• Forum
      /  
    Software
      /  
    Sikkerhed
  • 01-03-2005 · 18:08 1322 visninger 8 svar
  • Denne tråd er over 6 måneder gammel

    Er du sikker på, at du har noget relevant at tilføje?

  • HJT-log. Kyndig hjælp ønskes

    Af Huitzilopochtli Megabruger
Vil nogen være så venlige at kigge på denne HijackThis-log? På forhånd mange tak.

Logfile of HijackThis v1.99.1
Scan saved at 18:05:29, on 01-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammerSygateSPFsmc.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:ProgrammerJavaj2re1.4.2_03injusched.exe
C:WINDOWSsystem3232muanger.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSsystem32ctfmon.exe
C:ProgrammerJavaj2re1.4.2_03injucheck.exe
C:ProgrammerAlwil SoftwareAvast4aswUpdSv.exe
C:ProgrammerAlwil SoftwareAvast4ashServ.exe
C:ProgrammerAlwil SoftwareAvast4ashMaiSv.exe
C:ProgrammerAlwil SoftwareAvast4ashWebSv.exe
C:Documents and SettingsErnst 2SkrivebordErnstMariannehijackthis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:ProgrammerSpybot - Search & DestroySDHelper.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM..Run: [SunJavaUpdateSched] C:ProgrammerJavaj2re1.4.2_03injusched.exe
O4 - HKLM..Run: [amturr3] 32muanger.exe
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [SmcService] C:PROGRA~1SygateSPFsmc.exe -startgui
O4 - HKLM..RunServices: [amturr3] 32muanger.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [amturr3] 32muanger.exe
O4 - HKCU..RunServices: [amturr3] 32muanger.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammerMicrosoft OfficeOfficeOSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammerJavaj2re1.4.2_03in
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammerJavaj2re1.4.2_03in
pjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:ProgrammerAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:ProgrammerAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:ProgrammerAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:ProgrammerAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:ProgrammerSygateSPFsmc.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:WINDOWSSystem32winpnp32.exe


Giga Supporter
01-03-2005 20:41
Deaktiver systemgendannelse.
(Højreklik på "Denne Computer" på skrivebordet, vælg egenskaber og fanebladet "Systemgendannelse" og sæt flueben i "Deaktiver systemgendannelse". Klik OK.)

Genstart i fejlsikret tilstand.
(Tryk F8 gentagne gange ved opstart)

Inden du starter HJT skal følgende processer lukkes i Joblisten/Task Manager den åbner du ved at trykke "Ctrl + Alt + Delete" samtidig

32muanger.exe

Kør så en ny scanning med HJT og sæt flueben ved disse:

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM..Run: [SunJavaUpdateSched] C:ProgrammerJavaj2re1.4.2_03injusched.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKLM..Run: [amturr3] 32muanger.exe
O4 - HKLM..RunServices: [amturr3] 32muanger.exe
O4 - HKCU..Run: [amturr3] 32muanger.exe
O4 - HKCU..RunServices: [amturr3] 32muanger.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammerMicrosoft OfficeOfficeOSA9.EXE

Luk alle øvrige programvinduer så kun HJT er åben. Klik på ”Fix checked”.

Søg og slet nedenstående filer/mapper, hvis de stadig er der. Husk at ændre mappeindstillinger så du kan se skjulte filer samt systemfiler.
(Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".)

C:/WINDOWS/system32/32muanger.exe >> Slet Filen

Ændr derefter mappeindstillinger tilbage til ikke at vise skjulte filer og skjulte systemfiler.

Du må først aktivere din systemgendannelse igen, når jeg siger til.

Genstart i normal tilstand. Kør en ny scanning med HJT og smid loggen herind til kontrol. Læg evt. også et par ord, om du har problemer med din PC, eller om det bare var et tjek

Lige til sidst kan jeg se der sandsynligvis mangler et par vigtige filer i din antivirus program, men filer kører også i processer så det ser lidt mærkeligt ud. Men jeg ville nok geninstallere det for at være på den sikre side.
Huitz (ej logget ind)

#2

Gæst
01-03-2005 20:41
Et "der er ingen problemer" ville også hjælpe...

32muanger.exe opfører sig særdeles mistænkeligt.
Huitz (ELI)

#3

Gæst
01-03-2005 21:09
Når man taler om solen...

Tak for det. Da jeg genstartede i normal tilstand, var der to entries, der ikke var blevet fjernet, men de skulle være væk nu. Grunden til, at jeg scanner med HJT, er, at den computer, jeg forsøger at fikse, stadig opførte sig mystisk, efter jeg havde fjernet 4 trojans med Avast samt fjernet alt, hvad Ad-Aware og Spybot S&D kunne finde.

Her er den nye log:

Logfile of HijackThis v1.99.1
Scan saved at 21:04:51, on 01-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:ATI-CPanelatiptaxx.exe
C:WINDOWSSOUNDMAN.EXE
C:Programmerone LabsoneAlarmzlclient.exe
C:ProgrammerAlwil SoftwareAvast4aswUpdSv.exe
C:ProgrammerAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32oneLabsvsmon.exe
C:ProgrammerAlwil SoftwareAvast4ashMaiSv.exe
C:ProgrammerAlwil SoftwareAvast4ashWebSv.exe
C:Documents and SettingsErnst 2SkrivebordErnstMariannehijackthis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:ProgrammerSpybot - Search & DestroySDHelper.dll
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [ATIPTA] C:ATI-CPanelatiptaxx.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [Zone Labs Client] "C:Programmerone LabsoneAlarmzlclient.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammerJavaj2re1.4.2_06in
pjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammerJavaj2re1.4.2_06in
pjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:ProgrammerAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:ProgrammerAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:ProgrammerAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:ProgrammerAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:WINDOWSsystem32oneLabsvsmon.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:WINDOWSSystem32winpnp32.exe

P.S. Hvordan kan du se, at der mangler filer i computerens antivirusprogram (jeg har scannet med det flere gange i dag)?
Giga Supporter
02-03-2005 00:25
#3
Din log er ren nu, husk at aktivere systemgendannelse igen.

Jeg kan se der "sandsynligvis" mangler 2 filer ved at se på disse 2
O23 - Service: avast! Mail Scanner - Unknown owner - C:ProgrammerAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:ProgrammerAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)

Så lige til sidst vil jeg lige høre om det hjalp at få renset loggen?
Megabruger
02-03-2005 01:29
#4:
Nåh, ja - skal huske at aktivere systemgendannelse igen.

Jeg forstår ikke helt det med de manglende filer. Jeg er nu hjemme ved min egen computer (den computer, du har hjulpet med at rense, tilhører svigerforældrene), og når jeg kører HJT, skriver den, at de filer også mangler her. I Taskmanager kan jeg dog se, at filerne kører som processer. På svigerforældrenes computer skulle jeg også godkende dem i firewallen, så jeg kan vel gå ud fra, at de er der...

"C:/WINDOWS/system32/32muanger.exe" skabte en del problemer (den ville hele tiden gå på nettet), så det hjalp helt sikkert at få renset maskinen. Du ved vel ikke, hvad denne fil gør? Jeg har søgt efter den på Google, men uden resultat.

Jeg vil sige tusind tak for hjælpen! Det er lækkert, at der er folk, der gider at gennemlæse meterlange logfiler og hjælpe med udførlige anvisninger.

Mvh.

Huitz
Giga Supporter
02-03-2005 01:55
#5
HJT må tage fejl angående de 2 filer der også derfor jeg brugte "sandsynligvis" hver gang jeg omtalte filerne. Og ja filerne kører så det ville lidt mærkeligt hvis de både kørte og manglede samtidig :)

Jeg kendte og kender stadig ikke til "32muanger.exe" men nu ved jeg da den skal fjernes.
Jeg søgte på google men google fandt intet og når google intet finder så er det højst sandsynligvis noget malware af en slags. Filen starter også med 32 foran hvilket gør den endnu mere mistænksom.

Din log var kort i forhold til de fleste andre logs så den var skam nem nok.
Godt at høre det virker som det skal igen, bare smid en ny ind hvis der en dag skulle opstå problemer igen :)
Junior Supporter
02-03-2005 23:33
#6
Har da fortalt dig, at det skyldes en bug i de sidste 2 versioner af HJT ;o). I loggen fremgår det jo også, at de er der og kører fint :o).


//*Cookie
Ultra Supporter
02-03-2005 23:49
#7
Ja det ved jeg også derfor jeg skrev "Jeg kan se der "sandsynligvis" mangler 2 filer " hvilket betyder at det ikke er sikkert de mangler. Og ja jeg ved de kører i processer hvilket jeg har skrevet hele tiden :)
Bruger påkrævet
En bruger er påkrævet for at oprette svar på Hardwareonline.dk

Log ind for at få flere funktioner