HJT Log! Spysheriiff

Af Bruger Kimooo | 21-12-2005 11:24 | 1105 visninger | 15 svar, hop til seneste

Hej.. Jeg har lige fået et eller andet spyware. Det er noget Spysheriff og måske mere. Jeg har kørt Microsoft AntiSpyware og Spywarefri onlinescanner. Det har fjernet lidt, men det er der stadig. Det er pop-ups, ændret skrivebords baggrund, taskbar, påmindelser, IE ændringer mm. Logfile of HijackThis v1.99.1 Scan saved at 23:08:43, on 20-12-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSExplorer.EXE C:WINDOWSsystem32spoolsv.exe C:WINDOWSsdkhp.exe C:ProgrammerNVIDIA CorporationNetworkAccessManagerApache GroupApache2inapache.exe C:ProgrammerNVIDIA CorporationNetworkAccessManagerin SvcIp.exe C:ProgrammerNVIDIA CorporationNetworkAccessManagerin SvcLog.exe C:WINDOWSsystem32 vsvc32.exe C:ProgrammerAlcohol 120StarWindStarWindService.exe C:ProgrammerNVIDIA CorporationNetworkAccessManagerin TrayFw.exe C:ProgrammerMicrosoft AntiSpywaregcasServ.exe C:ProgrammerJavainjusched.exe D:SpilToolsRefreshLock.exe C:WINDOWSmfced32.exe C:WINDOWSsystem32ctfmon.exe C:ProgrammerMSN MessengerMsnMsgr.Exe C:ProgrammerMicrosoft AntiSpywaregcasDtServ.exe C:ProgrammerNVIDIA CorporationNetworkAccessManagerApache GroupApache2inapache.exe C:ProgrammerInternet Exploreriexplore.exe C:ProgrammerInternet Exploreriexplore.exe C:ProgrammerInternet Exploreriexplore.exe C:Documents and SettingsKim Brun NissenSkrivebordHijackThisHijackThis.exe R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammerAdobeAcrobat 7.0ActiveXAcroIEHelper.dll O2 - BHO: Class - {08513E59-0400-6BA4-A3DF-9337E2F8AE68} - C:WINDOWSsystem32crmx32.dll (file missing) O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:ProgrammerIpswitch WS_FTP Prowsbho2k0.dll O2 - BHO: Class - {AEB90959-0093-AADA-C479-6B1F6B9B24D6} - C:WINDOWSwinmr.dll O4 - HKLM..Run: [NVMixerTray] "C:ProgrammerNVIDIA CorporationNvMixerNVMixerTray.exe" O4 - HKLM..Run: [nTrayFw] C:ProgrammerNVIDIA CorporationNetworkAccessManagerin TrayFw.exe O4 - HKLM..Run: [gcasServ] "C:ProgrammerMicrosoft AntiSpywaregcasServ.exe" O4 - HKLM..Run: [SunJavaUpdateSched] C:ProgrammerJavainjusched.exe O4 - HKLM..Run: [RefreshLock] D:SpilToolsRefreshLock.exe O4 - HKLM..Run: [NVIDIA nTune] "C:ProgrammerNVIDIA Corporation Tune\nTune.exe" clear O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit O4 - HKLM..Run: [mfced32.exe] C:WINDOWSmfced32.exe O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe O4 - HKCU..Run: [Steam] "c:spilsteamsteam.exe" -silent O4 - HKCU..Run: [MsnMsgr] "C:ProgrammerMSN MessengerMsnMsgr.Exe" /background O4 - HKCU..Run: [updateMgr] C:ProgrammerAdobe ReaderReaderAdobeUpdateManager.exe AcRdB7_0_3 -reboot 1 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammerJavain pjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammerJavain pjpi150_04.dll O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk[...] O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com[...] O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com[...] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com[...] O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com[...] O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com[...] O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:PROGRA~1MSNMES~1msgrapp.dll" (file missing) O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:WINDOWSsdkhp.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:ProgrammerNVIDIA CorporationNetworkAccessManagerApache GroupApache2inapache.exe" -k runservice (file missing) O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:ProgrammerNVIDIA CorporationNetworkAccessManagerin SvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:ProgrammerNVIDIA CorporationNetworkAccessManagerin SvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32 vsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:ProgrammerAlcohol 120StarWindStarWindService.exe
--

#1
guanomo
Guru
21-12-2005 11:48

Rapporter til Admin

Mangler du ikke et antivirus program? Din log er lidt snavset, så der er lidt, der lige skal fixes :o). Hent disse værktøjer, men vent med at bruge dem til jeg siger til: Kaspersky Scanner http://www.spywareinfo.dk[...] http://www.spywarefri.dk[...] AboutBuster http://downloads.subratam.org[...] installere og opdatere aboutbuster og ewido, men vent stadig med at kører dem. (den her henter du, men skal kun bruges i tilfælde af at din internet forbindelse ryger. - LSPFix http://www.majorgeeks.com[...] ) Print dette ud eller gem det på din Desktop, da du skal være uden netforbindelse om lidt og derfor ikke kan se instrukserne online. Så afbryder du netforbindelsen fysisk (fx ved at hive netstikket ud). VIGTIGT: Du må ikke gå på nettet før jeg siger til! Tøm temp mappen med dette lille program. http://www.spywareinfo.dk[...] Genstart PC i fejlsikret tilstand (tryk F8 gentagne gange ved opstart). ------------------------------ Kør så en ny scanning med HJT og sæt flueben ved disse: R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R3 - Default URLSearchHook is missing O4 - HKLM..Run: [mfced32.exe] C:WINDOWSmfced32.exe Luk alle øvrige programvinduer så kun HJT er åben. Klik på "Fix checked". ------------------------------------------- Søg og slet nedenstående filer/mapper, hvis de stadig er der. Husk at ændre mappeindstillinger så du kan se skjulte filer samt systemfiler. Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis. Fjern flueben ved "Skjul filtypenavne for kendte filtyper". Sæt prik i "Vis alle filer".) C:WINDOWS\sdkhp.exe C:WINDOWS\mfced32.exe Ændr derefter mappeindstillinger tilbage til ikke at vise skjulte filer og skjulte systemfiler. ------------------------------ Installer og kør derefter Kaspersky scanneren. (Sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services. - og prik i følgende: All local drives og Scan all files. Klik på scan.) Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer. Når scanningen er færdig, og har slettet dine evt. virus. Klik på Ok. Klik på exit, klik på exit igen, hvis du ikke ønsker at købe programmet. TIP: du skal ikke klikke på Add to Startup folders, så scannes din maskine hver gang du starter Windows op. ----------------------- Kør en komplet scan med Ewido og rens/fjern/remove alle infektioner. ----------------------- Kør AboutBuster - to gange. - klik OK - klik Start og OK for at scanne for Alternate Data Streams - klik Yes for at tillade nedlukning af Explorer.exe - klik Yes for at tillade nr. 2 scanning. ------------------------------ Kør så en diskoprydning. (Start=> Programmer=> Tilbehør=> Systemværktøjer=> Diskoprydning. Sæt flueben ved temp-filer, temporary internet files og papirkurv). ---------------------- genstart i normal tilstand og etablere netforbindelsen igen. Lav en ny hijackthis log og upload loggen her http://www.peecee.dk[...] hvis den siger fejl, så omdød til .txt dokument med notepad, åbne og gem som.(eksempel, navnpåminfill.txt) Og post de direkte link til dem her.
--
Når man kigger ind i evigheden, forstår man, der er vigtigere ting her i livet end dem, man bruger hele dagen på.

#2
Kimooo
Bruger
21-12-2005 13:49

Rapporter til Admin

Har gjordt det du sagde.. Men det er der stadig. I AboutBuster kunne jeg ikke finde det der - klik OK - klik Start og OK osv
--

#3
Kimooo
Superbruger
21-12-2005 13:50

Rapporter til Admin

Jeg har NVIDIA Firewall på High og Microsoft AntiSpyware
--

#4
Kimooo
Superbruger
21-12-2005 13:51

Rapporter til Admin

http://peecee.dk[...]
--

#5
Kimooo
Superbruger
21-12-2005 13:52

Rapporter til Admin

Undskyld http://peecee.dk[...]
--

#6
guanomo
Guru
21-12-2005 14:03

Rapporter til Admin

#3 du mangler stadig et antivirus program. du har kun en software firewall plus et scannings program til spyware (som desuden ikke er særligt effektivt) Kan se about er lidt anderledes nu, trykket du så "begin removal"? Start i fejlsikret tilstand ------------------------------ Kør så en ny scanning med HJT og sæt flueben ved disse: R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R3 - Default URLSearchHook is missing Luk alle øvrige programvinduer så kun HJT er åben. Klik på "Fix checked". ------------------------------------------- Søg og slet nedenstående filer/mapper, hvis de stadig er der. Husk at ændre mappeindstillinger så du kan se skjulte filer samt systemfiler. Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis. Fjern flueben ved "Skjul filtypenavne for kendte filtyper". Sæt prik i "Vis alle filer".) C:\WINDOWS\pnxyy.dll Ændr derefter mappeindstillinger tilbage til ikke at vise skjulte filer og skjulte systemfiler. ------------------------------ Prøv about buster igen ved at trykke på begin removal efter du har updateret den. ------------------------------ Kør så en diskoprydning. (Start=> Programmer=> Tilbehør=> Systemværktøjer=> Diskoprydning. Sæt flueben ved temp-filer, temporary internet files og papirkurv). ---------------------- genstart i normla tilstand og lig en logfil til tjek og om du stadig oplever problemer.
--
Når man kigger ind i evigheden, forstår man, der er vigtigere ting her i livet end dem, man bruger hele dagen på.

#7
Kimooo
Superbruger
21-12-2005 14:48

Rapporter til Admin

Det er der stadig væk, kan godt være noget af det er væk. Da jeg kørte AboutBuster kom den med denne fejl: http://peecee.dk[...] Og da diskoprydning ikke gad genneføre kørte jeg CleanUp i stedet. Hjt log: http://peecee.dk[...]
--

#8
guanomo
Guru
21-12-2005 15:52

Rapporter til Admin

Donwload CWShredder http://cwshredder.net[...] Avast antivirus http://www.spywarefri.dk[...] IOnstallere og opdatere avast og CWS Så afbryder du netforbindelsen fysisk (fx ved at hive netstikket ud). VIGTIGT: Du må ikke gå på nettet før jeg siger til! GEnstart i fejlsikret tilstand Tøm din temporary internet fiels mappe. Tryk ctrl+alt+del og luk dem her hvis de stadig kører under prosessore. atlkr32.exe winlj32.exe ------------------------------ Kør så en ny scanning med HJT og sæt flueben ved disse: R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSwqdyz.dll/sp.html#17702%everything4find.com R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSwqdyz.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSwqdyz.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSwqdyz.dll/sp.html#17702%everything4find.com R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSwqdyz.dll/sp.html#17702%everything4find.com R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSwqdyz.dll/sp.html#17702%everything4find.com R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSpnxyy.dll/sp.html#17702%everything4find.com R3 - Default URLSearchHook is missing O2 - BHO: Class - {AEB90959-0093-AADA-C479-6B1F6B9B24D6} - C:WINDOWSwinmr.dll O4 - HKLM..Run: [atlkr32.exe] C:WINDOWSsystem32atlkr32.exe O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:WINDOWSsystem32winlj32.exe O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk[...] O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com[...] O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com[...] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com[...] O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com[...] O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com[...] O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:WINDOWSsystem32winlj32.exe Luk alle øvrige programvinduer så kun HJT er åben. Klik på "Fix checked". ------------------------------------------- Søg og slet nedenstående filer/mapper, hvis de stadig er der. Husk at ændre mappeindstillinger så du kan se skjulte filer samt systemfiler. Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis. Fjern flueben ved "Skjul filtypenavne for kendte filtyper". Sæt prik i "Vis alle filer".) C:\WINDOWS\system32atlkr32.exe C:\WINDOWS\system32\winlj32.exe C:\WINDOWS\wqdyz.dll C:\WINDOWS\pnxyy.dll C:\WINDOWS\winmr.dll Ændr derefter mappeindstillinger tilbage til ikke at vise skjulte filer og skjulte systemfiler. ------------------------ kør derefter Kaspersky scanneren ------------------------- Kør komplet scan med Ewido og gem log filen. ------------------------ Kør CWShredder, deaktiver ALLE sikkerhedsprogrammer, luk alle vinduer undtaget cwshredder, klik på Fix, så scanner den, når den er færdig, klik på Next, klik på Exit. ----------------------- Kør så en diskoprydning. (Start=> Programmer=> Tilbehør=> Systemværktøjer=> Diskoprydning. Sæt flueben ved temp-filer, temporary internet files og papirkurv). ------------------------- Star i normla tilstand, kør en komplet scan med ewido igen og bagefter med Avast. Lav en ny hjl til tjek igen...
--
Når man kigger ind i evigheden, forstår man, der er vigtigere ting her i livet end dem, man bruger hele dagen på.

#9
guanomo
Guru
21-12-2005 15:52

Rapporter til Admin

Browser cachen skal også renses 1. Klik på Funktioner – Internetindstillinger 2. Under midlertidige filer, klik på Slet cookies 3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold 4. Under Oversigten, klik på ryd oversigten 5. Klik på ok
--
Når man kigger ind i evigheden, forstår man, der er vigtigere ting her i livet end dem, man bruger hele dagen på.

#10
Cr4Sh
Super Nørd
21-12-2005 15:57

Rapporter til Admin

#9 Du glemte vist punktet "sæt netkablet i igen".
--

#11
guanomo
Guru
21-12-2005 16:07

Rapporter til Admin

#10 tak Star i normal tilstand, kør en komplet scan med ewido igen og bagefter med Avast. sæt netkablet i igen Lav en ny hjl til tjek igen... plus upload Ewido loggen.
--
Når man kigger ind i evigheden, forstår man, der er vigtigere ting her i livet end dem, man bruger hele dagen på.

#12
Kimooo
Superbruger
21-12-2005 21:47

Rapporter til Admin

Hej igen. Jeg er ikke kommet videre, men har besluttet af formatere og så få noget bedre sikkerhed. NVIDIA Firewall, Microsoft AntiSpyware og en eller anden pakke. Hvad kan i anbefale? Det skal være real-time security. Jeg har delt min harddisk op i 2 drev og vil kun formatere C-drevet. Kan det lade sig gøre, uden D-drevet også bliver slettet? Kan jeg ikk bare højre-klikke på drevet i Denne Computer og sige formater eller Tak for hjælpen
--

#13
Kim In Chul
Ultra Supporter
21-12-2005 22:07

Rapporter til Admin

Udover de nævnte programmer vil nævne: Ad-aware (notér dig at det er den ægte version) Spybot Search & Destroy Spywareblaster Jeg vil foreslå Sygate til firewall da det er klart den bedste af de gratis på markedet. Til antivirus som er gratis bruger jeg personligt selv Avast home edition free. AVG og Antivir skulle heller ikke være helt at kimse af. Som supplement så Ewido Scanner som egentlig kun er en trial på 14 dage. Du skal bare opdatere manuelt efter trialen er udløbet.
--
MSN: [email protected]

#14
Kimooo
Superbruger
21-12-2005 23:02

Rapporter til Admin

Okay.. hvad med NOD32 ? Kan se der er mange der anbefaler den, og har kun hørt godt om den
--

#15
guanomo
Guru
22-12-2005 14:53

Rapporter til Admin

#12 nej du kan ikke højreklik på c drevet og sige formater, da det er din system partition. http://www.helgec.dk[...] #14 har aldrig prøvet det, men anbefaler gerne avast eller avg som free og kaspersky hvis du vil betale.
--
Når man kigger ind i evigheden, forstår man, der er vigtigere ting her i livet end dem, man bruger hele dagen på.