|
| hijackthis log Fra : o.v.n. | Vist : 700 gange 500 point Dato : 13-02-06 15:18 |
|
Hej. I lørdags poppede min antivirus op med en meddelse om at den havde forhindert en virus i at starte, en efterfølgende virus scanning fjernede virussen (mscornet.exe i system32 mappen) min selvtillid har lidt et knæk, jeg troede at jeg var rimelig godt bekyttet og nu er jeg nervøs for om der er mere skidt på maskinen, derfor en hijackthis log, håber der er en der vil se efter
Citat Logfile of HijackThis v1.99.1
Scan saved at 15:04:51, on 13-02-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programmer\ClocX\ClocX.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\HDD Thermometer\HDD Thermometer.exe
C:\Programmer\BullGuard Software\BullGuard\bullguard.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\ccwin9.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programmer\OpenOffice.org 1.9.105\program\soffice.exe
C:\Programmer\OpenOffice.org 1.9.105\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\PROGRA~1\Corel\WORDPE~1\programs\alarm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmer\Deepnet Explorer\Deepnet.exe
C:\Documents and Settings\Ove Nørgaard\Skrivebord\hjt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kandu.dk/LastX.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\Programmer\iFinger\plugins\IE.ifp
O4 - HKLM\..\Run: [ClocX] C:\Programmer\ClocX\ClocX.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programmer\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Programmer\BullGuard Software\BullGuard\bullguard.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programmer\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7
O4 - Startup: OpenOffice.org 1.9.105.lnk = C:\Programmer\OpenOffice.org 1.9.105\program\quickstart.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CorelCENTRAL 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\ccwin9.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O15 - Trusted Zone: http://www.danskebank.dk
O15 - Trusted Zone: http://www.kandu.dk
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132576215778
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134994607736
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37540.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard, Ltd. - C:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
| |
| Kommentar Fra : stl_s |
Dato : 13-02-06 17:20 |
| | |
| Kommentar Fra : CLAN |
Dato : 13-02-06 17:42 |
|
o.v.n.... Kandu er ikke et Spyware forum Ikke dermed sagt, at der ikke findes nogen herinde, som kan læse en HJT-log, nogle bedre end andre, og tro mig du kan forudrette større skade end gavn, hvis "det forkerte" slettes. Jeg vil henvende til specialisterne www.spywarefri.dk og www.arlet.dk så er du i "sikre" hænder.
| |
| Accepteret svar Fra : stl_s | Modtaget 500 point Dato : 13-02-06 17:45 |
|
Det ser ud til at dine, iøvrigt udmærkede, sikkerhedsprogrammer klarede det meste.
Du skal lige gå i Start/Kør, skriv cmd
I DOS vinduet skriver du sc delete Automatic Update og tast <enter>
Tjek også at denne fil er væk wuapi.exe
Hvis denne linie er væk i loggen efter en genstart, så er loggen ren:
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
Så skal du lige slette dine gendannelsespunkter, så du ikke kommer til at gendanne skidtet. Se her hvordan, hvis du ikke ved det http://www.spywarefri.dk/virusscannere.htm#alle
Hvis du så lige tømmer dine tempfiler, evt med denne lille batfil (skal bare dobbeltklikkes), så skulle det være ok http://www.spywareinfo.dk/download/cleantempxp2k.bat
| |
| Kommentar Fra : stl_s |
Dato : 13-02-06 18:04 |
| | |
| Kommentar Fra : arlet |
Dato : 13-02-06 22:57 |
|
o.v.n -> stl_s er ikke alene en suveræn hijackthis log tyder, og det gode ved ham og andre fra spywarefri, er at de aldrig giver op, lige gyldigt hvor meget infektionen driller. Det er desværre en del der går..
og som stl_s skriver, så vil det ikke ændre noget som helst*S*
| |
| Kommentar Fra : o.v.n. |
Dato : 13-02-06 23:33 |
|
stl_s Citat Hvis du hellere vil have arlet til at se på loggen, så ok med mig. |
der lyder du fornærmet, undskyld! jeg anede ikke at du var suveræn på feltet, arlet viste jeg kunne, jeg besøger tit hans hjemmeside og inviterede ham samtidig med at jeg oprettede spørgsmålet, jeg lagde spørgsmålet her fordi andre også skulle have muligheden og atter andre for at have en log at øve sig på, kandu er faktist et udmærket forum, hvor jeg kan lide at komme, ville jeg kun have arlet til at tyde loggen, havde jeg sendt den til ham, i stedet for at linke til spørgsmålet, måske lidt kludret forklaret men jeg håber du forstår meningen.
Arlet tak fordi du kiggede forbi, jeg forstår at jeg er i gode hænder hos stl_s.
Jeg begynder nu at repare og sender en ny log før jeg går i seng, men lover ikke at blive oppe til der bliver svaret, vi mødes her i morgen sov godt!
| |
| Kommentar Fra : o.v.n. |
Dato : 14-02-06 00:51 |
|
Hej igen, jeg kan ikke få linen: O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing) væk, når jeg har skrevet som du skriver og trykker enter, står der: [SC] OpenService FAILED
Den angivne tjeneste findes ikke som en instaleret tjeneste, hvad gør jeg nu?
Jeg har kørt en søgning på wuapi.exe, uden resultater så den formodes at være væk.
Et tilægs spørgsmål: jeg kan se i loggen at der er 2 steder Symatec er nævnt, det må være rester fra min tidtigere antivirus Norton og kan sikkert godt slettes, men hvordan?
Jeg har slået systemgendannelse fra og der bliver den til problemet er klaret
| |
| Kommentar Fra : stl_s |
Dato : 14-02-06 04:32 |
|
Jeg er faktisk ikke fornærmet
Du skal en tur i registreringsdatabasen for at slette den service. Det vil være en god ide at tage backup først. Se her hvordan du gør http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=3441
Klik dig så frem til:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Automatic Update Service (Automatic Update)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_Automatic Update Service (Automatic Update)
Højreklik på dem, og slet dem, hvis de findes.
Får du ikke lov til at slette dem, klik en gang på den, så den er markeret, vælg rediger, vælg tilladelser og tag fuld kontrol over nøglen, så kan du slette den.
Læg mærke til at nøglerne nok kun hedder Automatic Update Service eller Automatic Update.
Der er faktisk ikke noget Norton tilbage. Kun nogle ActiveX fra deres onlinescanner. Du kan godt fixe dem med hijackthis, men så tager scanneren længere tid at loade, næste gang du bruger den.
Genstart og kør hijackthis igen, er servicen væk er din log helt ren.
Du kan sagtens bruge din egen cleaner. Bare der lige bliver renset ud i tempfilerne.
Arlet, tak for de pæne ord
| |
| Kommentar Fra : arlet |
Dato : 14-02-06 08:55 |
|
stl_s -> Det manglede bare*S*
o.v.n -> Et eller andet sted forstår jeg dig godt. Dette er et forum, hvor alle kan lægge et svar til hvad du skal slette og du har ikke en kinamand chance for at vide om hjælperen rent faktisk har forstand på det som han siger. Jeg ville heller ikke bare tage råd fra en jeg ikke kendte, så forstår godt din skepstisk. Det har f.eks spywarefri rådet bod på ved at det kun er spywarefris egne folk der lægger vejledninger i deres forum, det syntes jeg er en god ide for spørgerne. Her på kandu og på eksperten skal man være lidt varsom, da der er mange der lægger svar og det ikke er alle sammen der har styr på det, desværre..
| |
| Du har følgende muligheder | |
|
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.
Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
| |
|
|