Vad är koelie.exe

[Pepsw]

Hej,

jag hade tidigare ett virus i filen koelie.exe. nu såg jag att det programmet finns i autostarten. Vad gör programmet? Ska den vara i autostarten eller är det sen virusinfektionen?

 

mvh

Peter

 

[927]

 

heter filen verkligen så?

står det inget annat namn?

 

[Zipp.]

 

Ladda ner HijackThis och scanna datorn med det.

Skicka hit loggen sen så tar vi en titt på den

 

http://koti.mbnet.fi/pattaya1/HijackThis.exe

 

[Pepsw]

nej den heter så.

 

Den finns inte i autostart i startmenyn utan den syns när man går via systemkonfigurationen.

 

/Peter

 

 

 

[Pepsw]

Det låter schysst, men jag undrar vad det är för ett program som du rekomenderar.

 

/P

 

 

 

[Zipp.]

 

Med HijackThis ser man om det är "ohyra" i datorn.

 

 

[Pepsw]

Här är loggen. Kan du se något?

 

väldigt tacksam för hjälp

/Peter

 

 

Logfile of HijackThis v1.98.2

Scan saved at 21:14:14, on 2004-09-02

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\NORTON~1\navapw32.exe

C:\Program\Norton Internet Security\IAMAPP.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Skype\Phone\Skype.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Norton Internet Security\NISUM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\Norton Internet Security\NISSERV.EXE

C:\Program\Norton Internet Security\SymProxySvc.exe

C:\WINDOWS\System32\devldr32.exe

C:\Program\Norton Internet Security\ATRACK.EXE

C:\Program\Messenger\MSMSGS.EXE

C:\Documents and Settings\Westerdahl\Skrivbord\hijackthis\HijackThis.exe

C:\WINDOWS\System32\wuauclt.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [%%DELETE_VALUE%%] CreateCD50

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [iamapp] C:\Program\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [msnupdate] koelie.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O16 - DPF: Win32 Classes -

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093373898997

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

 

 

 

 

 

[Zipp.]

 

Först skapa en ny mapp på C:/ och placera HijackThis.exe dit så C:/HjT/HijackThis.exe

 

Bocka i följande rader stäng Web-läsaren och alla andra öppna fönster och klicka FIX checked

 

O4 - HKCU\..\Run: [msnupdate] koelie.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

 

Sen starta i felsäkert läge sök och ta bort filen

 

koelie.exe

 

 

 

 

 

[Pepsw]

jag provade det. men behvöade inte ta bort alla filer, för de var inte kvar.

 

någon aning om vad nwiz är? Den fanns också med och ser lite skum ut tycker jag.

 

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

 

/peter

 

 

[Zipp.]

 

nwiz.exe = tillhör NVIDIA är ok

 

[Pepsw]

tack för hjälpen!

 

Jag hoppas att allt fungerar bra i fortsättningen.

 

/peter