|
| kan ikke åbne en vedhæftet fil Fra : vagnba | Vist : 1596 gange 130 point Dato : 29-10-06 19:04 |
|
jeg har modtaget en mail, med en vedhæftet fil som jeg ikke kan åbne. i mailen stod der " the message contains unicode characters and has been sent as a binary attachment." Filen hedder MS-DOS-BATCHFIL, og kan ikke åbnes heller ikke når jeg fjerner blokeringen.. nogen der ved hvad det er for noget..
| |
| Kommentar Fra : Bille1948 |
Dato : 29-10-06 19:11 |
| | |
|
Åben ALDRIG en mail du er usikker på........
| |
|
Hvis du feks har lagt filen (Gem)på dit skrivebord .
Så kan du højreklikke på den, og kan scanne den med dit antivirus program.
Du kan også højreklikke på den og vælge åben med: Så vælger du notesblok (Notepad), det skulle ikke kunne inficere dig med nogen virus.
VH Palle Hansen
| |
| Kommentar Fra : e.c |
Dato : 29-10-06 19:21 |
|
En batchfil er en fil der er parat til at foretage sig noget.............smid den ud.
Medmindre du venter sådan en fil.
Og du har heller ikke DOS til stede i windows.
| |
| Kommentar Fra : disken |
Dato : 29-10-06 19:24 |
|
Batch filer er som regel en skjult EXE/ eller har samme virkning, så smid den af H til, da den kan lukke din Pc ned på 1 sekund, og så får du den aldrig startet op igen.
Det kan være en JOKE fil, men spørg dem du har modtaget mailen/ filen af, men aldrig åben disse filer, da de kan aflurer dig alt.
| |
| Kommentar Fra : vagnba |
Dato : 29-10-06 20:02 |
|
under vedhæftningen altså når jeg klikker på clipsen står der zip.text
| |
| Kommentar Fra : e.c |
Dato : 29-10-06 20:07 |
|
Når jeg inde fra windows vil lave en backup af den partition jeg er på (C:) med Drive Image så laver den en batchfil og genstarter hvor efter der lige kopieres 10-20 GB.
| |
| Kommentar Fra : stl_s |
Dato : 29-10-06 20:33 |
|
Prøv at uploade filen her http://www.virustotal.com/en/indexf.html
Så bliver den scannet af mange virusscannere.
Uheldigt du klikkede på batchfilen, idet du kan være blevet inficeret med "usynlig" virus. Det er faktisk ganske sandsynligt, desværre.
| |
|
Hvis du ikke har bedt om den, så kan den meget vel indeholde virus, og så skynd dig at slette den.
VH Palle Hansen
| |
|
Jeg har hele tiden haft samme standpunkt citat:
1. Så kan du højreklikke på den, og kan scanne den med dit antivirus program.
2. åben med: Så vælger du notesblok (Notepad), det skulle ikke kunne inficere dig med nogen virus.
(Fordi at man ikke kan blive inficeret ved at åbne med notpad)
Men kan kun blive det ved en kør eller udfør kommando.
At jeg desuden skriver:
Hvis du ikke har bedt om den, så kan den meget vel indeholde virus, og så skynd dig at slette den.
Som andre også skriver, men som spørgeren ikke svarer på?
VH Palle Hansen
| |
| Kommentar Fra : stl_s |
Dato : 29-10-06 23:58 |
|
Vagnba, er du med os endnu, for du kan have fået noget kedeligt noget ind, som du ikke kan se eller mærke noget til. Det vil være en god ide at få tjekket din maskine. Hvis du gerne vil have din maskine tjekket, så gør dette:
Hent HijackThis her http://www.sitecenter.dk/secure/nss-folder/mappe/hjtspecial.exe Opret en selvstændig mappe til HijackThis, kald den f,eks HJT. Kør Hijackthis, klik "Do a systemscan and save a logfile". Kopier loggen og sæt den her ind i tråden, så kigger jeg på den. Du må ikke slette noget selv med HijackThis. Jeg skal nok give dig en vejledning til hvad du skal gøre.
| |
| Kommentar Fra : vagnba |
Dato : 30-10-06 09:59 |
|
har prøvet at åbne filen, men det er rent volapyk der står der..kun bogstaver og tegn, i en forvirring..
| |
| Kommentar Fra : vagnba |
Dato : 30-10-06 10:18 |
|
hvordan får jeg lagt loggen herind på tråden.. nu har jeg kørt det omtalte program og gemt loggen
| |
| Kommentar Fra : vagnba |
Dato : 30-10-06 13:18 |
|
jeg har gemt den i dokumenter. men jeg kan ikke finde ud af at få den flyttet herover.. er ikke så teknisk hvad pc er angår..
| |
| Kommentar Fra : stl_s |
Dato : 30-10-06 14:24 |
|
1. Åbn loggen
2. Højreklik på den - Marker alt - kopier
3. Gå her ind i tråden - højreklik - sæt ind
| |
| Kommentar Fra : vagnba |
Dato : 30-10-06 15:23 |
|
Ok her kommer den så.. Logfile of HijackThis v1.99.1
Scan saved at 10:00:37, on 30-10-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\Programmer\Messenger\msmsgs.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\PROGRA~1\FLLESF~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmer\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmer\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\vagn\Lokale indstillinger\Temporary Internet Files\Content.IE5\DTVAOZUV\hjtspecial[1].exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programmer\MyGlobalSearch\bar\2.bin\MGSBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar4.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programmer\MyGlobalSearch\bar\2.bin\MGSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar4.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programmer\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmer\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programmer\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url= http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programmer\Fælles filer\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [PMCRemote] C:\Programmer\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programmer\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programmer\BlazeVideo\BlazeDVD 5 Professional\MediaDetector.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [1] ??:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Påmindelser i Microsoft Works Kalender.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Opret Foretrukken på den mobile enhed... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147640789033
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmer\Fælles filer\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programmer\Fælles filer\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
| |
|
Jeg vil ikke udråbe mig selv som expert, men jeg ser ikke nogen virus i din log, men måske andre gør?
Men du har stadig ikke svaret på hvorfor fa.... du vil bruge den fil, og til hva?, og hvem der har sendt den?
VH Palle Hansen
| |
| Kommentar Fra : stl_s |
Dato : 30-10-06 16:52 |
|
pallebhansen -> Der findes vira idag som skjuler sig for stort set alle logs og værktøjer, og dette KAN måske være en af de rigtigt slemme, og det er det vi skal tjekke for nu.
------------------------------------------------------------
vagnba -> Der er lidt spyware i loggen, men det tager vi til sidst, da det er vores mindste bekymring lige. Nu skal vi se om der er skjulte processer på din maskine.
Vi skal bruge et nyt værktøj, som du kan hente til skrivebordet her http://rku.xell.ru/dl.php?fl=pwalker.zip
Udskriv gerne denne vejledning, eller skriv det ned på et stykke papir, som du nu vil.
Dette værktøj er på eksperimental stadiet, og det KAN i ganske få tilfælde "chrashe" maskinen. Hvis det skulle ske, får du en blå skærm, og computeren genstarter. Måske genstarter den normalt, og så skal du bare slette værktøjet.
Det kan også være at du får en skærm med nogle valgmuligheder, efter genstarten. Gør du det det, så vælg med piletasterne "Sidst kendte fungerende konfiguration(hvor systemet virkede) og tast på <enter> knappen. Så genstarter maskinen normalt. Igen, så slet værktøjet.
Ovenstående sker formentlig ikke, men er med for alle tilfældes skyld.
--------------------------------------------
1. Udpak pwalker.zip til sin egen mappe på skrivebordet.
2. Åbn mappen du lige udpakkede, og vent et øjeblik, til programmet er færdig med en indledende konfiguration.
3. Så dobbeltklikker du pwalker.exe (den med "sløjfen") nu åbner et vindue.
4. Højreklik på vinduet- marker alt. Højreklik en enkelt gang i vinduet, og nu er indholdet kopieret til udklipsholder.
5. Gå her ind i tråden, og højreklik, og vælg "sæt ind". Så ser jeg på loggen.
| |
| Kommentar Fra : vagnba |
Dato : 30-10-06 17:57 |
|
Logfile of HijackThis v1.99.1
Scan saved at 10:00:37, on 30-10-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\Programmer\Messenger\msmsgs.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\PROGRA~1\FLLESF~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmer\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmer\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\vagn\Lokale indstillinger\Temporary Internet Files\Content.IE5\DTVAOZUV\hjtspecial[1].exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programmer\MyGlobalSearch\bar\2.bin\MGSBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar4.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programmer\MyGlobalSearch\bar\2.bin\MGSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar4.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programmer\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmer\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programmer\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url= http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programmer\Fælles filer\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [PMCRemote] C:\Programmer\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programmer\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programmer\BlazeVideo\BlazeDVD 5 Professional\MediaDetector.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [1] ??:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Påmindelser i Microsoft Works Kalender.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Opret Foretrukken på den mobile enhed... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147640789033
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmer\Fælles filer\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programmer\Fælles filer\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
| |
| Kommentar Fra : vagnba |
Dato : 30-10-06 18:00 |
|
Process Walker v1.0.021 win32 NTx86 UNICODE (29.10.2006)
(C) 2006 by UG North & HELL
Console mode hidden processes detector
List of running processes:
---------------------------------------
PID: 4
ImagePath: System
EPROCESS: 0x81261020
Visible in User Mode
PID: 1468
ImagePath: C:\WINDOWS\system32\spoolsv.exe
EPROCESS: 0x8112F2F0
Visible in User Mode
PID: 1032
ImagePath: C:\WINDOWS\system32\svchost.exe
EPROCESS: 0xFF9FF020
Visible in User Mode
PID: 1148
ImagePath: C:\WINDOWS\system32\svchost.exe
EPROCESS: 0xFF9F3670
Visible in User Mode
PID: 1560
ImagePath: C:\WINDOWS\explorer.exe
EPROCESS: 0x81133C90
Visible in User Mode
PID: 144
ImagePath: C:\WINDOWS\system32\wscntfy.exe
EPROCESS: 0x810C8348
Visible in User Mode
PID: 2260
ImagePath: C:\Programmer\Internet Explorer\iexplore.exe
EPROCESS: 0xFF8CF868
Visible in User Mode
PID: 376
ImagePath: C:\WINDOWS\system32\alg.exe
EPROCESS: 0xFF8E1790
Visible in User Mode
PID: 548
ImagePath: C:\WINDOWS\system32\csrss.exe
EPROCESS: 0x8117A410
Visible in User Mode
PID: 1052
ImagePath: C:\PROGRA~1\FLLESF~1\PCSuite\Services\SERVIC~1.EXE
EPROCESS: 0x81116C60
Visible in User Mode
PID: 628
ImagePath: C:\WINDOWS\system32\lsass.exe
EPROCESS: 0x810FE838
Visible in User Mode
PID: 880
ImagePath: C:\WINDOWS\system32\svchost.exe
EPROCESS: 0xFFA0D7F8
Visible in User Mode
PID: 1268
ImagePath: C:\WINDOWS\system32\svchost.exe
EPROCESS: 0xFFACD9D8
Visible in User Mode
PID: 3576
ImagePath: C:\Programmer\Nokia\Nokia PC Suite 6\SeUpdateDb.exe
EPROCESS: 0xFF7D0020
Visible in User Mode
PID: 496
ImagePath: C:\WINDOWS\system32\smss.exe
EPROCESS: 0x81125508
Visible in User Mode
PID: 572
ImagePath: C:\WINDOWS\system32\winlogon.exe
EPROCESS: 0xFFB36BB8
Visible in User Mode
PID: 616
ImagePath: C:\WINDOWS\system32\services.exe
EPROCESS: 0xFFB50860
Visible in User Mode
PID: 924
ImagePath: C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
EPROCESS: 0xFF940988
Visible in User Mode
PID: 1852
ImagePath: C:\WINDOWS\system32\wdfmgr.exe
EPROCESS: 0xFF998638
Visible in User Mode
PID: 968
ImagePath: C:\WINDOWS\system32\svchost.exe
EPROCESS: 0xFFA07768
Visible in User Mode
PID: 1832
ImagePath: C:\WINDOWS\system32\svchost.exe
EPROCESS: 0xFF998020
Visible in User Mode
PID: 888
ImagePath: C:\WINDOWS\system32\rundll32.exe
EPROCESS: 0xFF93CBA0
Visible in User Mode
PID: 1612
ImagePath: C:\PROGRA~1\MICROS~3\rapimgr.exe
EPROCESS: 0xFF8EC268
Visible in User Mode
PID: 1100
ImagePath: C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe
EPROCESS: 0xFF93D8B8
Visible in User Mode
PID: 1196
ImagePath: C:\WINDOWS\system32\ctfmon.exe
EPROCESS: 0xFF932D70
Visible in User Mode
PID: 1168
ImagePath: C:\Programmer\HP\HP Software Update\hpwuSchd2.exe
EPROCESS: 0xFF9602D0
Visible in User Mode
PID: 1140
ImagePath: C:\Programmer\Ahead\InCD\InCD.exe
EPROCESS: 0xFF95A020
Visible in User Mode
PID: 1244
ImagePath: C:\PROGRA~1\MICROS~3\wcescomm.exe
EPROCESS: 0xFF903BF0
Visible in User Mode
PID: 1204
ImagePath: C:\Programmer\Messenger\msmsgs.exe
EPROCESS: 0xFF8FEBE0
Visible in User Mode
PID: 1748
ImagePath: C:\WINDOWS\system32\svchost.exe
EPROCESS: 0xFF9F2DA0
Visible in User Mode
PID: 2376
ImagePath: C:\Programmer\HP\Digital Imaging\bin\hpqste08.exe
EPROCESS: 0xFF8C3020
Visible in User Mode
PID: 1544
ImagePath: C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
EPROCESS: 0x8114A540
Visible in User Mode
PID: 1848
ImagePath: C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkCalRem.exe
EPROCESS: 0x811B7C00
Visible in User Mode
PID: 3252
ImagePath: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpzeng12.exe
EPROCESS: 0xFF8B33B0
Visible in User Mode
PID: 1656
ImagePath: C:\PROGRA~1\Nokia\NOKIAP~1\VFSWRA~1.EXE
EPROCESS: 0xFF856850
Visible in User Mode
PID: 2928
ImagePath: C:\Documents and Settings\vagn\Skrivebord\pwalker.exe
EPROCESS: 0xFF851BB0
Visible in User Mode
PID: 2940
ImagePath: C:\Programmer\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
EPROCESS: 0xFF8AB790
Visible in User Mode
Processes/Hidden: 37 / 0
Press any key to exit
| |
| Kommentar Fra : stl_s |
Dato : 30-10-06 18:02 |
| | |
| Kommentar Fra : stl_s |
Dato : 30-10-06 18:57 |
|
Ingen skjulte processer, så du slap med skrækken. Slet den mail, og den tilhørende fil. Klik aldrig på den slags mails mere. De kan være meget farlige.
Lad os få fjernet det "småsnavs" der er.
Bearshare er spyware i sig selv, så den vil jeg anbefale at du fjerner i Tilføj/Fjern programmer. Fjern også MyGlobalSearch hvis den er der.
Hent denne scanner http://www.superantispyware.com/downloads/SUPERAntiSpyware1241.exe
Installer, og opdater scanneren manuelt. OBS, ved installationen bliver det foreslået at du registrerer med din email. Det behøver du ikke at gøre.
Start op i fejlsikret tilstand (tast f8 flere gange under opstart). Hvis du ikke kan det, så se her
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=110&PN=1
Start SuperAntiSpyware, klik "Scan your computer", sæt flueben i dine drev, ovre til venstre i vinduet. Ovre til højre i vinduet, sætter du prik i "Perform Complete Scan". Klik "næste", nu scanner den. Når den er færdig, så markerer du det den finder, og lader scannereren fjerne det.
Genstart til normal tilstand (scanneren tilbyder måske at gøre det).
Åbn scanneren igen, og klik "preferences"-> "stastics/logs". Marker loggen, og klik "View log". Kopier loggen her ind i tråden, sammen med en frisk HijackThis log.
| |
| Kommentar Fra : vagnba |
Dato : 30-10-06 21:25 |
|
SUPERAntiSpyware Scan Log
Generated 10/30/2006 at 08:55 PM
Application Version : 3.3.1020
Core Rules Database Version : 3116
Trace Rules Database Version: 1139
Scan type : Complete Scan
Total Scan Time : 00:55:07
Memory items scanned : 156
Memory threats detected : 0
Registry items scanned : 5738
Registry threats detected : 2
File items scanned : 26942
File threats detected : 17
Adware.Tracking Cookie
C:\Documents and Settings\vagn\Cookies\vagn@mb[2].txt
C:\Documents and Settings\vagn\Cookies\vagn@1071944778[1].txt
C:\Documents and Settings\vagn\Cookies\vagn@track.adform[2].txt
C:\Documents and Settings\vagn\Cookies\vagn@adbrite[2].txt
C:\Documents and Settings\vagn\Cookies\vagn@clickbank[1].txt
C:\Documents and Settings\vagn\Cookies\vagn@as-eu.falkag[2].txt
C:\Documents and Settings\vagn\Cookies\vagn@doubleclick[1].txt
C:\Documents and Settings\vagn\Cookies\vagn@e2.emediate[2].txt
C:\Documents and Settings\vagn\Cookies\vagn@adfair[1].txt
C:\Documents and Settings\vagn\Cookies\vagn@adtech[1].txt
C:\Documents and Settings\vagn\Cookies\vagn@indextools[2].txt
C:\Documents and Settings\vagn\Cookies\vagn@1071214352[1].txt
C:\Documents and Settings\vagn\Cookies\vagn@ www.bannercamp[2].txt
C:\Documents and Settings\vagn\Cookies\vagn@tradedoubler[2].txt
C:\Documents and Settings\vagn\Cookies\vagn@advertising[2].txt
C:\Documents and Settings\vagn\Cookies\vagn@mediaplex[1].txt
C:\Documents and Settings\vagn\Cookies\vagn@cgi-bin[1].txt
Adware.WhenU
HKCR\WUSN.1
HKCR\WUSN.1#WUSN_Id
| |
| Kommentar Fra : vagnba |
Dato : 30-10-06 21:42 |
|
Logfile of HijackThis v1.99.1
Scan saved at 21:29:19, on 30-10-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\wkcalrem.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\PROGRA~1\FLLESF~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmer\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmer\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\vagn\Lokale indstillinger\Temporary Internet Files\Content.IE5\176EKCBB\hjtspecial[1].exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar4.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [WorksFUD] C:\Programmer\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmer\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programmer\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url= http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programmer\Fælles filer\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [PMCRemote] C:\Programmer\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmer\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programmer\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programmer\BlazeVideo\BlazeDVD 5 Professional\MediaDetector.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [1] ??:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Påmindelser i Microsoft Works Kalender.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Opret Foretrukken på den mobile enhed... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147640789033
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmer\Fælles filer\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programmer\Fælles filer\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
| |
| Kommentar Fra : vagnba |
Dato : 30-10-06 21:48 |
|
når jeg starter op kommer der en box hvor der står Procedureindgangspunktet?Bcheck Resources@@YA-N-NIII@Z blev ikke fundet i DLL Biblioteket WKBL.DLL
hvad er nu det for noget??
| |
| Kommentar Fra : stl_s |
Dato : 31-10-06 00:13 |
|
Kør en scanning med HijackThis, så du kan se alle filer. Luk alle vinduer, sæt flueben ved disse linier, og klik fix checked.
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [BearShare] "C:\Programmer\BearShare\BearShare.exe" /pause
Det er risikabelt ikke at have noget antivirus. Jeg kan anbefale dette, som kan hjælpe til at forhindre andre ubehageligheder http://www.csis.dk/Default.asp?page=article.asp&tekstID=534
Det opdaterer helt automatisk, og generer ikke i det daglige.
Den meddelelse er en følge af det du har fjernet. Prøv at hente og køre CCleaner. Manual her http://www.spywarefri.dk/manualer/ccleaner-manual.htm
Husk at køre "problemer". Sig nej til Yahoo toolbar, hvis du ikke vil have den.
| |
|
åben aldrig en mail du er usikker på men hvis det er en du j´kender så hør om hvad det er og så prøv igen
| |
| Kommentar Fra : vagnba |
Dato : 31-10-06 23:14 |
|
nu har jeg kørt cleaner, og prøvet at installere antivirusprogrammet, men det vil ikke lykkedes.. Desuden er pc ern blevet meget langsommere. gad vide hvad der er årsag til det?????
| |
| Kommentar Fra : stl_s |
Dato : 31-10-06 23:43 |
|
Hmm, det var ikke så godt. Lad os lige tjekke om der skulle ligge noget mere og gemme sig:
Udskriv dette, eller gem det i notesblok, for du skal af nettet imens.
Hent denne fil, og pak den ud til en mappe på skrivebordet:
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip
Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1
Gå så ind i mappen SDFix, som du hentede tidligere. Dobbeltklik på filen RunThis.bat, for at starte værktøjet. Tryk "y" for at bekræfte, at du kører værktøjet på egen risiko. Så vil værktøjet gå i gang med at fjerne trojanservicen, og lave et par reparationer af registreringsdatabasen. På et tidspunkt vil det bede dig om at trykke en taste for at genstarte computeren. Det skal du gøre, hvorefter computeren vil genstarte efter 15 sekunder.
Genstarten vil tage lidt længere end sædvanligt, idet værktøjet skal have tid til at udføre sit arbejde. Når skrivebordet dukker op, vil værktøjet skrive "Finished". Tryk herefter en taste for at indlæse dine skrivebordsikoner igen.
Åben så SDFix-mappen, find filen Report.txt, og kopier indholdet af denne fil herind.
| |
| Kommentar Fra : vagnba |
Dato : 01-11-06 10:44 |
|
SDFix: Version 1.34
-------------------
Scan run on:
01-11-2006
Time:
10:17
Microsoft Windows XP [version 5.1.2600]
Running from: C:\Documents and Settings\vagn\Skrivebord\SDFix
Stage One...
Checking Services...
Name:
-----
Path:
----
Repairing Registry...
Restoring Default Hosts File...
Stage One Complete
Rebooting...
Stage Two...
Checking For Malware:
--------------------
Backing Up and Removing any Files Found...
Final Check:
Services:
---------
Files:
------
Any files removed are saved to the SDFix\backups Folder
FINISHED
det var hvad jeg fik ud af det. den boks der kommer under opstarten er der stadigvæk. og den vil ikke huske mine adgangskoder mere.. et eller andet er helt galt, tror jeg.
| |
| Kommentar Fra : stl_s |
Dato : 01-11-06 15:34 |
|
Ja, der er et eller galt. Jeg troede først at jeg kunne frikende din maskine for skjult malware, men på baggrund af dine nuværende problemer, især at du ikke kan få antivirus ind, gør at vi må tjekke igen.
OBS. Du bør ikke bruge netbank eller indtaste passwords før vi er færdige.
---------------------------------------------------------
Hent Gromozon Rootkit Removal fra denne side:
http://aknow.prevx.com/zeroL/FixGrom.exe
Når du har hentet filen til skrivebordet, så højreklik på den og vælg omdøb. I stedet for PrevxFixGrom kalder du den Fjernskidt
Så dobbeltklikker du filen. Følg instruksionerne på skærmen. Når computeren genstarter, vil den nok være længe om det. Det er helt normalt. Hvis der slet ikke sker noget, så prøv at trykke på nogle af tasterne på tastaturet. Når GRR-værktøjet er færdig med at scanne, vil det opfordre til at du skal installere Prevx' hovedprogram. Det skal du ikke gøre.
GRR laver en log når den er færdig, som ligger her: c:\gromozon_removal.log -- du må gerne lægge indholdet af denne fil herind.
| |
| Kommentar Fra : vagnba |
Dato : 01-11-06 16:24 |
|
det har jeg gjort nu, og den log er helt tom. vinduet kommer stadig frem..
| |
| Kommentar Fra : stl_s |
Dato : 01-11-06 17:02 |
|
Okay, vi prøver igen.
Hent Blacklight her https://europe.f-secure.com/blacklight/try.shtml Scroll ned på siden, og klik "iaccept". På næste side kan du downloade Blacklight til skrivebordet (tag den øverste). Dobbeltklik filen, og klik scan. Når den er færdig laver den en log på skrivebordet. Kopier loggen her ind. Du skal ikke lade Blacklight fjerne noget endnu.
Hent Gmer's Catchme herfra, og gem den på dit skrivebord:
http://www.gmer.net/catchme.exe
Dobbeltklik på filen. Så åbnes en sort skærm, hvor du bliver informeret om scanningens resultater. Til sidst meddeles at "scan completed successfully", og hvad den har fundet. Så skal du trykke på Enter-tasten for at lukke vinduet ned. Du vil nu have logfil fra scanningen i samme mappe (eller på skrivebordet) som catchme.exe (catchme.log). Læg indholdet af denne fil herind.
| |
| Kommentar Fra : disken |
Dato : 01-11-06 17:49 |
|
Hvad kan man lære af dette IGEN -IGEN.
Tag linket til et GRATIS backup program som stil_s gav, om at lave en backup af sin harddisk, så havde det sikkert været forbi på 10 minutter.
Men der skal altid skade til, før man bliver klogere.
| |
| Kommentar Fra : vagnba |
Dato : 01-11-06 18:18 |
|
catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 011/01/06 17:37:45 [Info]: BlackLight Engine 1.0.47 initialized
11/01/06 17:37:45 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/01/06 17:37:46 [Note]: 7019 4
11/01/06 17:37:46 [Note]: 7005 0
11/01/06 17:37:53 [Note]: 7006 0
11/01/06 17:37:53 [Note]: 7011 288
11/01/06 17:37:53 [Note]: 7026 0
11/01/06 17:37:53 [Note]: 7026 0
11/01/06 17:38:44 [Note]: FSRAW library version 1.7.1020
11/01/06 17:51:52 [Note]: 7007 0
hidden services: 0
hidden files: 0
| |
| Kommentar Fra : vagnba |
Dato : 01-11-06 18:27 |
|
til disken.
jeg mener ikke der har været tale om en back up. for så havde jeg nok spurgt hvordan man gør det.. er ikke så meget inde i alt det. men plejer at klare det med anvisninger, som selv jeg kan forstå
| |
| Kommentar Fra : disken |
Dato : 01-11-06 18:37 |
|
Derfor Kandu er et GØR DET SELV forum, lær - eller lad være.
Men som du selv skriver.
Citat nogen der ved hvad det er for noget.. |
Det har du fået svar på.
Efterfølgende, får du endda hjælp til at få din Pc på mærkerne igen.
STORT GJORT.
Citat Men at der er / SÅ ER ET VENLIGT MENNESKE, SOM stil-s, der overhovedet gider hjælpe
det skulle du SÆTTE pris på. |
Burde du være glad for.
| |
| Kommentar Fra : vagnba |
Dato : 01-11-06 19:10 |
|
det behøver du heller ikke være tvivl om at jeg gør. For det gør jeg virkelig. men når ikke er inde i alt det tekniske, men kun kan bruge det, så ved jeg også godt at man render ind i "øretæver" ind imellem.
| |
| Kommentar Fra : stl_s |
Dato : 01-11-06 19:53 |
|
Vi må søge videre, for jeg tror der er et eller andet.
Hent denne scanner ned til skrivebordet ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe Vent med at køre den.
Start op i fejlsikret tilstand (tast f8 flere gange under opstart). Hvis du ikke kan det, så se her
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=110&PN=1
Vejledning her http://fromsej.dk/Vejledninger/html/drweb.html
Kopier loggen her ind.
-------------------------------------------------------------------
Download Gmer-rootkit scanner, og pak den ud til skrivebordet:
http://www.gmer.net/gmer.zip
Kør programmet, klik på fanebladet "Rootkit" (kommer nok op som det første), og klik på "Scan". Når scanningen er færdig, skal du klikke på "Copy". Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v.
| |
| Kommentar Fra : disken |
Dato : 01-11-06 20:49 |
|
Citat det behøver du heller ikke være tvivl om at jeg gør. For det gør jeg virkelig. men når ikke er inde i alt det tekniske, men kun kan bruge det, så ved jeg også godt at man render ind i "øretæver" ind imellem. |
Har på intet pispunkt - sagt/ skrevet andet.
Men HVA ... du er ikke mere tosset end mig -
Men tag imod gode råd og vejledning - FRA stil_s eller andre der:"""!! heller ikke kender til det.
Jeg får ØRETÆVER HVERGANG, JEG MELDER MIN ANKOMST herinde,
men er kommet til resultat, at nogen HADER dig, andre vil bare ikke skrive /snakke med dig, og andre er bare TOTAL ligeglade, med dig og hvad du mener, intet mere eller mindre.
Men kan de ikke lide din mening, eller andet, så SE den anden vej.
For herinde, kan du KUN SIGE NOGET FORKERT.
MEN LYT TIL STIL_S TROR HAN VED LIDT OM DIT PROBLEM.
Men gid, der var flere der gjorde det, så sad de JO IKKE HER, - eller ???
| |
| Kommentar Fra : vagnba |
Dato : 01-11-06 21:35 |
|
GMER 1.0.12.11867 - http://www.gmer.net
Rootkit scan 2006-11-01 21:20:33
Windows 5.1.2600 Service Pack 2
---- Kernel code sections - GMER 1.0.12 ----
.text SASDIFSV.SYS FD4CC011 3 Bytes
.text SASDIFSV.SYS FD4CC017 3 Bytes
.text SASDIFSV.SYS FD4CC01C 3 Bytes
.text SASDIFSV.SYS FD4CC026 3 Bytes
.text SASDIFSV.SYS FD4CC040 3 Bytes
.text ...
---- Devices - GMER 1.0.12 ----
Device \FileSystem\Udfs \UdfsCdRom IRP_MJ_FILE_SYSTEM_CONTROL [F608F728] BsUDF.SYS
Device \FileSystem\Udfs \UdfsDisk IRP_MJ_FILE_SYSTEM_CONTROL [F608F728] BsUDF.SYS
Device \FileSystem\Cdfs \Cdfs IRP_MJ_FILE_SYSTEM_CONTROL [F608F728] BsUDF.SYS
---- Processes - GMER 1.0.12 ----
Process C:\Programmer\HP\Digital Imaging\Product Assistant\bin\hprblog.exe (*** hidden *** ) 3828
---- Registry - GMER 1.0.12 ----
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xE2 0x63 0x26 0xF1 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x25 0xDA 0xEC 0x7E ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x97 0x20 0x4E 0x9A ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0xFA 0xEA 0x66 0x7F ...
---- Files - GMER 1.0.12 ----
ADS C:\Documents and Settings\All Users\Application Data\TEMP:2A81F9CE
---- EOF - GMER 1.0.12 ----
den første scanner sagde ingen virus.. Men kommer til at tænke på om det er min office der laver kuk. det er 2007 beta jeg har installeret, men der har ikke været noget med den før..
| |
| Kommentar Fra : stl_s |
Dato : 01-11-06 22:47 |
|
Der er flere der har haft problemer med office 2007. Du kan prøve at geninstallere det, og se om det hjælper.
Men ellers så kan jeg ikke frikende dig for at have skjult malware, desværre.
Kør HijackThis. Klik på "config" -> "misc tools" -> open Ads Spy...
Sørg for at der kun er flueben ved "ignore safe system info streams". Klik scan. og når den er færdig, så fjern denne TEMP:2A81F9CE ved at sætte flueben ved den, og klikke "remove selected".
Hent så dette værktøj fra Symantec http://securityresponse.symantec.com/avcenter/FixLinkopt.exe
Du skal så køre det i fejlsikret tilstand, uden netværk.
Fixet vil genstarte maskinen hvis det finder noget.
| |
| Kommentar Fra : clou |
Dato : 01-11-06 22:54 |
| | |
| Kommentar Fra : disken |
Dato : 01-11-06 23:20 |
|
Hader BETA udgaver / af det ene og andet, / der gives ingen garanti på, men masser af BESVÆR
HYG dig og håber du får orden i din XP,= prøveudgave eller?????
MEN - ER DIN XP LOVLIG ' HAR DU WORDS OG ANDET,
Blandet sammen i en mere eller AF MS UDGAVER AF-
Kunne du så bare ikke have sagt, at den ikke var LOVLIG.
Så var det gået meget hurtigere - med at få den gjort LOVLIG
END spørge¨¨¨¨¨¨¨¨hvorfor den er langsom.
SOORY------eller,,, var den for LANGT ude.
| |
| Kommentar Fra : miritdk |
Dato : 01-11-06 23:23 |
|
ka´i andre så ikke holde kaje indtil stl_s er færdig for hulan da - gå iseng !!!!!
| |
| Kommentar Fra : vagnba |
Dato : 02-11-06 00:11 |
|
har slettet den TEMP. kørt securityresponse, og den genstartede ikke efter at den var færdig. men er det en ide at jeg prøver at installere stofas antivirusprogram til kr. 10 om måneden.
og til i andre kan jeg sige at det er den eneste office pakke jeg har inst. ellers har jeg kun works. Og ja xp udgaven er lovlig..
| |
| Kommentar Fra : stl_s |
Dato : 02-11-06 00:22 |
|
Stofas antivirusløsning er rigtigt udemærket. Den kan roligt bruge.
Jeg vil lige "plage" dig med en ting til, for at vi kan være helt sikre:
Kopiér indholdet mellem de stiplede linier, ind i et notepad-vindue, og gem indholdet på skrivebordet. Når du gemmer filen, skal du kalde den visappinit.bat og du skal sikre dig, at der under "Filtyper" står "Alle filer":
------------
reg save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" applook.hiv
ren applook.hiv applook.txt
start notepad applook.txt
------------
Dobbeltklik herefter på visappinit.bat. Efter kort tid vil et nyt notepad-vindue åbnes med en logfil (det meste vil være krims-krams). Læg denne fil herind.
| |
| Kommentar Fra : vagnba |
Dato : 02-11-06 10:27 |
|
regf ÿ×…ÀtAEÜPÿuüÿœ|…Àt0SEôPÿuø‹Îèbõÿƒøt8;Ã|‹Eô;Eðu
ÿu¬ÿu¬h ë‰EÄE¨PSÇE¨ ‰]°hL ÿ¶´ ÿ×ÿE¬‹E¬;EìŒ"ÿÿÿÿuüÿ¶´ ÿÌœ|_[^É ‹ÿU‹ì3À9EPtèpöÿÿëèãÊøÿ] ‹ÿU‹ìVW‹}3ö9·ü tD9ut$ÿuO°hàœ|èQ·ÿÿ‹ð÷Þöæû¿ÿÆ@ €ëö‡Ä tO°è´ñÿÿO°èlëôÿë¾ÿÿ €_‹Æ^] ‹ÿU‹ìì ¡HÕ¼|V‰Eü‹EW·}‰…dûÿÿ‡þ‰ÿÿ=ý ‹ñ‰½hûÿÿ†‹ S» ‡ ˆÿÿ;Ƈ ‡ Žÿÿ=ÿ w
ƒ¾` …â ¸3p ;øÁt± hbin ¨ÿÿÿnk, b•ˆ<uÆ ÿÿÿÿ ÿÿÿÿÿÿÿÿ ° x ÿÿÿÿ 0 L_…À Windowsÿÿÿsk x x Ô „¸ È ¤ ! € ! ? ? Øÿÿÿvk € fùAppInit_DLLsÖæG h Ðÿÿÿvk È ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5 à ðÿÿÿ9 0 |. Ðÿÿÿvk €' zGDIProcessHandleQuota"þàÿÿÿvk 8 °ºSpooler2ðÿÿÿy e s øn h ˜ è ` àÿÿÿvk € swapdiskÐÿÿÿvk Ø ÏTransmissionRetryTimeoutàÿÿÿh ˜ è ` € Ð Ðÿÿÿvk €' ˆLUSERProcessHandleQuota
regf ÿ×…ÀtAEÜPÿuüÿœ|…Àt0SEôPÿuø‹Îèbõÿƒøt8;Ã|‹Eô;Eðu
ÿu¬ÿu¬h ë‰EÄE¨PSÇE¨ ‰]°hL ÿ¶´ ÿ×ÿE¬‹E¬;EìŒ"ÿÿÿÿuüÿ¶´ ÿÌœ|_[^É ‹ÿU‹ì3À9EPtèpöÿÿëèãÊøÿ] ‹ÿU‹ìVW‹}3ö9·ü tD9ut$ÿuO°hàœ|èQ·ÿÿ‹ð÷Þöæû¿ÿÆ@ €ëö‡Ä tO°è´ñÿÿO°èlëôÿë¾ÿÿ €_‹Æ^] ‹ÿU‹ìì ¡HÕ¼|V‰Eü‹EW·}‰…dûÿÿ‡þ‰ÿÿ=ý ‹ñ‰½hûÿÿ†‹ S» ‡ ˆÿÿ;Ƈ ‡ Žÿÿ=ÿ w
ƒ¾` …â ¸3p ;øÁt± hbin ¨ÿÿÿnk, b•ˆ<uÆ ÿÿÿÿ ÿÿÿÿÿÿÿÿ ° x ÿÿÿÿ 0 L_…À Windowsÿÿÿsk x x Ô „¸ È ¤ ! € ! ? ? Øÿÿÿvk € fùAppInit_DLLsÖæG h Ðÿÿÿvk È ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5 à ðÿÿÿ9 0 |. Ðÿÿÿvk €' zGDIProcessHandleQuota"þàÿÿÿvk 8 °ºSpooler2ðÿÿÿy e s øn h ˜ è ` àÿÿÿvk € swapdiskÐÿÿÿvk Ø ÏTransmissionRetryTimeoutàÿÿÿh ˜ è ` € Ð Ðÿÿÿvk €' ˆLUSERProcessHandleQuota
jeg kan ikke få filen sat ind her. ved ikke hvad der går galt
| |
| Kommentar Fra : vagnba |
Dato : 02-11-06 11:19 |
|
så lykkedes det.. nu har jeg fundet ud af at den boks der kommer under opstarten har noget med mit works at gøre. for hvis jeg går ind og vil åbne works kommer den også frem, og jeg kan ikke åbne works. hvis jeg skal åbne et dokument jeg engang har lavet med works, så siger den at det ikke kan åbnes, så skal jeg gå i filer og åbne med office. nu ha jeg så bar det problem at jeg ikke kan få afinstalleret min office (beta version ) igen. det vil den bare simpelthen ikke..
| |
| Kommentar Fra : stl_s |
Dato : 02-11-06 17:33 |
|
Den ADS stream vi fjernede var formentlig harmløs, men for en sidste sikkerheds skyld, så kør lige en scanning med en opdateret SuperAntiSpyware, og kommer den ikke op med andet en cookies, så tør jeg godt sige, at du med stor sandsynlighed ikke har skjult malware på maskinen, så du kan bruge netbank og dine passwords igen.
Gør så dette bagefter:
Efter et virus/spyware angreb, er det altid en god ide at rydde op i systemgendannelses filerne. Deaktiver systemgendannelse ( http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Hent ATF Cleaner her fra http://www.atribune.org/content/view/19/2/
Start ATF Cleaner. Sæt flueben i "Select all". Klik "Empty selected".
Dette kan sikkert løse dit officeproblem http://support.microsoft.com/kb/290301
Husk at du skal geninstallere office, for at kunne afinstallere det, efter at have fjernet de defekte Windows Installer filer med programmet.
| |
| Kommentar Fra : vagnba |
Dato : 02-11-06 18:30 |
|
nu kan det godt være jeg stiller et dumt spørgsmål. men hvordan deaktiverer jeg min systemgendannelse???
| |
| Kommentar Fra : stl_s |
Dato : 02-11-06 18:45 |
| | |
| Kommentar Fra : vagnba |
Dato : 02-11-06 19:53 |
|
hejsa, nu hjalp det også på hastigheden. jeg har afinstalleret office beta. men jeg har en fejl på min works. hvis jeg vil åbne et dokument kommer dialogboksen med den føromtalte fejl..
hvordan får jeg repareret min works. jeg har en cd: microsoft works standard 6.0 men den starter ikke når jeg sætter den i drevet. men det er måske heller ikke den jeg skal bruge.. har ikke lyst at installere office beta igen...
| |
| Godkendelse af svar Fra : vagnba |
Dato : 02-11-06 22:14 |
|
Tak for svaret stl_s.jeg var meget glad for din hjælp. jeg takker også de andre der har været med kommentarer. jeg installerede openoffice og afinstallerede wrks, og nu kører den perfekt. endnu engang tak for din tålmodighed ióg hjælp..
| |
| Du har følgende muligheder | |
|
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.
Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
| |
|
|