MSN-virus, her er min Hijackthis.log

[hbaroe]

Hei,

 

kan du sjekke min logg?

Endret 24. oktober 2006 av hbaroe

[norbat]

Ja, det er tydelige tegn på infeksjonen.

 

Først: Kunne du kjøre en systemgjenoppretting og deretter legge ut en ny HJT-logg?

(Start->Alle programmer->Tilbehør->Systemverktøy->Systemgjenoppretting. Velg en dato før "msn-viruset".)

[hbaroe]

Hei,

 

Har kjørt systemoppretting, fikk beskjed om at ingen endringer var utført, her er ny logg

Endret 24. oktober 2006 av hbaroe

[norbat]

Jeg regnet egentlig med det. Greit å få det bekreftet

 

Da gjør vi følgende:

 

Avinstallere MSN fra Legg til/fjern programmer

Sjekk også i Windows komponenter og fjern evt. hake ved Windows Messenger

 

Hent deretter Dr.Web

her

 

og

 

SAS

her

Start og oppdater programmet.

 

samt Winsockfix

 

Restart i Sikker modus (tapp F8 under oppstart)

 

Kjør drweb-cureit.exe (si ja til å kjøre en express scan)

Når dette er ferdig klikker du på Option -> Change settings.

Under fanearket Scan, fjerner du haken ved Heuristic analysis.

Under fanearket Actions, skal alle punkt under Malware settes til Rename.

Velg partisjon du vil scanne og klikk deretter på den grønne pilen for

å starte scanningen. Velg "yes to all" når det finner noe for første gang.

 

Kjør deretter en full scan med SAS

 

Fjern fila (i bold): C:\Documents and Settings\heba\Desktop\two.exe

 

Restart maskinen i normal modus

 

Last ned Combofix

her

Kjør programmet

 

NÅr dette er ferdig, legger du ut en ny HJT-logg.

 

(om du mister internettforbindelsen, bruker du winsockfix)

[hbaroe]

Nå er alt kjørt og her er ny logg;

Endret 24. oktober 2006 av hbaroe

[Grievdus]

er så jævla lei det viruset..flaks for meg at jeg fikk det bort ser at mange her på forumet sliter med det

[norbat]

Last ned CCleaner (google), installer

 

 

Kjør HJT og fjern linjene:

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [explorer] C:\Documents and Settings\heba\Desktop\two.exe

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll

O20 - AppInit_DLLs: dxclib303562752.dll

O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)

 

Slå av systemgjenoppretting (start->kontrollpanel->system->systemgjenoppretting)

 

Restart i sikker modus (tapp f8 under oppstart)

 

Slett fila C:\Documents and Settings\heba\Desktop\two.exe

 

Kjør en rens med ccleaner. Kjør også "saker" noen ganger -> rett de feil som finnes

 

Restart i normal modus og legg ut ny HJT.

Endret 22. oktober 2006 av norbat

[hbaroe]

argument.

 

CCleaner kjørt, saker kjørt flere ganger til den ikke fant mer og er er ny log

Endret 24. oktober 2006 av hbaroe

[norbat]

Loggen ser for meg ren og pen ut.

Du kan slå på systemgjenopprettingen igjen.

 

Du kan godt prøve en av de onlinescannerne som er tilgjengelig

ex panda eller Bitdefender for å se om de finner noe av interesse.

 

Hvordan kjører forøvrig pc'n?

[hbaroe]

Så bra. PC'en ser bra ut ellers, den generer ikke IE-sider automatisk lenger og får heller ikke opp den feilmelding som kom i ett sett på fredagen. Så får vi håpe det vedvarer..

 

Takk skal du ha.

[norbat]

Den er grei. Ha en fortsatt fin kveld.

[hbaroe]

Kan du sjekke denne loggen for meg? Har kjørt DrWeb, SAS og Ccleaner på den.

Endret 24. oktober 2006 av hbaroe

[norbat]

Fjern:

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} - http://activex.matcash.com/speedtest2.dll

 

 

Hvis disse er ukjent, så slett, men pc er kanskje brukt i jobbsammenheng så disse kan sikkert få være i fred.

O15 - Trusted Zone: http://*.noaap-01-s13

O15 - Trusted IP range: http://10.193.112.14

O15 - Trusted IP range: http://10.193.112.14 (HKLM)

 

 

Og slett filen (i bold)

C:\WINDOWS\web\related.htm

Endret 23. oktober 2006 av norbat