Trojan?

[927]

 

hehe, nej det va så att jag blanda ihop alla dessa ms windows update filer.

det finns ju tydligen tre stycken...!

 

wuanclt.exe

wuarclt.exe

wuauclt.exe

 

det va mitt inlägg som blev feeeeeel.

 

vad betyder *?

 

kan det inte va en ide att manuellt gå in i tjänster och stoppa, inaktivera tjänsten wuanclt.exe?

 

 

 

 

 

[Zipp.]

 

wuanclt.exe = delete

wuarclt.exe = delete

wuauclt.exe = ok

 

 

>vad betyder *?<

 

Vet inte

 

 

Ja man kan pröva vad som helst men wuanclt.exe ska bort.

 

[Gäst idgadmin]

Hej Zipp och 927!

Kul att ni samarbetar, jag tycker ni gör ett bra jobb som inte ger upp med min dator-TACK.

Jag har följt dina instr. och gått igenom 2 gånger. Datorn vill inte släppa System32\wuanclt.exe(systemfil som inte går att ta bort säger den)

När jag går ut å nätet så vill datorn besöka en massa sidor som jag är för gammal för. Jag kollade virusprogrammets

karantän nu där finns 17 maskar? sedan 1 vecka mest Download Trojan och spyboat Worm.Skickar en ny loggfil nu

Tyvärr är jag upptagen med jobb några dagar men om ni har lust fundera gärna hur vi kan gå vidare!

 

 

Logfile of HijackThis v1.98.2

Scan saved at 19:13:08, on 2004-11-07

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\snmp.exe

C:\Program\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\lssas.exe

C:\WINDOWS\System32\rmctrl.exe

C:\Program\HP\HP Software Update\HPWuSchd.exe

C:\Program\HP\hpcoretech\hpcmpmgr.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\necmfk\necmfk.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\winxp.exe

C:\WINDOWS\System32\lsass2.exe

C:\WINDOWS\System32\svchost32.exe

C:\msex.exe

C:\WINDOWS\System32\ssisvri.exe

C:\Program\HP\Digital Imaging\bin\hpqtra08.exe

c:\ybsex.exe

c:\ybsex.exe

c:\loud.exe

C:\Program\Messenger\msmsgs.exe

C:\HjTHijack This.exe\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aftonbladet.se/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Carola och Kjell-Åkes webbläsare

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [smcService] C:\Program\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [HP Software Update] "C:\Program\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [ccApp] C:\Program\Delade filer\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Program\Delade filer\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [Advanced Tools Check] C:\Program\NORTON~2\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [NECMFK] C:\Program\necmfk\necmfk.exe

O4 - HKLM\..\Run: [Winupdate Service] winxp.exe

O4 - HKLM\..\Run: [lsass service] lsass2.exe

O4 - HKLM\..\Run: [system SVC] svchost32.exe

O4 - HKLM\..\Run: [lssas.exe] lssas.exe

O4 - HKLM\..\Run: [sEXWIFME] C:\msex.exe

O4 - HKLM\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\RunServices: [Winupdate Service] winxp.exe

O4 - HKLM\..\RunServices: [lsass service] lsass2.exe

O4 - HKLM\..\RunServices: [system SVC] svchost32.exe

O4 - HKLM\..\RunServices: [lssas.exe] lssas.exe

O4 - HKLM\..\RunServices: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\RunOnce: [lssas.exe] lssas.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [lssas.exe] lssas.exe

O4 - HKCU\..\Run: [system SVC] svchost32.exe

O4 - HKCU\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKCU\..\RunOnce: [lssas.exe] lssas.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab'>http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab

O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program\HP\hpcoretech\comp\hpuiprot.dll

 

 

 

 

[927]

 

nätet ja, så då är det därför nya trojaner dyker upp...

innan du posta denna loggen så fanns det bara en trojan kvar i din dator nu är det flera stycken.

 

det bästa är att du säger till en dag när du har tid och skara ett nytt ämne

och postar en ny logg då.

kan va så att det är en tjänst som använder wuanclt.exe och då måste man göra på ett annat sätt.

 

ta bort de trojaner som du har i karantän.

 

[inlägget ändrat 2004-11-07 20:36:52 av 927]

[Zipp.]

 

Det här verkar vara en rigtig soppa.

Det dyker upp nytt skit hela tiden.

Men wuanclt.exe filen är borta eller har bytt namn.

 

 

Sätt dolda filer synliga titta här hur man gör

 

http://www.xtra.co.nz/help/0,,4155-1916458,00.html

 

 

Starta i felsäkert läge

 

 

Avsluta dom här processer om dom är igång

 

C:\WINDOWS\System32\winxp.exe

C:\WINDOWS\System32\lsass2.exe

C:\WINDOWS\System32\svchost32.exe

C:\msex.exe

C:\WINDOWS\System32\ssisvri.exe

c:\ybsex.exe

c:\ybsex.exe

c:\loud.exe

 

 

Scanna med Hijack bocka i följande rader stäng Web-läsaren och alla andra öppna fönster och klicka FIX checked

 

O4 - HKLM\..\Run: [Winupdate Service] winxp.exe

O4 - HKLM\..\Run: [lsass service] lsass2.exe

O4 - HKLM\..\Run: [system SVC] svchost32.exe

O4 - HKLM\..\Run: [lssas.exe] lssas.exe

O4 - HKLM\..\Run: [sEXWIFME] C:\msex.exe

O4 - HKLM\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\RunServices: [Winupdate Service] winxp.exe

O4 - HKLM\..\RunServices: [lsass service] lsass2.exe

O4 - HKLM\..\RunServices: [system SVC] svchost32.exe

O4 - HKLM\..\RunServices: [lssas.exe] lssas.exe

O4 - HKLM\..\RunServices: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\RunOnce: [lssas.exe] lssas.exe

O4 - HKCU\..\Run: [lssas.exe] lssas.exe

O4 - HKCU\..\Run: [system SVC] svchost32.exe

O4 - HKCU\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKCU\..\RunOnce: [lssas.exe] lssas.exe

 

 

Sen sök och ta bort om du hittar

 

winxp.exe

lsass2.exe

svchost32.exe

msex.exe

ssisvri.exe

ybsex.exe

loud.exe

lssas.exe

 

 

Starta sen normalt och skicka en ny Hijack logg.

 

 

 

 

 

 

[Gäst idgadmin]

Hej 927

tack för tipset. Jag åtetkommer om några dagar med ett nytt inlägg och logg.

Kjelle 55

 

 

[Gäst idgadmin]

 

Hej Zipp

 

Jag ska utföra dina instr. och återkommer om några dagar med ett nytt inlägg.Tack för hjälpen!

Kjelle 55

 

[Gäst idgadmin]

Hej Zipp/927

Jag vill tacka er för all hjälp jag fått. Mina problem är lösta med masker och virus! Jag har gjort en hel ominstallation av hårddisken så nu hoppas jag slippa dessa problem.

Om nya problem dyker upp återkommer jag till den här sidan.

TACK!

Kjelle55