Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

Envisa trojaner!

Gäst idgadmin

Startad av Gäst idgadmin,
i Virus, skadliga program & botemedel

Rekommendera Poster

Gäst idgadmin

Gäst idgadmin

Postad
Postad

Så fort jag sätter i sladden till internetanslutningen dyker flera rutor med virusvarning (Norton) upp + runtime error-rutan. Dessa varningar kommer inte upp om jag startar utan att ansluta sladden till adsl-modemet. Om jag sedan scannar med Norton så hittar den inga virus! Nåja, jag tar då först bort systemåterställningen, går in i felsäkert läge och scannar igen. Då hittar "House Call" (virusscanning på nätet)ett virus "trojan-downloader" i gcasServ.exe, och jag tar bort det. Norton hittar fortfarande inget, det skulle enligt varningen finnas i svchost eller i tmprbf07a.exe.Jag startar om i normalläge och trojanvarningen dyker upp igen som förut. Jag fattar ingenting! /Lasse

 

Länk till kommentar
Dela på andra webbplatser
Gäst idgadmin

Gäst idgadmin

Postad
Postad

 

Här kommer loggen:

Logfile of HijackThis v1.99.1

Scan saved at 15:29:42, on 2005-03-27

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program\Synaptics\SynTP\SynTPLpr.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\LTSMMSG.exe

C:\Program\Acer\Launch Manager\LaunchAp.exe

C:\Program\Acer\Launch Manager\PowerKey.exe

C:\Program\Acer\Launch Manager\HotkeyApp.exe

C:\Program\Acer\Launch Manager\KeyHook.exe

C:\Program\Acer\Launch Manager\CtrlVol.exe

C:\Program\DAP\DAP.EXE

C:\Program\NORTON~1\navapw32.exe

C:\Program\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Telia\Supportassistent\bin\tgcmd.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Outlook Express\msimn.exe

C:\Documents and Settings\Lars\Skrivbord\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sex-family.net/sherbook/search/search.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.telia.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program\DAP\DAPBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [LaunchApp] LaunApp

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [LaunchAp] "C:\Program\Acer\Launch Manager\LaunchAp.exe"

O4 - HKLM\..\Run: [PowerKey] "C:\Program\Acer\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [HotkeyApp] "C:\Program\Acer\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [KeyHook] "C:\Program\Acer\Launch Manager\KeyHook.exe"

O4 - HKLM\..\Run: [CtrlVol] "C:\Program\Acer\Launch Manager\CtrlVol.exe"

O4 - HKLM\..\Run: [DownloadAccelerator] C:\Program\DAP\DAP.EXE /STARTUP

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [statusClient] C:\Program\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [HPLJ Config] C:\Program\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe -c Network -p -pn "hp LaserJet 1010 Series Driver" -n 0 -l 1053 -sl 120000

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SymNetDrv\SNDMon.exe

O4 - HKLM\..\Run: [TeliaTGCMD] "C:\Program\Telia\Supportassistent\bin\tgcmd.exe" /server /startmonitor /deaf

O4 - HKLM\..\Run: [NAVCheck] C:\WINDOWS\navchk.exe /i

O4 - HKLM\..\Run: [svcH0st] C:\WINDOWS\winagent.exe /i

O4 - HKLM\..\Run: [gcasServ] C:\WINDOWS\gcasServ.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: &Download with &DAP - C:\Program\DAP\dapextie.htm

O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\wweb32.dll/lookup.html

O8 - Extra context menu item: Download &all with DAP - C:\Program\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\Program\DAP\DAP.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.sertek.com.tw/

O16 - DPF: {01118A01-3E00-11D2-8470-0060089874ED} (SupportSoft Script Runner Class) - http://dnakc.support.telia.se/sdccommon/download/tgctlsr.cab

O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://admmail04.orebro.se/iNotes.cab

O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://admmail04.orebro.se/iNotes6.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup153.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

 

/hälsningar Lasse

 

Länk till kommentar
Dela på andra webbplatser
Zipp.

Zipp.

Postad
Postad

Skapa en ny mapp på C:\ och placera HijackThis.exe dit så C:\HjT\HijackThis.exe

 

Scanna med Hijack bocka i följande rader stäng Web-läsaren och alla andra öppna fönster och klicka FIX checked

 

O4 - HKLM\..\Run: [NAVCheck] C:\WINDOWS\navchk.exe /i

O4 - HKLM\..\Run: [svcH0st] C:\WINDOWS\winagent.exe /i

 

 

har du bestämt detta själv så låt bli

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sex-family.net/sherbook/search/search.html

 

annars bocka i den också.

 

Sen starta om datorn och scanna denna fil här

 

C:\WINDOWS\gcasServ.exe

 

http://virusscan.jotti.org/

 

Meddela resultat och skicka en ny Hijack logg.

 

 

 

Länk till kommentar
Dela på andra webbplatser
Gäst idgadmin

Gäst idgadmin

Postad
Postad

Tack Zipp! Jag tog bort de tre raderna och det verkar som det funkar. Ingen virusvarning än i alla fall. När jag satte på datorn efter avstängning var brandväggen avstängd av nån anledning, men det var bara att aktivera den igen.

hälsn. /Lasse

 

 

Länk till kommentar
Dela på andra webbplatser
Zipp.

Zipp.

Postad
Postad

 

> är ju ms antispyware <

 

Joo jag vet,men när han skrev så här

 

> Då hittar "House Call" (virusscanning på nätet)ett virus "trojan-downloader" i gcasServ.exe <

 

så tänkte jag att det kan vara vad som hälst.

 

[inlägget ändrat 2005-03-27 16:41:18 av Zipp]

Länk till kommentar
Dela på andra webbplatser
Gäst idgadmin

Gäst idgadmin

Postad
Postad

 

Hej 927, jag antar att filen du menar är gcasServ.exe,men när jag ska skicka in den för scanning, finns den inte! Hittas inte när jag söker heller. /Lasse

 

Länk till kommentar
Dela på andra webbplatser
Gäst idgadmin

Gäst idgadmin

Postad
Postad

Hej Zipp, kan inte hitta det program du nämner. Men jag har å andra sidan inte tagit bort det så vitt jag vet. /Lasse

 

 

Länk till kommentar
Dela på andra webbplatser
Zipp.

Zipp.

Postad
Postad

> Men jag har å andra sidan inte tagit bort det så vitt jag vet. <

 

Kommer du ihåg om du har installerat det nån gång.

 

Gå hit

 

http://virusscan.jotti.org/

 

Sen Bläddra

Sen kopiera och klistra in detta rad

 

C:\WINDOWS\gcasServ.exe

 

Sen Öppna och Submit.

Meddela resultat om filen hittas.

 

Länk till kommentar
Dela på andra webbplatser
Gäst idgadmin

Gäst idgadmin

Postad
Postad

Zipp! Nej jag har inte installerat det.

 

Jag gick in på virusscan.jotti och gjorde som du sa men de hittade inte filen. Sa nåt om brandvägg etc. /Lasse

 

 

Länk till kommentar
Dela på andra webbplatser
Zipp.

Zipp.

Postad
Postad

> Nej jag har inte installerat det <

 

Då så bocka i och Fix:sa denna rad

 

O4 - HKLM\..\Run: [gcasServ] C:\WINDOWS\gcasServ.exe

 

 

Länk till kommentar
Dela på andra webbplatser
Gäst idgadmin

Gäst idgadmin

Postad
Postad

Zipp! Jag har fixat det nu. Borde jag hämta det där windows betaprogrammet du nämnde förut? /Lasse

 

 

Länk till kommentar
Dela på andra webbplatser
Zipp.

Zipp.

Postad
Postad

> Borde jag hämta det där windows betaprogrammet <

 

Jaa..det får du själv bestämma hur många rensningprogram du vill ha på datorn.

Ser att du har SpyBot.

 

Länk till kommentar
Dela på andra webbplatser
Gäst idgadmin

Gäst idgadmin

Postad
Postad

 

927! Kan inte skicka gcasServ.exe, jag hittar den inte hur jag än söker, verkar som den inte finns på min dator?? /Lasse

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...