HJT log - Nogen der vil gennemse?

Af Ny på siden estaze | 09-12-2004 18:46 | 1112 visninger | 10 svar, hop til seneste

Nogen der lige vil kigge denne Hijackthis log igennem? Grunden er at min comp. kører rimelig dårligt. Mange tak på forhånd :) Logfile of HijackThis v1.98.2 Scan saved at 18:45:05, on 09-12-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSExplorer.EXE C:WINDOWSsystem32spoolsv.exe D:programmerpowerstrippstrip.exe C:Program FilesMicrosoft IntelliPointpoint32.exe D:ProgrammerBullGuardgnewsag.exe D:ProgrammerSteamSteam.exe C:WINDOWSSystem32??chost.exe C:Program FilesMSN MessengerMsnMsgr.Exe C:WINDOWSSystem32 vsvc32.exe C:Program FilesCommon FilesBullGuardBullGuard Communicatorxcommsvr.exe C:Program FilesCommon FilesBullGuardBullGuard Scan Serverdss.exe D:ProgrammerBullGuardvsserv.exe D:ProgrammermIRCmirc.exe C:Program FilesMozilla Firefoxfirefox.exe D:ProgrammerhijackthisHijackThis.exe R1 - HKCUSoftwareMicrosoftInternet Explorer,Search = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKLMSoftwareMicrosoftInternet Explorer,Search = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://gfhjkhgi.biz[...] (obfuscated) R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://gfhjkhgi.biz[...] (obfuscated) R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://gfhjkhgi.biz[...] (obfuscated) R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://gfhjkhgi.biz[...] (obfuscated) R3 - Default URLSearchHook is missing O2 - BHO: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:WINDOWSSystem32searchbar.dll (file missing) O3 - Toolbar: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:WINDOWSSystem32searchbar.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx O4 - HKLM..Run: [PowerStrip] d:programmerpowerstrippstrip.exe O4 - HKLM..Run: [IntelliPoint] "C:Program FilesMicrosoft IntelliPointpoint32.exe" O4 - HKLM..Run: [BGNewsAgent] D:ProgrammerBullGuardgnewsag.exe O4 - HKLM..Run: [TkBellExe] "D:ProgrammerK-Lite Codec Pack ealUpdate_OB ealsched.exe" -osboot O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0injusched.exe O4 - HKCU..Run: [Steam] D:ProgrammerSteamSteam.exe -silent O4 - HKCU..Run: [Rlrc] C:WINDOWSSystem32??chost.exe O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0in pjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0in pjpi150.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com[...] O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net[...] O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com[...] O16 - DPF: {A7F82252-EF7F-4E46-8595-84AE76D5FE03} (InstControl Class) - http://neo-toolbar.com[...] O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com[...] O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com[...] O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com[...]
--

"My hovercraft is full of ell!"

#1
*Cookie
Ultrabruger
09-12-2004 20:48

Rapporter til Admin

#0, hej igen. Der er lidt, der lige skal fixes. Start med at deaktivere systemgendannelse. Højreklik på "Denne Computer" på skrivebordet, vælg egenskaber og fanebladet "Systemgendannelse" og sæt flueben i "Deaktiver systemgendannelse". Klik OK. Genstart og download enten SP1 eller SP2 samt DCOMbobulator, for dit system er hullet som en si! - SP1 DK: ftp://ftp.sdu.dk[...] - SP2 DK: ftp://ftp.sdu.dk[...] - DCOMbobulator: http://grc.com[...] Du skal ikke installere programmerne endnu. Skal først gøres efter rensningen af loggen. Hiv så netkablet ud så der ikke er nogen forbindelse til nettet. Kør en ny scanning med HJT og sæt flueben ved disse: R1 - HKCUSoftwareMicrosoftInternet Explorer,Search = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKLMSoftwareMicrosoftInternet Explorer,Search = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://gfhjkhgi.biz[...] (obfuscated) R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://gfhjkhgi.biz[...] (obfuscated) R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://gfhjkhgi.biz[...] (obfuscated) R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://gfhjkhgi.biz[...] (obfuscated) R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://gfhjkhgi.biz[...] (obfuscated) R3 - Default URLSearchHook is missing O2 - BHO: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:WINDOWSSystem32searchbar.dll (file missing) O3 - Toolbar: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:WINDOWSSystem32searchbar.dll (file missing) O4 - HKLM..Run: [TkBellExe] "D:ProgrammerK-Lite Codec Pack ealUpdate_OB ealsched.exe" -osboot O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0 injusched.exe O4 - HKCU..Run: [Rlrc] C:WINDOWSSystem32??chost.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0 in pjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0 in pjpi150.dll O16 - DPF: {A7F82252-EF7F-4E46-8595-84AE76D5FE03} (InstControl Class) - http://neo-toolbar.com[...] Jeg skal lige høre en ting: Er det med vilje, du har valgt about:blank som startsside? Det har jeg fx selv gjort, men hvis IKKE du har, så skal du også sætte flueben ved dette, ellers skal du ikke: R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank Luk alle øvrige programvinduer så kun HJT er åben. Klik på ”Fix checked”. Luk programmet og genstart i fejlsikret tilstand (tryk F8 efter POST skærmen). Søg og slet nedenstående filer/mapper, hvis de stadig er der. Husk at ændre mappeindstillinger så du kan se skjulte filer samt systemfiler. (Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis. Fjern flueben ved "Skjul beskyttede operativsystemfiler". Fjern flueben ved "Skjul filtypenavne for kendte filtyper". Sæt prik i "Vis skjulte filer og mapper".) >>> C:\WINDOWS\System32\??chost.exe <<< Slet filen Genstart normalt. Deaktiver DCOM protokollen med DCOMbobulator. Installer den downloadede Service Pack. Etabler forbindelse til nettet igen og få opdateret det sidste via Windows update. Kør en ny scanning med HJT og smid loggen herind til kontrol. //*Cookie
--
Make somebody else's day - commit an act of kindness ... TODAY :o)!

#2
estaze
Bruger Aspirant
10-12-2004 14:49

Rapporter til Admin

Hej #1, tusind tak for hjælpen, det kører upåklageligt nu
--
"My hovercraft is full of ell!"

#3
*Cookie
Ultrabruger
10-12-2004 18:39

Rapporter til Admin

#2 Ville du ikke gennemføre rensningen, fordi du ikke har en "godkendt" version af XP ;-p ? Bare et gæt .... og kommer mig egl. heller ikke ved :D .... men husk at slå Systemgendannelsen til igen, hvis du skulle have nået at slå den fra - også selv om din log nok ikke er helt ren. Din PC er som sagt hullet som en si, så hvis du vil, kan du prøve at beskytte din PC så godt, det nu kan lade sig gøre med flg.: Ad-aware http://www.lavasoft.de[...] SpyBot S&D http://www.safer-networking.org[...] Her skal du bruge Immunisering samt TeaTimer. SpywareBlaster http://www.javacoolsoftware.com[...] Her skal du bruge Enable All Protection. De er alle freeware, tager det værste snavs og burde derfor opdateres online og køres jævnligt. Du får også lige en rigtig god freeware firewall: Sygate Personal Firewall http://download.com.com[...] //*Cookie
--
Make somebody else's day - commit an act of kindness ... TODAY :o)!

#4
estaze
Bruger Aspirant
11-12-2004 13:01

Rapporter til Admin

Ja, jeg har de programmer og har også slået beskyttelsen til, men her i dag er det begyndt at lagge igen.. Min Hijackthis log har ikke ændret sig overhovedet, så jeg forstår det ik helt. Lige en ting til, jeg har lige søgt under "??chost", og har fundet 2. De hedder begge svchost.exe, og ligger i henholdsvis C:WindowsSystem32svchost.exe, og C:WINDOWSSoftwareDistributionDownload6ca7b3a8efd5a9b6f87fff395a2eb989svchost.exe Den sidste synes jeg lyder lidt underlig, og da jeg søgte igår fandt jeg kun den øverste.. Hvad siger du til det?
--
"My hovercraft is full of ell!"

#5
estaze
Bruger Aspirant
11-12-2004 13:04

Rapporter til Admin

Det skal lige siges, at det er med vilje den står på about:blank, og at min winXP ikke er helt "godkendt" ;)
--
"My hovercraft is full of ell!"

#6
*Cookie
Ultrabruger
13-12-2004 16:30

Rapporter til Admin

#5 Det tænkte jeg nok - mht begge dele ;o)! Thumbs up til det første ... men thumbs ned til det sidste! #4 Den første (C:WindowsSystem32svchost.exe) er legitim, så den skal du ikke gøre noget ved. "??chost.exe" har ikke noget med den at gøre og er nok blevet fixet af HJT. C:WINDOWSSoftwareDistributionDownload6ca7b3a8efd5a9b6f87fff395a2eb989 er til gengæld noget malware, du skal have slettet. Kør en ny HJT og fix den, hvis du kan se den der. Slet den derefter også i fejlsikret tilstand, hvis den stadig er der. Du kender proceduren for begge dele ellers se under #1. Jeg kan desværre ikke tilbyde en kontrol-check af din log efter dette rensningsforsøg. Uden en opgradering forbliver dit system hullet som en si og vil sikkert være "snavset" til igen i løbet af et par dage/uger. En anden grund er også den, at jeg desværre ikke kan bifalde "ikke godkendt" software, så når du har gjort det sidste, aktiverer du bare Systemgendannelsen igen, selv om din log måske ikke er helt ren. Pøj-pøj med det :o)! //*Cookie
--
Make somebody else's day - commit an act of kindness ... TODAY :o)!

#7
estaze
Bruger Aspirant
13-12-2004 16:45

Rapporter til Admin

#6 Jeg kørte HJT-loggen, men kunne ikke finde den "falske" svchost.exe. Så jeg søgte igen, og den fandt de to i #4. Jeg prøvede så at åbne mappen C:WINDOWSSoftwareDistributionDownload, og det viste sig så at mappen indeholder en masse filer, der er en slags kopi af Windows-mappen. fandt bl.a. cmd.exe, som både var her og i windows-mappen. Sker der noget ved at slette hele mappen i fejlsikret tilstand?
--
"My hovercraft is full of ell!"

#8
*Cookie
Ultrabruger
13-12-2004 19:49

Rapporter til Admin

#7 Ai, du skal ikke slette noget alligevel. Vi kan nemlig ikke se, hvad der ligger i mappen og hvad den bliver brugt til. Det kan fx godt være ting, som bliver downloaded - evt. til opdateringer eller lignende. Filerne kan derfor godt være legitime kopier af systemfiler, som ikke kommer i brug - og af den grund er de ikke skadelige. Grunden, til jeg i første omgang betragtede det som malware, var fordi det er en velkendt måde at skjule malware på. Men for sikkerheds skyld må du hellere lade være med at slette noget, så sæt du bare Systemgendannelsen til igen og prøve at beskytte din PC så godt du kan med de programmer, jeg gav dig under #3 :o). //*Cookie
--
Make somebody else's day - commit an act of kindness ... TODAY :o)!

#9
estaze
Bruger Aspirant
13-12-2004 21:32

Rapporter til Admin

Okay jeg følger bare dit råd, tak for hjælpen og tiden
--
"My hovercraft is full of ell!"

#10
*Cookie
Ultrabruger
13-12-2004 21:44

Rapporter til Admin

#9 You welcome .... altid en fornøjelse at hjælpe en, der er så opsat på at få sin PC renset ... og følger instrukserne så godt som du har gjort det :o)! Held & lykke med det fremover. //*Cookie
--
Make somebody else's day - commit an act of kindness ... TODAY :o)!