datorn hackar

[Gäst idgadmin]

Hejsan.

Efter att ha haft på min dator ett tag så börjar den ibland få problem att hålla upp tempot. Detta sker då jag t.ex. lyssnar på musik, har några internet-fönster uppe och kanske skickar en fil samtidigt. Musiken börjar då hacka av och till, och detta blir mer och mer. Text jag skriver kommer inte upp på en gång osv, detta blir mer och mer och till slut är datorn extremt seg helt enkelt. Detta har hänt förut för en längre tid sedan, men då hjälpte det att starta om datorn så va det borta. Nu är det tillbaka, starta om datorn hjälper men det kommer tillbaka efter en stund.

När jag försöker få upp enhetshanteraren med ctrl+alt+delete, för att se vad som tar så mkt kapacitet, så ploppar den upp någon sekund, för att sen försvinna. Kommer inte åt den alltså.

 

Vad kan det här bero på? Hur kommer jag åt enhetshanteraren?

 

[Mats1977]

 

prova att defragmentera hårddisken

öppna utforskaren,

högerklicka på den enhet du vill defragmentera, ex C:

välj egenskaper

välj sedan fliken verktyg

välj sedan "defragmentera nu"

 

 

 

[Lassew]

hade en dator med samma problem, den datorn hade inget AV-progg... Gissa vad jag hittade i den

 

[Gäst idgadmin]

diskfragmenteringen funkade inte..

andra tips? vore tacksam

 

..och jag undviker förstås en formatering så länge det är möjligt.

 

[Gäst idgadmin]

Det kan vata din brandvägg som gör vissa "lagg" i samband med programkörning.

>>>>>>>>>>>>>>>>>>>>>>>

Se info om datadetaljer

DC++ Hub Server (Linux Debian)

 

[Gäst idgadmin]

Tyvärr har jag ingen brandvägg så jag tror inte det är problemet.

 

..extremt störigt med ett problem som man inte vet vad man ska göra åt, finns nästan inget värre!

 

[Celloman]

Det är mycket svårt att exakt kunna bestämma vad ditt problem kan bero på. Troligen är det frågan om någon bakgrundsprocess, eftersom problemet alltid dyker upp efter ett tag.

Se till att du har branvägg och ett virusprogram som är uppdaterat. Om du inte har virusprogram kan du köra en s.k. active scan med panda:

http://www.pandasoftware.com/activescan/com/activescan_principal.htm

 

Gå till windowsupdate.com och ladda ner allting om du inte redan gjort det. Ladda sedan ner programmet Hijackthis och skicka loggen av sökningsresultaten hit. Någon annan kan säkert hjälpa dig med loggen.

 

 

Cell-processorn i Playstation 3 kommer att vara 10 gånger snabbare än dagens datorprocessorer...Tro om ni vill.

 

Amd 64 3000+ MSI K8T Neo FIS2R 2x512mb DDR400 Club3d 9600xt Maxtor 80gb xp sp2

 

[inlägget ändrat 2005-03-19 19:13:09 av ¤celloman¤]

[Gäst idgadmin]

 

Jag har nu uppdaterat windows. Har inte velat installera service pack 2 för det har kommit i konflikt med en del program, bl.a norton antivirus. Trodde att det va SP2 som windows update-ikonen hela tiden ville upplysa mig om så därför har jag ignorerat den, fram till nu då jag märkte att det va 4 andra uppdateringar också, som måste kommit ganska nyligen. Vet inte om detta löser mitt problem, det visar sig väl.

Jag har iaf sparat ner en log från "Hijackthis", hur lägger jag upp filen? ska jag bara kopiera allt och printa ner som ett inlägg..?

 

tack på förhand

 

[Metalmaid]

Kopiera och klistra in som inlägg.

 

 

[Gäst idgadmin]

 

Ok, här kommer loggen, hojta till om det är något skumt.

 

Logfile of HijackThis v1.98.2

Scan saved at 00:46:20, on 2005-03-20

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ms32drive.exe

C:\Program\NORTON~1\navapw32.exe

C:\Program\QuickTime\qttask.exe

C:\Mange\program\DAEMON Tools 3.46\daemon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\devldr32.exe

C:\Program\Palm\HOTSYNC.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Mange\program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.bahnhof.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F2 - REG:system.ini: Shell=explorer.exe ms32drive.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: e-kort Browser Helper Object - {1C900459-DEEF-4aa9-B260-1EF0F0C70A8D} - C:\WINDOWS\System32\Bhoekort.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [Microsoft Windows Explorer] iexplorer.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program\Delade filer\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Mange\program\DAEMON Tools 3.46\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ekort] C:\Program\ekort\ekort.exe /dontopenmycards

O4 - HKLM\..\Run: [ms32drive] ms32drive.exe

O4 - HKLM\..\RunServices: [Microsoftkeysd] systemwin32s.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Explorer] iexplorer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoftkeysd] systemwin32s.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\RunOnce: [ms32drive] ms32drive.exe

O4 - Startup: HotSync Manager.lnk = C:\Program\Palm\HOTSYNC.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Program\expektMPP\MPPoker.exe

O9 - Extra button: e-kort - {4C730913-3961-439b-83D5-F4E445520422} - C:\Program\ekort\ekort.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .MOV: C:\Program\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} (Installer Class) - http://www.foreningssparbanken.se/betala/ekort/oinstall.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099319687514

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

 

 

[Metalmaid]

Ta hem den senaste versionen och gör en ny scan...

 

http://koti.mbnet.fi/pattaya1/HijackThis.exe

 

 

[Gäst idgadmin]

Logfile of HijackThis v1.99.1

Scan saved at 14:22:02, on 2005-03-20

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ms32drive.exe

C:\Program\NORTON~1\navapw32.exe

C:\Program\QuickTime\qttask.exe

C:\Mange\program\DAEMON Tools 3.46\daemon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\Palm\HOTSYNC.EXE

C:\WINDOWS\System32\devldr32.exe

C:\Mange\program\ZOnline\fcc32.exe

C:\Mange\program\Winamp\winamp.exe

C:\WINDOWS\System32\svchost.exe

C:\Mange\program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.bahnhof.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F2 - REG:system.ini: Shell=explorer.exe ms32drive.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: e-kort Browser Helper Object - {1C900459-DEEF-4aa9-B260-1EF0F0C70A8D} - C:\WINDOWS\System32\Bhoekort.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [Microsoft Windows Explorer] iexplorer.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program\Delade filer\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Mange\program\DAEMON Tools 3.46\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ekort] C:\Program\ekort\ekort.exe /dontopenmycards

O4 - HKLM\..\Run: [ms32drive] ms32drive.exe

O4 - HKLM\..\RunServices: [Microsoftkeysd] systemwin32s.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Explorer] iexplorer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoftkeysd] systemwin32s.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\RunOnce: [ms32drive] ms32drive.exe

O4 - Startup: HotSync Manager.lnk = C:\Program\Palm\HOTSYNC.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Program\expektMPP\MPPoker.exe

O9 - Extra button: e-kort - {4C730913-3961-439b-83D5-F4E445520422} - C:\Program\ekort\ekort.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .MOV: C:\Program\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} (Installer Class) - http://www.foreningssparbanken.se/betala/ekort/oinstall.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099319687514

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Microsoftkeysd (MicrosoftCorporationsr) - Unknown owner - C:\WINDOWS\System32\systemwin32s.exe" -netsvcs (file missing)

O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

 

Det räcker att datorn laddar upp den här sidan så hackar musiken, och jag har inte något annat igång alls.

Går det inte att få upp enhetshanteraren på något annat sätt? och varför kan jag inte få fram den?

 

 

[Gäst idgadmin]

 

Inte nog med att jag inte kan få upp enhetshanteraren, jag har samma problem när jag går via kör -> msconfig

Fönstret poppar upp i någon sekund, sen försvinner det. Sammas om med enhetshanteraren alltså. Känns som "nåt" inte vill att jag ska se vilka program som finns på startup eller vilka som är igång?

 

[Metalmaid]

Skicka upp dom här filerna till Jotti´s...http://virusscan.jotti.org/

 

C:\WINDOWS\system32\ms32drive.exe

C:\WINDOWS\System32\devldr32.exe

 

Finns inte med i mitt XP...

 

[Gäst idgadmin]

ms32drive.exe blev identifierad som en spybot.

devldr32.exe fick inget utslag men:

"Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)"

 

Dock hittade inte mitt norton antivirus något skumt då jag scannade med det, dåligt kan man tycka.

 

Det ska inte vara några risker med att ta bort i alla fall "ms32drive.exe" eller hur? eftersom den inte fanns i diit XP.

Sedan bör jag ta bort skapade value i registry för att helt få bort det. Något mer?

 

[Metalmaid]

Ta inte bort dom manuellt utan testa istället den här scannern.

 

http://www.spywareinfo.dk/download/mwav.exe

 

Dubbelklicka på mwav.exe sen klicka Unzip och den skapar automatiskt en ny mapp C:\Kapersky

Sen öppna Kapersky mappen och dubbelklicka på kavupd.exe och leta uppdateringar.

När den är klar så tryck på nån tangent och det blir automatiskt 2 nya mappar på C:\

 

C:\Bases

C:\Downloads

 

Öppna Downloads mappen och måla alla filer och Klipp ut

Klicka på Kapersky mappen och klistra in och svara ja till alla.

Sen öppna Kapersky mappen och dubbelklicka på mwavscan.com

Bocka i Drive och Scan All Files.

Sen klicka på Scan och låt den scanna klart.(kan ta upp till 2 timmar)

Kopiera det som blir i nedre fönster.

Först måla svart sen Ctrl+C (kopiera)

Sen Ctrl+V (klista in)

 

Starta om datorn efter scannen.

 

Skicka hit loggen från scannen och en ny Hijack logg.

 

 

[Gäst idgadmin]

 

tog lite tid, men här kommer iaf hijackthis-loggen:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:48:28, on 2005-03-20

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\NORTON~1\navapw32.exe

C:\Program\QuickTime\qttask.exe

C:\Mange\program\DAEMON Tools 3.46\daemon.exe

C:\Program\ekort\ekort.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\Palm\HOTSYNC.EXE

C:\WINDOWS\System32\devldr32.exe

C:\Mange\program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.bahnhof.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F2 - REG:system.ini: Shell=explorer.exe ms32drive.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: e-kort Browser Helper Object - {1C900459-DEEF-4aa9-B260-1EF0F0C70A8D} - C:\WINDOWS\System32\Bhoekort.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program\Delade filer\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Mange\program\DAEMON Tools 3.46\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ekort] C:\Program\ekort\ekort.exe /dontopenmycards

O4 - HKLM\..\RunServices: [Microsoft Windows Explorer] iexplorer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: HotSync Manager.lnk = C:\Program\Palm\HOTSYNC.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Program\expektMPP\MPPoker.exe

O9 - Extra button: e-kort - {4C730913-3961-439b-83D5-F4E445520422} - C:\Program\ekort\ekort.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .MOV: C:\Program\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} (Installer Class) - http://www.foreningssparbanken.se/betala/ekort/oinstall.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099319687514

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Microsoftkeysd (MicrosoftCorporationsr) - Unknown owner - C:\WINDOWS\System32\systemwin32s.exe" -netsvcs (file missing)

O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

 

Och här är det jag fick fram med eScan:

 

File C:\WINDOWS\system32\ms32drive.exe infected by "Backdoor.Win32.SpyBoter.ci" Virus. Action Taken: File Renamed.

File C:\WINDOWS\System32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.r" Virus. Action Taken: File Deleted.

File C:\WINDOWS\System32\y infected by "Trojan-Downloader.BAT.Ftp.ab" Virus. Action Taken: File Deleted.

File C:\Documents and Settings\familjen ****\Lokala inställningar\Temporary Internet Files\Content.IE5\CTAJSH6N\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.j" Virus. Action Taken: File Deleted.

File C:\Documents and Settings\familjen ****\Lokala inställningar\Temporary Internet Files\Content.IE5\DJFFTTSE\internazionale_ver4[1].CAB tagged as not-a-virus:Porn-Dialer.Win32.Creazione.l. No Action Taken.

File C:\Documents and Settings\familjen ****\Lokala inställningar\Temporary Internet Files\Content.IE5\JJ9JZHSW\bridge-c29[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken.

File C:\Documents and Settings\familjen ****\Lokala inställningar\Temporary Internet Files\Content.IE5\K1QJ4H6F\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus. Action Taken: File Deleted.

File C:\Documents and Settings\familjen ****\Lokala inställningar\Temporary Internet Files\Content.IE5\LL2K8VDK\bridge-c33[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken.

 

File C:\Documents and Settings\familjen ****\Lokala inställningar\Temporary Internet Files\Content.IE5\LL2K8VDK\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus. Action Taken: File Deleted.

File C:\Documents and Settings\familjen ****\Lokala inställningar\Temporary Internet Files\Content.IE5\LL2K8VDK\tx[1].chm infected by "Trojan-Dropper.Win32.Small.lu" Virus. Action Taken: File Deleted.

File C:\Documents and Settings\familjen ****\Lokala inställningar\Temporary Internet Files\Content.IE5\TP9RST4D\CAU7896R.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\Documents and Settings\familjen ****\Lokala inställningar\Temporary Internet Files\Content.IE5\YDZ5HSQD\ss[1].js infected by "Trojan-Downloader.JS.Psyme.z" Virus. Action Taken: File Deleted.

File C:\iklsm.exe tagged as not-a-virus:AdWare.WinFetcher.b. No Action Taken.

File C:\sds.exe tagged as not-a-virus:AdWare.WinFetcher.b. No Action Taken.

File C:\System Volume Information\_restore{5FBEA3BF-51C3-4946-B920-E208E70B4066}\RP39\A0004310.exe infected by "Backdoor.Win32.SpyBoter.ci" Virus. Action Taken: File Renamed.

File C:\WINDOWS\Temp\WinWildApp.exe tagged as not-a-virus:AdWare.WinFetcher.b. No Action Taken.

 

Några småsaker också..

När jag startade datorn igen så kommer det upp att "kan inte hitta ms32drive.exe kontrollera sökvägen bla bla", bra tecken iaf! men jag måste ta bort det från startup eller så för att slippa det meddelandet varje gång?

Bör jag inte ta bort saker i registry också?

Är alla filer som varit virussmittade men döpts om säkra?

 

[Metalmaid]

Filen är borta, vilket är possitivt. Men det finns någonting kvar i en system.ini-fil som ropar efter programmet. Kör HiJack, bocka i och fixa..

 

F2 - REG:system.ini: Shell=explorer.exe ms32drive.exe

 

Starta om datorn och posta en ny HiJack-logg.

 

[Metalmaid]

Man skall aldrig pilla i registret i onödan.

 

Starta även datorn i felsäkert läge, F8 vid uppstart och deleta...

 

C:\iklsm.exe

C:\sds.exe

 

Samt radera det som finns i mapparna

C:\Windows\Temp

C:\Documents and Settings\familjen ****\Lokala inställningar\Temporary Internet Files\Content.IE5

Töm papperskorgen och starta nomralt.

 

[Gäst idgadmin]

 

Logfile of HijackThis v1.99.1

Scan saved at 21:11:26, on 2005-03-20

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\NORTON~1\navapw32.exe

C:\Program\Delade filer\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Mange\program\DAEMON Tools 3.46\daemon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\Palm\HOTSYNC.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\devldr32.exe

C:\Mange\program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.bahnhof.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: e-kort Browser Helper Object - {1C900459-DEEF-4aa9-B260-1EF0F0C70A8D} - C:\WINDOWS\System32\Bhoekort.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program\Delade filer\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Mange\program\DAEMON Tools 3.46\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunServices: [Microsoft Windows Explorer] iexplorer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: HotSync Manager.lnk = C:\Program\Palm\HOTSYNC.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Program\expektMPP\MPPoker.exe

O9 - Extra button: e-kort - {4C730913-3961-439b-83D5-F4E445520422} - C:\Program\ekort\ekort.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .MOV: C:\Program\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} (Installer Class) - http://www.foreningssparbanken.se/betala/ekort/oinstall.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099319687514

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Microsoftkeysd (MicrosoftCorporationsr) - Unknown owner - C:\WINDOWS\System32\systemwin32s.exe" -netsvcs (file missing)

O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

 

[Metalmaid]

Jag ser inget mer skumt i loggen.

 

Uppenbarligen hade du ju lite skräp i datorn som troligen skall vara väck nu, har du testat om du kan öppna aktivitetshanteraren nu?

 

 

[Gäst idgadmin]

 

så bra!

 

Ja jag hade tydligen det Många knep man inte vet om.. + att norton kan man inte lita på till fullo tydligen.

Aktivitetshanteraren och kör->msconfig funkar galant nu! började fungera efter eScan.

 

Jag har även en fil C:\iklm.exe, vet inte vart varken den eller dom andra 2 kommer ifrån, men jag bör kunna ta bort den också eller hur?

Har även en "$$$-fil" C:\23990098.$$$, 0 byte skapad idag 19:23.. den kan jag också ta bort?

 

Ett litet problem.. vet inte vad jag letar efter i Content.IE5.. en mapp? jag hittar inga mappar i "Temporary Internet Files". För övrigt har jag inte tömt den mappen helt på jättelänge, vilket jag lika gärna skulle kunna göra?

 

[Metalmaid]

Radera allt i Temporary Internet Files och Temp-mappen under lokalinställningar, sen kör du en sväng med defragmenteraren också så skall du nog se att saker och ting funkar bättre sen.

 

 

 

 

[Gäst idgadmin]

 

Klappat och klart!

 

Nu verkar det funka som det ska! härliga tider..

 

Bara en sak till.. mapparna "Kaspersky", "Bases" och "Downloads" kan jag ta bort nu eller? Avinstallera mwavscan kanske, eller rekomenderar du att ha det kvar? Isåfall, kan jag ta bort "Bases" och "Downloads" manuellt bara eller?

[inlägget ändrat 2005-03-20 22:27:49 av Mangsta]

[Metalmaid]

En smaksak...