Hjælp til HJT log

Af Gæst gæst | 09-07-2005 22:51 | 736 visninger | 6 svar, hop til seneste

Hej Har problemer med spyware og virus, hver gang IE åbnes er msn.dk startside, selvom andet er valgt og der kommer en popup fra "only the best". Norman AV finder en trojanskhest hver gang som den sletter (nbywd.dll), bruger spysweeper som hele tiden finder nye emner hver gang IE åbnes. Har forsøgt at slette dem manuelt. Så hvis nogen kan se hvad det skyldes ville det være rart. HJT-log: Logfile of HijackThis v1.99.1 Scan saved at 22:39:56, on 09-07-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32csrss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSSystem32SCardSvr.exe C:WINDOWSExplorer.EXE C:ProgrammerFælles filerMicrosoft SharedVS7Debugmdm.exe C:NORMANNvcBINNPFSVICE.EXE C:NormaninANDA.EXE C:WINDOWSSystem32svchost.exe C:NORMANNvcBIN vcoas.exe C:NormaninNJEEVES.EXE C:NORMANNvcBINNVCSCHED.EXE C:NORMANNvcBIN ipsvc.exe C:WINDOWSSystem32alg.exe C:ProgrammerATI TechnologiesATI Control Panelatiptaxx.exe C:WINDOWSmHotkey.exe C:WINDOWSCNYHKey.exe C:ProgrammerHome CinemaPowerCinemaPCMService.exe C:WINDOWSSystem32spooldriversw32x863hpztsb07.exe C:NormaninLH.EXE C:ProgrammerFælles filerMicrosoft SharedWorks SharedWkUFind.exe C:PROGRA~1PANICW~1POP-UP~1PSFree.exe C:ProgrammerWebrootSpy SweeperSpySweeper.exe C:PROGRA~1COMMON~1X10Commonx10nets.exe C:ProgrammerHewlett-PackardDigital Imaginginhpobnz08.exe C:ProgrammerHewlett-PackardDigital Imaginginhpotdd01.exe C:ProgrammerSony CorporationImage TransferSonyTray.exe C:ProgrammerHewlett-PackardDigital Imaginginhpoevm08.exe C:NormanNvcBINNIP.EXE C:NormanNvcBIN pfmsg2.exe C:NormanNvcincclaw.exe C:WINDOWSsystem32wuauclt.exe C:WINDOWSsystem32 askmgr.exe R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Tiscali A/S - Microsoft Internet Explorer R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks R3 - Default URLSearchHook is missing O2 - BHO: Class - {FA539294-B4AB-70AA-0119-868F1A5B3173} - C:WINDOWSsystem32 etlx.dll O4 - HKLM..Run: [ATIPTA] C:ProgrammerATI TechnologiesATI Control Panelatiptaxx.exe O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe O4 - HKLM..Run: [CHotkey] mHotkey.exe O4 - HKLM..Run: [ledpointer] CNYHKey.exe O4 - HKLM..Run: [PCMService] "C:ProgrammerHome CinemaPowerCinemaPCMService.exe" O4 - HKLM..Run: [HPDJ Taskbar Utility] C:WINDOWSSystem32spooldriversw32x863hpztsb07.exe O4 - HKLM..Run: [Norman ZANDA] C:NormaninLH.EXE /LOAD /SPLASH O4 - HKLM..Run: [Microsoft Works Update Detection] C:ProgrammerFælles filerMicrosoft SharedWorks SharedWkUFind.exe O4 - HKCU..Run: [PopUpStopperFreeEdition] "C:PROGRA~1PANICW~1POP-UP~1PSFree.exe" O4 - HKCU..Run: [SpySweeper] "C:ProgrammerWebrootSpy SweeperSpySweeper.exe" /0 O4 - Global Startup: hp psc 2000 Series.lnk = C:ProgrammerHewlett-PackardDigital Imaginginhpobnz08.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:ProgrammerMicrosoft OfficeOfficeOSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com[...] O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com[...] O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:WINDOWSipzp32.exe" /s (file missing) O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:NORMANNvcBIN ipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:NormaninNJEEVES.EXE O23 - Service: Norman Type-R - Unknown owner - C:NORMANNvcBINNPFSVICE.EXE O23 - Service: Norman ZANDA - Unknown owner - C:NormaninANDA.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:NORMANNvcBIN vcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:NORMANNvcBINNVCSCHED.EXE O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSSystem32HPZipm12.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:PROGRA~1COMMON~1X10Commonx10nets.exe
--

Gæstebruger, opret dit eget login og få din egen signatur.

#1
GunFire
Bruger Aspirant
09-07-2005 22:53

Rapporter til Admin

har du prøvet at køre fejl-sikker-tilstand også køre det der... ? .... ved ikke om det kan løse problemet helt men virker næsten hvergang jeg får de små sataner.... ellers er der vel kun 1 udvej ... FORMAT C: :s
--

#2
guanomo
Guru
10-07-2005 00:30

Rapporter til Admin

#1 nej format C er ik nødvendigt, han beder om hjælp til en hjt log fil og det får han. ( en anden gang behøver du ik skrive, jeg troede faktisk til at starte med han havde fået hjælp pga. der var svaret i tråden før jeg kigget.) #0 Jeg er usikker mht. den her C:WINDOWSsystem32 etlx.dll Når du skal ligge en ny logfil, så upload den på http://bigup.peecee.lir.dk[...] det gør også den nemmere at tjekke. Download disse værktøjer men kør dem ikke endnu: Kaspersky Scanner http://www.spywareinfo.dk[...] Ad-aware http://www.download.com[...] spybot. http://www.download.com[...] Installer og opdater, ad-aware og spybot, men vent stadig med at køre dem Deaktivere systemgendannelse, højreklik denne computer>egenskaber>systemgendannel Genstart PC i fejlsikret tilstand (tryk F8 gentagne gange ved opstart). ------------------------------ Kør så en ny scanning med HJT og sæt flueben ved disse: R3 - Default URLSearchHook is missing O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:WINDOWSipzp32.exe" /s (file missing) Luk alle øvrige programvinduer så kun HJT er åben. Klik på "Fix checked". ------------------------------------------- Søg og slet nedenstående filer/mapper, hvis de stadig er der. Husk at ændre mappeindstillinger så du kan se skjulte filer samt systemfiler. Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis. Fjern flueben ved "Skjul filtypenavne for kendte filtyper". Sæt prik i "Vis alle filer".) C:\WINDOWS\ipzp32.exe Ændr derefter mappeindstillinger tilbage til ikke at vise skjulte filer og skjulte systemfiler. ------------------------ Installer og kør derefter Kaspersky scanneren. (Sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services. - og prik i følgende: All local drives og Scan all files. Klik på scan.) Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer. Når scanningen er færdig, og har slettet dine evt. virus. Klik på Ok. Klik på exit, klik på exit igen, hvis du ikke ønsker at købe programmet. TIP: du skal ikke klikke på Add to Startup folders, så scannes din maskine hver gang du starter Windows op. ----------------------- Ad-aware SE Tag en "Full System Scan" med Ad-aware og ikke "Smart System Scan" og fix alt den finder ----------------------- Spybot S&D Der er en knap som hedder Scan og fix alt det den finder og selv sætter flueben i. ----------------------- Kør så en diskoprydning. (Start=> Programmer=> Tilbehør=> Systemværktøjer=> Diskoprydning. Sæt flueben ved temp-filer, temporary internet files og papirkurv). ---------------------- Genstart i normal tilstand og lav en ny hjt lg fil og upload den på peecee.
--
Hol.dk HJT Supporter handling udløser reaktion, reaktion udløser reflektion, reflektion udløser handling.

#3
gæst
Gæst
10-07-2005 22:20

Rapporter til Admin

Log fil: http://bigup.peecee.lir.dk[...] Har forsøgt at fjerne O23, men uden held. synes at der er for mange åbne programmer så har lavet et screenshot af taskmanager: http://bigup.peecee.lir.dk[...]
--
Gæstebruger, opret dit eget login og få din egen signatur.

#4
guanomo
Guru
10-07-2005 23:41

Rapporter til Admin

#3 hvad mener du med uden held? Følg samme opskrift som før og sæt hak ved den her i hjt loggen og søg og slet filen O2 - BHO: Class - {3BA5C516-2E23-6854-9EFC-21E89FEB7C2E} - C:\WINDOWS\system32\mspl.dll Ja du har mange task åbne, men mange er nogle du selv har valgt. Du kan slå op på google hvad de betyder alle sammen prøv at afinstallere denne og slet tilhørende mappe PopUpStopperFreeEdition Gør en fuld skan med ewido og gem en log fil og post den her guide findes her http://www.spywarefri.dk[...]
--
Hol.dk HJT Supporter handling udløser reaktion, reaktion udløser reflektion, reflektion udløser handling.

#5
gæst
Gæst
11-07-2005 13:04

Rapporter til Admin

link til log: http://bigup.peecee.lir.dk[...] som du kan se fandt den en del (over 500), og nu skifter den ikke startside af sig selv længere. O23 og O2 kan ikke fjernes - de bliver ved med at være på listen, selvom jeg har sagt fix, men så længe alle filerne er væk gør de vel ingen skade. Så mange tak for hjælpen!
--
Gæstebruger, opret dit eget login og få din egen signatur.

#6
guanomo
Guru
11-07-2005 13:27

Rapporter til Admin

#5 ja den fandt en del og ser ud til alt er slettet, lige en sidste ting vi kan gøre for at være helt sikker. hent de 2 her AboutBuster http://downloads.subratam.org[...] CWShredder http://cwshredder.net[...] ----------------------- Kør AboutBuster - to gange. - klik OK - klik Start og OK for at scanne for Alternate Data Streams - klik Yes for at tillade nedlukning af Explorer.exe - klik Yes for at tillade nr. 2 scanning. ------------------------------ Kør CWShredder, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer, luk alle vinduer undtaget cwshredder, klik på Fix, så scanner den, når den er færdig, klik på Next, klik på Exit. Genstart ----------------------- ingen ny log nødvendig. Efter sådan en rensning her er det godt du får lavet et nyt gendannelses punkt. Gå i start>programmer>tilbehør>systemværktøjer>systemgendannelse og lav et nyt punkt, så slipper du får at få spywaren med du har ahft næste gang du skal have gendannet din computer.
--
Hol.dk HJT Supporter handling udløser reaktion, reaktion udløser reflektion, reflektion udløser handling.