|
|
|
|
Hejsa !
Jeg har faktisk lige afsluttet et forsøg på at rense min maskine, i samarbejde med “Tonnybrandt” -
det så også en overgang ud til at have hjulpet, men nu kommer de igen, og jeg kan se at O15: >trusted zone< ikke engang er kommet tilbage.
Det behøver ikke gå superhurtigt - jeg ville bare så gerne af med det der, det må vel kunne lade sig gøre uden absolut at skulle Formatere ?
Så jeg håber der er nogen her som kan få noget ud af loggen og hjælpe mig med at få det fjernet .[:I]
hilsen
Torben
Jeg har lige taget en hijacklog :
Logfile of HijackThis v1.99.0
Scan saved at 23:33:20, on 05-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/csrss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Sygate/SPF/smc.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/system32/LEXBCES.EXE
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/system32/LEXPPS.EXE
C:/Programmer/Lexmark X1100 Series/lxbkbmgr.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgamsvr.exe
C:/Programmer/Lexmark X1100 Series/lxbkbmon.exe
C:/Programmer/Medionkeyboard/1.3/KbdAp32A.exe
C:/Programmer/MSN Apps/Updater/01.02.3000.1001/da/msnappau.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgupsvc.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgcc.exe
C:/WINDOWS/System32/DRIVERS/CDANTSRV.EXE
C:/PROGRA~1/Grisoft/AVGFRE~1/avgemc.exe
C:/Programmer/Messenger/msmsgs.exe
C:/Programmer/MSN Messenger/msnmsgr.exe
C:/Programmer/Skype/Phone/Skype.exe
C:/Programmer/SpywareGuard/sgmain.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/SpywareGuard/sgbhp.exe
C:/WINDOWS/System32/alg.exe
C:/WINDOWS/system32/usrshutd.exe
C:/WINDOWS/system32/winmsdc.exe
C:/WINDOWS/system32/vwipxspnt.exe
C:/Documents and Settings/Torben Benny Olsen/Dokumenter/WinXP-Diverse[også Link´s]/hjt.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/Programmer/Adobe/Acrobat 6.0/Reader/ActiveX/AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:/Programmer/SpywareGuard/dlprotect.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:/Programmer/MSN Apps/ST/01.02.3000.1002/en-xu/stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:/Programmer/MSN Apps/MSN Toolbar/01.02.3000.1001/da/msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:/Programmer/MSN Apps/MSN Toolbar/01.02.3000.1001/da/msntb.dll
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/smc.exe -startgui
O4 - HKLM/../Run: [FLMK08KB] C:/Programmer/Medionkeyboard/1.3/MMKEYBD.EXE
O4 - HKLM/../Run: [Lexmark X1100 Series] “C:/Programmer/Lexmark X1100 Series/lxbkbmgr.exe”
O4 - HKLM/../Run: [msnappau] “C:/Programmer/MSN Apps/Updater/01.02.3000.1001/da/msnappau.exe”
O4 - HKLM/../Run: [AVG7_CC] C:/PROGRA~1/Grisoft/AVGFRE~1/avgcc.exe /STARTUP
O4 - HKLM/../Run: [AVG7_EMC] C:/PROGRA~1/Grisoft/AVGFRE~1/avgemc.exe
O4 - HKCU/../Run: [MSMSGS] “C:/Programmer/Messenger/msmsgs.exe” /background
O4 - HKCU/../Run: [msnmsgr] “C:/Programmer/MSN Messenger/msnmsgr.exe” /background
O4 - HKCU/../Run: [Skype] “C:/Programmer/Skype/Phone/Skype.exe” /nosplash /minimized
O4 - Startup: SpywareGuard.lnk = C:/Programmer/SpywareGuard/sgmain.exe
O8 - Extra context menu item: &Add; animation to IncrediMail Style Box - C:/PROGRA~1/INCRED~1/bin/resources/WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:/Programmer/Java/j2re1.4.2_06/bin/npjpi142_06.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:/Programmer/Java/j2re1.4.2_06/bin/npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.atnbangla.tv/tdserver.cab
O16 - DPF: {11818680-FCF6-11D0-9808-0800092A4865} (Adobe Form Control) - http://www.kps.dk/Codebase/FormCtl.cab
O16 - DPF: {1469FF24-47F6-11D2-8805-006008C537E3} (Adobe Mail Control) - http://www.kps.dk/codebase/ffmail.cab
O16 - DPF: {224F7DEA-B7C1-11D3-AB40-00902712A5C9} (PLSAddin Class) - http://www.kps.dk/codebase/plsspeller.cab
O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KX-HCM10 Control) - http://80.199.4.57:81/kxhcm10.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100861028217
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://211.79.170.21/plugin/1/AxisCamControl.cab
O16 - DPF: {92EB6641-286A-11D2-A68E-00A0C996A6DD} (Adobe Signature Object) - http://www.kps.dk/codebase/jfsignature.cab
O16 - DPF: {933EC14C-7B6A-4F8B-8770-820167956CC3} (ShapeShifter.Mask) - http://www.rovion.com/Controls/shapeshifter.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {CDDCFBB3-4D93-11D2-B1A9-00A0C9B742BE} (Adobe Script Object) - http://www.kps.dk/codebase/scriptobject.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {EF2FB80F-0975-408E-A871-B00CC863478A} (Adobe Soft Font Installer) - http://www.kps.dk/codebase/fontinstaller.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgupsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:/WINDOWS/System32/DRIVERS/CDANTSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:/Programmer/iPod/bin/iPodService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:/WINDOWS/system32/LEXBCES.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:/Programmer/Sygate/SPF/smc.exe
|
|
|
Redaktør
Antal indlæg: 4429
|
Hej igen Torben 
Det var så lidt for tidligt vi fik lukket.
Jeg kan se at de filer vi slettede er vendt tilbage, så vi har lidt at gå efter. Jeg snakker lige med mine kolleger og ser om en af dem er stødt på denne infektion før. Vi vender snarest tilbage ..
|
|
|
|
|
Fint nok Tonny - tak skal du have.
Hvis der kommer løsningsforslag afprøver jeg gerne de næste par timer.
Men hvis det bedre kan løses i morgen er det også helt fint.
hilsen
Torben
|
|
|
Redaktør
Antal indlæg: 4429
|
Jeg har fundet et fix, som ihvertfald retter sig imod din infektion. Jeg har ikke set det brugt, men har prøvekørt det på min egen rene maskine uden problemer.
Download denne og udpak den til en folder på harddisken.
http://forums.skads.org/index.php?act=Attach&type=post&id=83
Genstart i fejlsikret tilstand, find mappen og dobbeltklik rem.bat som ligger i mappen. Hvis den spørger om den må slette filer eller tilføje værdier til registreringsdatabasen skal du svare ja.
Den afslutter med at vise en log over det den har lavet. Den log vil jeg gerne se.
|
|
|
|
|
Den log fra “fejlfri” du efterlyser er her:
Files Found…..............
————————————————————
vwipxspnt.exe
winmsdc.exe
usrshutd.exe
tcpsvcss.exe
Files Not deleted…..............
————————————————————
Merging registry entries
————————————————————————————————-
The Registry Entries Found…
————————————————————————————————-
Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
————————————————————————————————-
msi.dll
Finished
mvh Torben
|
|
|
Redaktør
Antal indlæg: 4429
|
Ok, det ser ok ud. Den msi.dll skal du ikke gøre noget ved. Det er en Microsoft fil, som er helt ok.
Så må du gerne lige fortælle om det hjalp på infektionen og lægge en ny HiJackThis log.
|
|
|
|
|
Jeg kan sige, at i de få minutter der er gået siden jeg var i fejlfri har der ikke været nogen popups.
Logfile of HijackThis v1.99.0
Scan saved at 01:43:10, on 06-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/csrss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Sygate/SPF/smc.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/system32/LEXBCES.EXE
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/system32/LEXPPS.EXE
C:/Programmer/Lexmark X1100 Series/lxbkbmgr.exe
C:/Programmer/MSN Apps/Updater/01.02.3000.1001/da/msnappau.exe
C:/Programmer/Lexmark X1100 Series/lxbkbmon.exe
C:/Programmer/Medionkeyboard/1.3/KbdAp32A.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgcc.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgamsvr.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgemc.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgupsvc.exe
C:/WINDOWS/System32/DRIVERS/CDANTSRV.EXE
C:/Programmer/Messenger/msmsgs.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/MSN Messenger/msnmsgr.exe
C:/Programmer/Skype/Phone/Skype.exe
C:/Programmer/SpywareGuard/sgmain.exe
C:/Programmer/SpywareGuard/sgbhp.exe
C:/WINDOWS/System32/alg.exe
C:/Documents and Settings/Torben Benny Olsen/Dokumenter/WinXP-Diverse[også Link´s]/hjt.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/Programmer/Adobe/Acrobat 6.0/Reader/ActiveX/AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:/Programmer/SpywareGuard/dlprotect.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:/Programmer/MSN Apps/ST/01.02.3000.1002/en-xu/stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:/Programmer/MSN Apps/MSN Toolbar/01.02.3000.1001/da/msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:/Programmer/MSN Apps/MSN Toolbar/01.02.3000.1001/da/msntb.dll
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/smc.exe -startgui
O4 - HKLM/../Run: [FLMK08KB] C:/Programmer/Medionkeyboard/1.3/MMKEYBD.EXE
O4 - HKLM/../Run: [Lexmark X1100 Series] “C:/Programmer/Lexmark X1100 Series/lxbkbmgr.exe”
O4 - HKLM/../Run: [msnappau] “C:/Programmer/MSN Apps/Updater/01.02.3000.1001/da/msnappau.exe”
O4 - HKLM/../Run: [AVG7_CC] C:/PROGRA~1/Grisoft/AVGFRE~1/avgcc.exe /STARTUP
O4 - HKLM/../Run: [AVG7_EMC] C:/PROGRA~1/Grisoft/AVGFRE~1/avgemc.exe
O4 - HKCU/../Run: [MSMSGS] “C:/Programmer/Messenger/msmsgs.exe” /background
O4 - HKCU/../Run: [msnmsgr] “C:/Programmer/MSN Messenger/msnmsgr.exe” /background
O4 - HKCU/../Run: [Skype] “C:/Programmer/Skype/Phone/Skype.exe” /nosplash /minimized
O4 - Startup: SpywareGuard.lnk = C:/Programmer/SpywareGuard/sgmain.exe
O8 - Extra context menu item: &Add; animation to IncrediMail Style Box - C:/PROGRA~1/INCRED~1/bin/resources/WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:/Programmer/Java/j2re1.4.2_06/bin/npjpi142_06.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:/Programmer/Java/j2re1.4.2_06/bin/npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.atnbangla.tv/tdserver.cab
O16 - DPF: {11818680-FCF6-11D0-9808-0800092A4865} (Adobe Form Control) - http://www.kps.dk/Codebase/FormCtl.cab
O16 - DPF: {1469FF24-47F6-11D2-8805-006008C537E3} (Adobe Mail Control) - http://www.kps.dk/codebase/ffmail.cab
O16 - DPF: {224F7DEA-B7C1-11D3-AB40-00902712A5C9} (PLSAddin Class) - http://www.kps.dk/codebase/plsspeller.cab
O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KX-HCM10 Control) - http://80.199.4.57:81/kxhcm10.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100861028217
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://211.79.170.21/plugin/1/AxisCamControl.cab
O16 - DPF: {92EB6641-286A-11D2-A68E-00A0C996A6DD} (Adobe Signature Object) - http://www.kps.dk/codebase/jfsignature.cab
O16 - DPF: {933EC14C-7B6A-4F8B-8770-820167956CC3} (ShapeShifter.Mask) - http://www.rovion.com/Controls/shapeshifter.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {CDDCFBB3-4D93-11D2-B1A9-00A0C9B742BE} (Adobe Script Object) - http://www.kps.dk/codebase/scriptobject.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {EF2FB80F-0975-408E-A871-B00CC863478A} (Adobe Soft Font Installer) - http://www.kps.dk/codebase/fontinstaller.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgupsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:/WINDOWS/System32/DRIVERS/CDANTSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:/Programmer/iPod/bin/iPodService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:/WINDOWS/system32/LEXBCES.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:/Programmer/Sygate/SPF/smc.exe
|
|
|
Redaktør
Antal indlæg: 4429
|
Den er jo fin og flot.
Nu gør vi ikke mere lige nu, og så ser vi tiden an. Jeg bemærkede at der blev slettet en fil mere denne gang, så måske vi har været heldige.
Du vender blot tilbage med en melding når du har kørt med den et stykke tid, så vi ved om den vendte tilbage eller ej
|
|
|
|
|
Helt i orden Tonny - jeg er muligvis nok på nogle timer endnu.
Jeg kommer med en melding omkring middagstid i morgen. Medmindre der sker noget mens jeg er her, så kommenterer jeg med det samme.
Det hele var begyndt igen, men lige nu kører det helt fint.
Foreløbig tusind tak. Vi håber det var den rigtige.
hilsen
Torben
|
|
|
|
|
Det har ikke været slemt i nat, kun een enkelt gang er den lyserøde side kommet op, meeeen nu ser min log sådan ud:
Logfile of HijackThis v1.99.0
Scan saved at 04:48:10, on 06-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/csrss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Sygate/SPF/smc.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/system32/LEXBCES.EXE
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/system32/LEXPPS.EXE
C:/Programmer/Lexmark X1100 Series/lxbkbmgr.exe
C:/Programmer/MSN Apps/Updater/01.02.3000.1001/da/msnappau.exe
C:/Programmer/Lexmark X1100 Series/lxbkbmon.exe
C:/Programmer/Medionkeyboard/1.3/KbdAp32A.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgcc.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgamsvr.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgemc.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgupsvc.exe
C:/WINDOWS/System32/DRIVERS/CDANTSRV.EXE
C:/Programmer/Messenger/msmsgs.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/MSN Messenger/msnmsgr.exe
C:/Programmer/Skype/Phone/Skype.exe
C:/Programmer/SpywareGuard/sgmain.exe
C:/Programmer/SpywareGuard/sgbhp.exe
C:/WINDOWS/System32/alg.exe
C:/WINDOWS/system32/spool/drivers/w32x86/3/lxbkpswx.exe
C:/WINDOWS/system32/spool/drivers/w32x86/3/lxbkjswx.exe
C:/WINDOWS/system32/usrshutd.exe
C:/WINDOWS/system32/winmsdc.exe
C:/WINDOWS/system32/vwipxspnt.exe
C:/WINDOWS/system32/tlntadmnx.exe
C:/Documents and Settings/Torben Benny Olsen/Dokumenter/WinXP-Diverse[også Link´s]/hjt.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/Programmer/Adobe/Acrobat 6.0/Reader/ActiveX/AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:/Programmer/SpywareGuard/dlprotect.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:/Programmer/MSN Apps/ST/01.02.3000.1002/en-xu/stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:/Programmer/MSN Apps/MSN Toolbar/01.02.3000.1001/da/msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:/Programmer/MSN Apps/MSN Toolbar/01.02.3000.1001/da/msntb.dll
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/smc.exe -startgui
O4 - HKLM/../Run: [FLMK08KB] C:/Programmer/Medionkeyboard/1.3/MMKEYBD.EXE
O4 - HKLM/../Run: [Lexmark X1100 Series] “C:/Programmer/Lexmark X1100 Series/lxbkbmgr.exe”
O4 - HKLM/../Run: [msnappau] “C:/Programmer/MSN Apps/Updater/01.02.3000.1001/da/msnappau.exe”
O4 - HKLM/../Run: [AVG7_CC] C:/PROGRA~1/Grisoft/AVGFRE~1/avgcc.exe /STARTUP
O4 - HKLM/../Run: [AVG7_EMC] C:/PROGRA~1/Grisoft/AVGFRE~1/avgemc.exe
O4 - HKCU/../Run: [MSMSGS] “C:/Programmer/Messenger/msmsgs.exe” /background
O4 - HKCU/../Run: [msnmsgr] “C:/Programmer/MSN Messenger/msnmsgr.exe” /background
O4 - HKCU/../Run: [Skype] “C:/Programmer/Skype/Phone/Skype.exe” /nosplash /minimized
O4 - Startup: SpywareGuard.lnk = C:/Programmer/SpywareGuard/sgmain.exe
O8 - Extra context menu item: &Add; animation to IncrediMail Style Box - C:/PROGRA~1/INCRED~1/bin/resources/WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:/Programmer/Java/j2re1.4.2_06/bin/npjpi142_06.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:/Programmer/Java/j2re1.4.2_06/bin/npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.atnbangla.tv/tdserver.cab
O16 - DPF: {11818680-FCF6-11D0-9808-0800092A4865} (Adobe Form Control) - http://www.kps.dk/Codebase/FormCtl.cab
O16 - DPF: {1469FF24-47F6-11D2-8805-006008C537E3} (Adobe Mail Control) - http://www.kps.dk/codebase/ffmail.cab
O16 - DPF: {224F7DEA-B7C1-11D3-AB40-00902712A5C9} (PLSAddin Class) - http://www.kps.dk/codebase/plsspeller.cab
O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KX-HCM10 Control) - http://80.199.4.57:81/kxhcm10.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100861028217
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://211.79.170.21/plugin/1/AxisCamControl.cab
O16 - DPF: {92EB6641-286A-11D2-A68E-00A0C996A6DD} (Adobe Signature Object) - http://www.kps.dk/codebase/jfsignature.cab
O16 - DPF: {933EC14C-7B6A-4F8B-8770-820167956CC3} (ShapeShifter.Mask) - http://www.rovion.com/Controls/shapeshifter.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {CDDCFBB3-4D93-11D2-B1A9-00A0C9B742BE} (Adobe Script Object) - http://www.kps.dk/codebase/scriptobject.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {EF2FB80F-0975-408E-A871-B00CC863478A} (Adobe Soft Font Installer) - http://www.kps.dk/codebase/fontinstaller.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgupsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:/WINDOWS/System32/DRIVERS/CDANTSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:/Programmer/iPod/bin/iPodService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:/WINDOWS/system32/LEXBCES.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:/Programmer/Sygate/SPF/smc.exe
|
|
|
|
|
Disse to sider kommer hele tiden:
http:// livegabmling.com
http:// bitchesonline.net
og så kommer igen den advarsel midt på siden og den gule boble fra proceslinien ???
Nu vil jeg sove 4-5 timer.
Glæder mig til at se hvad du mener der skal gøres.
Godnat
Torben
|
|
|
|
|
Jeg håber i vil gøre noget ved mine link i sidste indlæg, de er sikkert IKKE GODE - jeg var ikke klar over de blev klikbare
Sorry—-
mvh
Torben
|
|
|
Redaktør
Antal indlæg: 4429
|
Jeg har gjort linken ikke klikbare.
Nu har vi haft 5 mand på dit problem og ingen af os er stødt på den før. Så jeg har besluttet at vi lige laver et “grimt” hack på din pc, der burde fixe problemet, men det er ikke den rigtige “holdbare” løsning. Se det som en midlertidig løsning indtil vi vender tilbage med den rigtige løsning.
Man gemmer en tekstfil, ved at åbne notesblok, kopiere teksten over i notesblokken og vælger fil | gem som. Så vælger man i filtype “Alle filer” og skriver navnet i “Filnavn”
Gem teksten mellen de stiplede liner som en tekstfil med navnet fix.bat og læg den på dit skrivebord.
——————————————————
md C:/WINDOWS/system32/usrshutd.exe
md C:/WINDOWS/system32/winmsdc.exe
md C:/WINDOWS/system32/vwipxspnt.exe
md C:/WINDOWS/system32/tlntadmnx.exe
pause
——————————————————
Genstart i fejlsikret tilstand og kør den rem.bat igen.
Når den har kørt, dobbeltklikker du så fix.bat som du lavede tidligere.
Genstart og kopier loggen fra rem.bat og en ny HiJackThis log herind.
|
|
|
|
|
Hej Tonny.
Tak skal du have - nu er jeg også blevet inficeret, det er nu nok en anden virus, totalt lukket i hals og hoved - puha -
.... jeg har gjort som du bag om, her er først den log fra fejlfri:
Files Found…..............
————————————————————
tlntadmnx.exe
vwipxspnt.exe
winmsdc.exe
usrshutd.exe
Files Not deleted…..............
————————————————————
Merging registry entries
————————————————————————————————-
The Registry Entries Found…
————————————————————————————————-
Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
————————————————————————————————-
msi.dll
Finished
og så en helt ny hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 15:27:02, on 06-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/csrss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Sygate/SPF/smc.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/system32/LEXBCES.EXE
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/system32/LEXPPS.EXE
C:/Programmer/Lexmark X1100 Series/lxbkbmgr.exe
C:/Programmer/Lexmark X1100 Series/lxbkbmon.exe
C:/Programmer/Medionkeyboard/1.3/KbdAp32A.exe
C:/Programmer/MSN Apps/Updater/01.02.3000.1001/da/msnappau.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgcc.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgemc.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgamsvr.exe
C:/PROGRA~1/Grisoft/AVGFRE~1/avgupsvc.exe
C:/WINDOWS/System32/DRIVERS/CDANTSRV.EXE
C:/Programmer/Messenger/msmsgs.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/MSN Messenger/msnmsgr.exe
C:/Programmer/Skype/Phone/Skype.exe
C:/Programmer/SpywareGuard/sgmain.exe
C:/Programmer/SpywareGuard/sgbhp.exe
C:/WINDOWS/system32/wuauclt.exe
C:/WINDOWS/System32/alg.exe
C:/Documents and Settings/Torben Benny Olsen/Dokumenter/WinXP-Diverse[også Link´s]/hjt.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/Programmer/Adobe/Acrobat 6.0/Reader/ActiveX/AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:/Programmer/SpywareGuard/dlprotect.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:/Programmer/MSN Apps/ST/01.02.3000.1002/en-xu/stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:/Programmer/MSN Apps/MSN Toolbar/01.02.3000.1001/da/msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:/Programmer/MSN Apps/MSN Toolbar/01.02.3000.1001/da/msntb.dll
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/smc.exe -startgui
O4 - HKLM/../Run: [FLMK08KB] C:/Programmer/Medionkeyboard/1.3/MMKEYBD.EXE
O4 - HKLM/../Run: [Lexmark X1100 Series] “C:/Programmer/Lexmark X1100 Series/lxbkbmgr.exe”
O4 - HKLM/../Run: [msnappau] “C:/Programmer/MSN Apps/Updater/01.02.3000.1001/da/msnappau.exe”
O4 - HKLM/../Run: [AVG7_CC] C:/PROGRA~1/Grisoft/AVGFRE~1/avgcc.exe /STARTUP
O4 - HKLM/../Run: [AVG7_EMC] C:/PROGRA~1/Grisoft/AVGFRE~1/avgemc.exe
O4 - HKCU/../Run: [MSMSGS] “C:/Programmer/Messenger/msmsgs.exe” /background
O4 - HKCU/../Run: [msnmsgr] “C:/Programmer/MSN Messenger/msnmsgr.exe” /background
O4 - HKCU/../Run: [Skype] “C:/Programmer/Skype/Phone/Skype.exe” /nosplash /minimized
O4 - Startup: SpywareGuard.lnk = C:/Programmer/SpywareGuard/sgmain.exe
O8 - Extra context menu item: &Add; animation to IncrediMail Style Box - C:/PROGRA~1/INCRED~1/bin/resources/WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:/Programmer/Java/j2re1.4.2_06/bin/npjpi142_06.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:/Programmer/Java/j2re1.4.2_06/bin/npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.atnbangla.tv/tdserver.cab
O16 - DPF: {11818680-FCF6-11D0-9808-0800092A4865} (Adobe Form Control) - http://www.kps.dk/Codebase/FormCtl.cab
O16 - DPF: {1469FF24-47F6-11D2-8805-006008C537E3} (Adobe Mail Control) - http://www.kps.dk/codebase/ffmail.cab
O16 - DPF: {224F7DEA-B7C1-11D3-AB40-00902712A5C9} (PLSAddin Class) - http://www.kps.dk/codebase/plsspeller.cab
O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KX-HCM10 Control) - http://80.199.4.57:81/kxhcm10.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100861028217
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://211.79.170.21/plugin/1/AxisCamControl.cab
O16 - DPF: {92EB6641-286A-11D2-A68E-00A0C996A6DD} (Adobe Signature Object) - http://www.kps.dk/codebase/jfsignature.cab
O16 - DPF: {933EC14C-7B6A-4F8B-8770-820167956CC3} (ShapeShifter.Mask) - http://www.rovion.com/Controls/shapeshifter.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {CDDCFBB3-4D93-11D2-B1A9-00A0C9B742BE} (Adobe Script Object) - http://www.kps.dk/codebase/scriptobject.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {EF2FB80F-0975-408E-A871-B00CC863478A} (Adobe Soft Font Installer) - http://www.kps.dk/codebase/fontinstaller.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:/PROGRA~1/Grisoft/AVGFRE~1/avgupsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:/WINDOWS/System32/DRIVERS/CDANTSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:/Programmer/iPod/bin/iPodService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:/WINDOWS/system32/LEXBCES.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:/Programmer/Sygate/SPF/smc.exe
jeg er ked af, at volde problemer, men håber der kan findes ud af noget…..
hilsen
Torben
|
|
|
Redaktør
Antal indlæg: 4429
|
Hej igen Torben
Du volder skam ingen problemer. Det er en ny infektion vi ikke har mødt før, så jeg synes det er fint vi ofrer noget tid på den og finder et fix, for det hjælper os i fremtiden.
Dette lille hack, var simpelthen for at du ikke skulle opgive på halvvejen og formatere. Nu skulle du gerne kunne køre uden popups, men infektionen er ikke fjernet fuldstændigt.
Det er det fix vi skal finde *s*
|
|
|
|
|
Ok Tonny - jeg tror nok jeg er en smule med på, hvad det er vi har lavet, der kommer heller ikke noget op lige nu, men det gjorde der jo heller ikke temmelig længe i aftes og i nat, men så skal jeg love for det kom tilbage.
Hvis noget begynder igen, så kommer jeg med en melding, ellers afventer jeg blot, indtil jeg på et tidspunkt igen hører fra dig.
Foreløbig tak - jeg afventer [B)]
mvh Torben
|
