OPTIONS\CABS\MDM_INIT.EXE

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [VoyetraTray] C:\Program\VOYETRA\TBS MONTEGO\VTRAY.EXE /s

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [ccApp] "C:\Program\Vanliga filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program\Vanliga filer\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\RunServices: [Winmodem] C:\WINDOWS\SYSTEM\WINMODEM.101\winmodem.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program\Vanliga filer\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program\Vanliga filer\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - Startup: Microsoft Office Snabbsökning.lnk = C:\Program\MsOffice\Office\FINDFAST.EXE

O4 - Startup: Office-autostart.lnk = C:\Program\MsOffice\Office\OSA.EXE

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Vanliga filer\Adobe\Calibration\Adobe Gamma Loader.exe

O12 - Plugin for .exe: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37963.1724305556

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = telia.com

 

 

Pain is temporary - Glory is forever

 

[Malou_031]

Hej gudihimlen

 

 

Tackar för poängen *ler*

Bara roligt att få hjälp:

 

Nu blir jag lite konfunderad här????

 

Har du din pappa's hårddisk installerad i din dator med din Internetuppkoppling?

Bara ingenting har blivit fel nu

Jag tänker då på en del detaljer i HJT-loggen.

EX: Internetanslutningen som syns bla :

Annars får du återkomma med en ny HJT-log och då från din pappas dator. Eller att du kör HJT på hans dator och lägger den textfilen på en diskett (om hans Internetanslutning inte fungerar) och lägger in den här från din dator (om du förstår vad jag menar)

 

han har bredband så modemet används inte kan man kryssa i och ta bort då?

Ja den kan du bocka för eller avinstallera från datorn direkt.

 

Annars så ser HJT-loggen ren ut.

 

MVH/Malou

 

 

***** Ha En Fortsatt Underbar Dag *****

 

Mail: janssonmalou@idgmail.se

 

 

 

 

[inlägget ändrat 2004-07-01 18:23:14 av malou jansson]

[Gäst idgadmin]

Nej...jag har haft hans burk och kört via mitt adsl-abonnemang. Så internetanslutningen som syns är INTE hans. OCh efter att jag äntrat om inställningarna till de som normalt är på datorn blev den lite skum. Men jag fixar en ny log med rätt intällningar och lägger in.

Pain is temporary - Glory is forever

 

[Gäst idgadmin]

Inställningarna som de brukar vara, här är loggen...just det norton och ad-aware bort taget. Installerar om dem när burken är på plats och ute på sin rätta lina...

 

Logfile of HijackThis v1.97.7

Scan saved at 00:48:17, on 2004-07-02

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\WINMODEM.101\winmodem.exe

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\VOYETRA\TBS MONTEGO\VTRAY.EXE

C:\PROGRAM\MSOFFICE\OFFICE\FINDFAST.EXE

C:\PROGRAM\MSOFFICE\OFFICE\OSA.EXE

C:\HIGHJACKTHIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.blocket.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot\SDHelper.dll

O4 - HKLM\..\Run: [scanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [Disknag] C:\DELL\DISKNAG.EXE

O4 - HKLM\..\Run: [mdm_init] C:\WINDOWS\OPTIONS\CABS\MDM_INIT.EXE

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [VoyetraTray] C:\Program\VOYETRA\TBS MONTEGO\VTRAY.EXE /s

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [Winmodem] C:\WINDOWS\SYSTEM\WINMODEM.101\winmodem.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - Startup: Microsoft Office Snabbsökning.lnk = C:\Program\MsOffice\Office\FINDFAST.EXE

O4 - Startup: Office-autostart.lnk = C:\Program\MsOffice\Office\OSA.EXE

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Vanliga filer\Adobe\Calibration\Adobe Gamma Loader.exe

O12 - Plugin for .exe: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37963.1724305556

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.165.224.190,194.165.224.165

 

 

Pain is temporary - Glory is forever

 

[Malou_031]

Hej gudihimlen

 

Ok. Då förstår jag *ler*.

 

Det har kommit en ny version av HiJack This, skulle du vilja ladda ner den till datorn?

(Ta bort den gamla HiJack This):

 

Den nya kommer zippad, spara ner den till skrivbordet. Öppna zippen dra verktyget till skrivbordet/du kan även skapa en mapp på c:enheten (ensam): Kasta zippen.

 

HiJack This 1.98

Finns lite längre ner på sidan du får fram:

http://www.majorgeeks.com/

 

MVH/Malou

***** Ha En Fortsatt Underbar Dag *****

 

Mail: janssonmalou@idgmail.se