Ustedalen Skrevet 2. januar 2006 Skrevet 2. januar 2006 Heisann, tror jeg har fått virus nå. Msn klikket fullstending i sta, og ett det hr det bare vært tull på pcen min. Opera og andre vinduer som er oppe, blinker som bare faen og det er vanskelig å skrive her nå! Nod32 fant dessuten to trojanske hester som er slettet. Legger ut HijackThis loggen her, så dere kan bedømme! Logfile of HijackThis v1.99.1 Scan saved at 22:53:59, on 02.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Telenor\ecc\ecc.exe C:\Programfiler\Adobe\Version Cue\ControlPanel\VersionCueTray.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programfiler\Java\jre1.5.0_01\bin\jusched.exe C:\Programfiler\SlySoft\AnyDVD\AnyDVD.exe C:\Programfiler\Eset\nod32kui.exe C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programfiler\iTunes\iTunesHelper.exe C:\Programfiler\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\Messenger\msmsgs.exe C:\Programfiler\MessengerDiscovery\msgdiscoveryx.exe C:\Programfiler\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programfiler\Nikon\PictureProject\NkbMonitor.exe C:\Programfiler\Microsoft AntiSpyware\gcasDtServ.exe C:\PROGRA~1\Adobe\DOCUME~1.0\server\bin\JK_NT_~1.EXE C:\WINDOWS\system32\CTSvcCDA.EXE C:\Programfiler\Adobe\Document Server 6.0\server\tools\jre1_4_0\bin\java.exe C:\Programfiler\Fellesfiler\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programfiler\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programfiler\Raxco\PerfectDisk\PDSched.exe C:\Programfiler\iPod\bin\iPodService.exe C:\Programfiler\Adobe\Document Server 6.0\bin\altercastserver.exe C:\Programfiler\Adobe\Document Server 6.0\bin\altercastserver.exe C:\Programfiler\Opera\Opera.exe C:\Programfiler\Eset\nod32.exe C:\Programfiler\Eset\nod32.exe C:\Programfiler\Real\RealPlayer\realplay.exe C:\Programfiler\WinRAR\WinRAR.exe C:\Documents and Settings\Jon\Mine dokumenter\Programmer\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programfiler\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programfiler\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programfiler\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ecc] C:\Programfiler\Telenor\ecc\ecc.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programfiler\Adobe\Version Cue\ControlPanel\VersionCueTray.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [gcasServ] "C:\Programfiler\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programfiler\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [TkBellExe] "C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [iTunesHelper] "C:\Programfiler\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MessengerDiscovery] C:\Programfiler\MessengerDiscovery\msgdiscoveryx.exe O4 - Startup: Adobe Gamma.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programfiler\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programfiler\Nikon\PictureProject\NkbMonitor.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1116277851828 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programfiler\Adobe\Version Cue\service\VersionCue.exe O23 - Service: AlterCastDocEdition - Unknown owner - C:\PROGRA~1\Adobe\DOCUME~1.0\server\bin\JK_NT_~1.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programfiler\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programfiler\Fellesfiler\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programfiler\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programfiler\Raxco\PerfectDisk\PDSched.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programfiler\Sygate\SPF\smc.exe Blir det formatering nå ?
berxter Skrevet 3. januar 2006 Skrevet 3. januar 2006 Hei. Egentlig burde jeg vente på at Zjulik ser på den, da han har langt mer rutine, men jeg tar en sjanse. Loggen din ser rein ut den. For å underbygge kjørte jeg den gjennom et par nettbaserte analyseringsverktøy; de fant heller ingenting. Jeg ser du kjører et par Active-X kontroller fra Symantec samtidig som du bruker nod32, (016- innslagene), men det skulle normalt ikke spille noen rolle. Vi får se om Zjulik har en annnen konklusjon. Du kan jo tømme cachen i Opera så lenge.... Bernt K
zjulik Skrevet 3. januar 2006 Skrevet 3. januar 2006 Jeg kan ikke si mye annet enn berxter her - loggen ser fin ut men tøm cache etc. Kjør gjerne en runde m CrapCleaner for å få vekk gamle cookies og sånt.
b21a Skrevet 3. januar 2006 Skrevet 3. januar 2006 Hmmm Denne sier noe annet, ser ut for at du har fått en orm.
berxter Skrevet 3. januar 2006 Skrevet 3. januar 2006 Hmm. Jeg fikk ikke noe resultat fra ianags (networktechs) analysator da jeg kjørte den der, men både help2go og hijackthis.de friskmeldte både hele loggen og denne linja. Javel, da er det bare å ta den til etterretning. Da ville jeg kjørt Kaspersky og Panda active scan; kanskje også Windowssecurity Trojan scan. Dersom de finner svineri, kan du være så snill å si fra, så vi lærer noe nytt i dag også? Bernt K
zjulik Skrevet 3. januar 2006 Skrevet 3. januar 2006 Ikke enig. Se Symantecs side på dette: # Adds the values: "Services" = "%Windir%\services.exe" "JavaVM" = "%Windir%\java.exe" ( http://securityresponse.symantec.com/[email protected] ) java.exe i Windowsmappen = virus. En (riktignok gammel versjon av ) java.exe i Adobemappen = ikke virus.
berxter Skrevet 3. januar 2006 Skrevet 3. januar 2006 Enda en hmmm. Jeg håper Zjulik har rett, slik at vi ikke har friskmeldt en syk installasjon. For å være helt sikker ville jeg likevel ha kjørt en av de to jeg nevnte; jeg tror det er Panda som gir deg muligheten for å lagre en rapport, og det har vært kjekt å se den (kun for læring...) Ser du bruker Opera, disse online scannerne trenger IE med Active-X påslått. Bernt K
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå