Sannsynligvis virus - hva skal jeg gjøre?

[Ustedalen 159]

Heisann, tror jeg har fått virus nå. Msn klikket fullstending i sta, og ett det hr det bare vært tull på pcen min. Opera og andre vinduer som er oppe, blinker som bare faen og det er vanskelig å skrive her nå!

Nod32 fant dessuten to trojanske hester som er slettet.

 

Legger ut HijackThis loggen her, så dere kan bedømme!

 

Logfile of HijackThis v1.99.1

Scan saved at 22:53:59, on 02.01.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programfiler\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programfiler\Telenor\ecc\ecc.exe

C:\Programfiler\Adobe\Version Cue\ControlPanel\VersionCueTray.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Programfiler\Java\jre1.5.0_01\bin\jusched.exe

C:\Programfiler\SlySoft\AnyDVD\AnyDVD.exe

C:\Programfiler\Eset\nod32kui.exe

C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programfiler\iTunes\iTunesHelper.exe

C:\Programfiler\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\Messenger\msmsgs.exe

C:\Programfiler\MessengerDiscovery\msgdiscoveryx.exe

C:\Programfiler\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Programfiler\Nikon\PictureProject\NkbMonitor.exe

C:\Programfiler\Microsoft AntiSpyware\gcasDtServ.exe

C:\PROGRA~1\Adobe\DOCUME~1.0\server\bin\JK_NT_~1.EXE

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\Programfiler\Adobe\Document Server 6.0\server\tools\jre1_4_0\bin\java.exe

C:\Programfiler\Fellesfiler\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programfiler\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Programfiler\Raxco\PerfectDisk\PDSched.exe

C:\Programfiler\iPod\bin\iPodService.exe

C:\Programfiler\Adobe\Document Server 6.0\bin\altercastserver.exe

C:\Programfiler\Adobe\Document Server 6.0\bin\altercastserver.exe

C:\Programfiler\Opera\Opera.exe

C:\Programfiler\Eset\nod32.exe

C:\Programfiler\Eset\nod32.exe

C:\Programfiler\Real\RealPlayer\realplay.exe

C:\Programfiler\WinRAR\WinRAR.exe

C:\Documents and Settings\Jon\Mine dokumenter\Programmer\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programfiler\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programfiler\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programfiler\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [ecc] C:\Programfiler\Telenor\ecc\ecc.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programfiler\Adobe\Version Cue\ControlPanel\VersionCueTray.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [gcasServ] "C:\Programfiler\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AnyDVD] C:\Programfiler\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [TkBellExe] "C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programfiler\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerDiscovery] C:\Programfiler\MessengerDiscovery\msgdiscoveryx.exe

O4 - Startup: Adobe Gamma.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programfiler\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programfiler\Nikon\PictureProject\NkbMonitor.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1116277851828

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programfiler\Adobe\Version Cue\service\VersionCue.exe

O23 - Service: AlterCastDocEdition - Unknown owner - C:\PROGRA~1\Adobe\DOCUME~1.0\server\bin\JK_NT_~1.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programfiler\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programfiler\Fellesfiler\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programfiler\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programfiler\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programfiler\Sygate\SPF\smc.exe

 

 

Blir det formatering nå ?

[berxter 0]

Hei. Egentlig burde jeg vente på at Zjulik ser på den, da han har langt mer rutine, men jeg tar en sjanse. Loggen din ser rein ut den. For å underbygge kjørte jeg den gjennom et par nettbaserte analyseringsverktøy; de fant heller ingenting. Jeg ser du kjører et par Active-X kontroller fra Symantec samtidig som du bruker nod32,

(016- innslagene), men det skulle normalt ikke spille noen rolle.

Vi får se om Zjulik har en annnen konklusjon. Du kan jo tømme cachen i Opera så lenge....

 

 

Bernt K

[zjulik 4]

Jeg kan ikke si mye annet enn berxter her - loggen ser fin ut men tøm cache etc.

Kjør gjerne en runde m CrapCleaner for å få vekk gamle cookies og sånt.

[b21a 0]

Hmmm Denne sier noe annet, ser ut for at du har fått en orm.

[berxter 0]

Hmm. Jeg fikk ikke noe resultat fra ianags (networktechs) analysator da jeg kjørte den der, men både help2go og hijackthis.de friskmeldte både hele loggen og denne linja. Javel, da er det bare å ta den til etterretning. Da ville jeg kjørt Kaspersky og Panda active scan; kanskje også Windowssecurity Trojan scan.

Dersom de finner svineri, kan du være så snill å si fra, så vi lærer noe nytt i dag også?

 

 

Bernt K

[zjulik 4]

Ikke enig. Se Symantecs side på dette:

# Adds the values:

 

"Services" = "%Windir%\services.exe"

"JavaVM" = "%Windir%\java.exe"

 

( http://securityresponse.symantec.com/avcen...ydoom.m@mm.html )

 

java.exe i Windowsmappen = virus.

En (riktignok gammel versjon av ) java.exe i Adobemappen = ikke virus.

[berxter 0]

Enda en hmmm. Jeg håper Zjulik har rett, slik at vi ikke har friskmeldt en syk installasjon. For å være helt sikker ville jeg likevel ha kjørt en av de to jeg nevnte; jeg tror det er Panda som gir deg muligheten for å lagre en rapport, og det har vært kjekt å se den (kun for læring...)

Ser du bruker Opera, disse online scannerne trenger IE med Active-X påslått.

 

Bernt K