Kandu.dk - hijackthis log

Vist : 699 gange
500 point
Dato : 13-02-06 15:18

Hej. I lørdags poppede min antivirus op med en meddelse om at den havde forhindert en virus i at starte, en efterfølgende virus scanning fjernede virussen (mscornet.exe i system32 mappen) min selvtillid har lidt et knæk, jeg troede at jeg var rimelig godt bekyttet og nu er jeg nervøs for om der er mere skidt på maskinen, derfor en hijackthis log, håber der er en der vil se efter

Citat
Logfile of HijackThis v1.99.1
Scan saved at 15:04:51, on 13-02-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programmer\ClocX\ClocX.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\HDD Thermometer\HDD Thermometer.exe
C:\Programmer\BullGuard Software\BullGuard\bullguard.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\ccwin9.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programmer\OpenOffice.org 1.9.105\program\soffice.exe
C:\Programmer\OpenOffice.org 1.9.105\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\PROGRA~1\Corel\WORDPE~1\programs\alarm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmer\Deepnet Explorer\Deepnet.exe
C:\Documents and Settings\Ove Nørgaard\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kandu.dk/LastX.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\Programmer\iFinger\plugins\IE.ifp
O4 - HKLM\..\Run: [ClocX] C:\Programmer\ClocX\ClocX.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programmer\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Programmer\BullGuard Software\BullGuard\bullguard.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programmer\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7
O4 - Startup: OpenOffice.org 1.9.105.lnk = C:\Programmer\OpenOffice.org 1.9.105\program\quickstart.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CorelCENTRAL 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\ccwin9.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O15 - Trusted Zone: http://www.danskebank.dk
O15 - Trusted Zone: http://www.kandu.dk
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132576215778
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134994607736
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37540.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard, Ltd. - C:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Kommentar
Fra : Er ikke online

Dato : 13-02-06 17:20

Jeg kigger på din log.

Kommentar
Fra : Er ikke online

Dato : 13-02-06 17:42

o.v.n.... Kandu er ikke et Spyware forum Meget Glad

Ikke dermed sagt, at der ikke findes nogen herinde, som kan læse en HJT-log, nogle bedre end andre, og tro mig du kan forudrette større skade end gavn, hvis "det forkerte" slettes. Jeg vil henvende til specialisterne www.spywarefri.dk og www.arlet.dk så er du i "sikre" hænder.

Accepteret svar
Fra : Er ikke online

Modtaget 500 point
Dato : 13-02-06 17:45

Det ser ud til at dine, iøvrigt udmærkede, sikkerhedsprogrammer klarede det meste.

Du skal lige gå i Start/Kør, skriv cmd

I DOS vinduet skriver du sc delete Automatic Update og tast <enter>

Tjek også at denne fil er væk wuapi.exe

Hvis denne linie er væk i loggen efter en genstart, så er loggen ren:

O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)

Så skal du lige slette dine gendannelsespunkter, så du ikke kommer til at gendanne skidtet. Se her hvordan, hvis du ikke ved det http://www.spywarefri.dk/virusscannere.htm#alle

Hvis du så lige tømmer dine tempfiler, evt med denne lille batfil (skal bare dobbeltklikkes), så skulle det være ok http://www.spywareinfo.dk/download/cleantempxp2k.bat

Kommentar
Fra : Er ikke online

Dato : 13-02-06 18:04

CLAN -> Hvis Kandu brugere ikke kommer til os, så kommer vi til dem Blink

http://www.spywarefri.dk/forum/pop_profile.asp?mode=display&id=4226

Kommentar
Fra : Er ikke online

Dato : 13-02-06 18:07

OK! Måtte liiige logge mig ind for at se 'den... du er altså min navnebror Blink

Mvh
Søren / CLAN

Kommentar
Fra : Er ikke online

Dato : 13-02-06 18:08

du kunne jo evt. fortælle lidt om jeres julefrokost Hahahahaha

Ikke sikkert at o.v.n. ved I var "optaget" i denne weekend Blink

Kommentar
Fra : Er ikke online

Dato : 13-02-06 18:11

Et godt gammelt navn Hahahahaha

Kommentar
Fra : Er ikke online

Dato : 13-02-06 18:13

Jeg var desværre ikke med til julefrokosten Ked af det

men jeg ved de hyggede sig gevaldigt Tømmermænd

Kommentar
Fra : Er ikke online

Dato : 13-02-06 18:17

'Det ku' jeg forestille mig... og Per havde sikkert "German Import" med Blink

Kommentar
Fra : Er ikke online

Dato : 13-02-06 18:23

Næh, det havde Anette Love

været nede og hente Blink

Kommentar
Fra : Er ikke online

Dato : 13-02-06 18:26

Hils Per fra Søren i Grenaa (CLAN), når du engang støder på ham.
Jeg må hellere overlade o.v.n. i dine kyndige hænder Meget Glad

Kommentar
Fra : Er ikke online

Dato : 13-02-06 18:29

Det skal jeg nok gøre Søren Glad

Kommentar
Fra : Er ikke online

Dato : 13-02-06 19:01

CLAN jeg ved godt at kandu ikke er et decideret spywareforum, men det er det eneste forum jeg er medlem i, der har også været eksempler på at hijackthis log der er fikset her, vi har da kategorien sikkerhed, jeg har valgt at lægge den herind, kandu kan blive et spywareforum, der er nogle der kan tyde en sådan log og andre som måske gerne vil lære det, arlet er inviteret pr. mail.
stl_s det ser ud til du har fundet nogle problemer, jeg tager fat på sagen senere i aften (meget senere) nu er det spisetid med mere, i mellemtiden kan i jo fortælle om den sikkert udmærkede julefrokost Blink

Kommentar
Fra : Er ikke online

Dato : 13-02-06 20:21

Hvis du hellere vil have arlet til at se på loggen, så ok med mig. Tvivler dog på at det det ændrer på "tydningen".

Kommentar
Fra : Er ikke online

arlet

Dato : 13-02-06 22:57

o.v.n -> stl_s er ikke alene en suveræn hijackthis log tyder, og det gode ved ham og andre fra spywarefri, er at de aldrig giver op, lige gyldigt hvor meget infektionen driller. Det er desværre en del der går..

og som stl_s skriver, så vil det ikke ændre noget som helst*S*

Kommentar
Fra : Er ikke online

Dato : 13-02-06 23:33

stl_s

Citat
Hvis du hellere vil have arlet til at se på loggen, så ok med mig.

der lyder du fornærmet, undskyld! jeg anede ikke at du var suveræn på feltet, arlet viste jeg kunne, jeg besøger tit hans hjemmeside og inviterede ham samtidig med at jeg oprettede spørgsmålet, jeg lagde spørgsmålet her fordi andre også skulle have muligheden og atter andre for at have en log at øve sig på, kandu er faktist et udmærket forum, hvor jeg kan lide at komme, ville jeg kun have arlet til at tyde loggen, havde jeg sendt den til ham, i stedet for at linke til spørgsmålet, måske lidt kludret forklaret men jeg håber du forstår meningen.
Arlet tak fordi du kiggede forbi, jeg forstår at jeg er i gode hænder hos stl_s.
Jeg begynder nu at repare og sender en ny log før jeg går i seng, men lover ikke at blive oppe til der bliver svaret, vi mødes her i morgen sov godt!

Kommentar
Fra : Er ikke online

Dato : 14-02-06 00:51

Hej igen, jeg kan ikke få linen: O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing) væk, når jeg har skrevet som du skriver og trykker enter, står der: [SC] OpenService FAILED
Den angivne tjeneste findes ikke som en instaleret tjeneste, hvad gør jeg nu?
Jeg har kørt en søgning på wuapi.exe, uden resultater så den formodes at være væk.
Et tilægs spørgsmål: jeg kan se i loggen at der er 2 steder Symatec er nævnt, det må være rester fra min tidtigere antivirus Norton og kan sikkert godt slettes, men hvordan?
Jeg har slået systemgendannelse fra og der bliver den til problemet er klaret Sover allerede

Kommentar
Fra : Er ikke online

Dato : 14-02-06 00:56

Det er I.E. Cleaner jeg bruger til at tømme temp mapper, er det godt nok? eller bør jeg bruge det program der er linket til?

Kommentar
Fra : Er ikke online

Dato : 14-02-06 04:32

Jeg er faktisk ikke fornærmet Glad

Du skal en tur i registreringsdatabasen for at slette den service. Det vil være en god ide at tage backup først. Se her hvordan du gør http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=3441

Klik dig så frem til:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Automatic Update Service (Automatic Update)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Automatic Update Service (Automatic Update)
Højreklik på dem, og slet dem, hvis de findes.
Får du ikke lov til at slette dem, klik en gang på den, så den er markeret, vælg rediger, vælg tilladelser og tag fuld kontrol over nøglen, så kan du slette den.

Læg mærke til at nøglerne nok kun hedder Automatic Update Service eller Automatic Update.

Der er faktisk ikke noget Norton tilbage. Kun nogle ActiveX fra deres onlinescanner. Du kan godt fixe dem med hijackthis, men så tager scanneren længere tid at loade, næste gang du bruger den.

Genstart og kør hijackthis igen, er servicen væk er din log helt ren.

Du kan sagtens bruge din egen cleaner. Bare der lige bliver renset ud i tempfilerne.

Arlet, tak for de pæne ord Glad

Kommentar
Fra : Er ikke online

arlet

Dato : 14-02-06 08:55

stl_s -> Det manglede bare*S*

o.v.n -> Et eller andet sted forstår jeg dig godt. Dette er et forum, hvor alle kan lægge et svar til hvad du skal slette og du har ikke en kinamand chance for at vide om hjælperen rent faktisk har forstand på det som han siger. Jeg ville heller ikke bare tage råd fra en jeg ikke kendte, så forstår godt din skepstisk. Det har f.eks spywarefri rådet bod på ved at det kun er spywarefris egne folk der lægger vejledninger i deres forum, det syntes jeg er en god ide for spørgerne. Her på kandu og på eksperten skal man være lidt varsom, da der er mange der lægger svar og det ikke er alle sammen der har styr på det, desværre..

Kommentar
Fra : Er ikke online

Dato : 14-02-06 10:41

Foreløbig tak for hjælpen, jeg skal til syn med bilen og vender tilbage efter at slettet som beskrevet, over middag

Godkendelse af svar
Fra : Er ikke online

Dato : 14-02-06 14:10

Tak for svaret stl_s. Nu er jeg kørende igen, både med computer og bil Glad

, det lykkedes at få linien væk efter dine sidste anvisninger, det var med et øje på din anvisning hele tiden i reg basen er jeg meget forsigtig, jeg opretter mig måske som bruger på spywarefri, har lige været inde og se mig lidt omkring i forummet, hidtil har brugt siden når jeg ville se om der var nye værktøjer og har købt Bullguard der, og så fik jeg personlig support af Anette da der var nogle ting jeg var usikker på

endnu en gang tak for hjælpen

Kommentar
Fra : Er ikke online