|
|
#1
6 november 2008, 14:34
| |||
| |||
 HJT log Hey Evil, lang historie kort, jeg f'ed min anden computer for en stund, og jeg bruger min gamle. Jeg løb lige en HJT log på denne ene og ønskede at være sikker på, at det var cool. Det har været spybot'ed. Jeg er i den Malware U kursus nu og gør mit første PL, så du skal ikke fortælle mig, hvad nogle af de processer, eller jeg får sparket lol, men jeg ville vide om denne computer var god. Jeg skulle have gjort dette, INDEN jeg gik der på denne maskine, men jeg glemte. Tak. Logfile af Trend Micro HijackThis v2.0.2 Scan gemt på 4:29:12, om 11/6/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Kørende processer: C: \ WINDOWS \ System32 \ smss.exe C: \ WINDOWS \ system32 \ Winlogon.exe C: \ WINDOWS \ system32 \ Services.exe C: \ WINDOWS \ system32 \ Lsass.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ WINDOWS \ System32 \ Svchost.exe C: \ Programmer \ Common Files \ Symantec Shared \ ccSetMgr.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ Programmer \ Common Files \ Symantec Shared \ ccEvtMgr.exe C: \ Programmer \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe C: \ WINDOWS \ system32 \ Spoolsv.exe C: \ WINDOWS \ system32 \ CTsvcCDA.EXE C: \ Programmer \ Symantec AntiVirus \ DefWatch.exe C: \ WINDOWS \ System32 \ Svchost.exe C: \ Programmer \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE C: \ WINDOWS \ system32 \ PnkBstrA.exe C: \ Programmer \ Symantec AntiVirus \ SavRoam.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ Programmer \ Symantec AntiVirus \ Rtvscan.exe C: \ WINDOWS \ system32 \ MsPMSPSv.exe C: \ WINDOWS \ Explorer.EXE C: \ Programmer \ Creative \ Shared Files \ Module Loader \ DLLML.exe C: \ Programmer \ Creative \ Sound Blaster X-Fi \ bind Panel \ VolPanlu.exe C: \ Programmer \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ WINDOWS \ SYSTEM32 \ CTXFISPI.EXE C: \ Programmer \ Cyberlink \ PowerDVD \ PDVDServ.exe C: \ Programmer \ Microsoft IntelliType Pro \ itype.exe C: \ Programmer \ Microsoft IntelliPoint \ ipoint.exe C: \ WINDOWS \ system32 \ CTXFIHLP.EXE C: \ WINDOWS \ CTHELPER.EXE C: \ Programmer \ Common Files \ Symantec Shared \ ccApp.exe C: \ Programmer \ ATI Technologies \ ATI.ACE \ Core-Static \ MOM.exe C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ vptray.exe C: \ WINDOWS \ system32 \ Ctfmon.exe C: \ Programmer \ Spybot - Search & Destroy \ TeaTimer.exe C: \ Programmer \ Eraser \ eraser.exe C: \ Programmer \ Windows Media Player \ WMPNSCFG.exe C: \ Programmer \ Hewlett-Packard \ Digital Imaging \ bin \ hpohmr08.exe C: \ Programmer \ Hewlett-Packard \ Digital Imaging \ bin \ hpotdd01.exe C: \ Programmer \ Hewlett-Packard \ Digital Imaging \ bin \ hpoevm08.exe C: \ WINDOWS \ system32 \ HPZipm12.exe C: \ PROGRA ~ 1 \ Yahoo! \ Messen ~ 1 \ ymsgr_tray.exe C: \ Programmer \ ATI Technologies \ ATI.ACE \ Core-Static \ ccc.exe C: \ Programmer \ Hewlett-Packard \ Digital Imaging \ Bin \ hpoSTS08.exe C: \ WINDOWS \ system32 \ wuauclt.exe C: \ Programmer \ Mozilla Firefox \ firefox.exe C: \ Programmer \ Trend Micro \ HijackThis \ HijackThis.exe R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Window title = Windows Internet Explorer leveres af Yahoo! R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Programmer \ Yahoo! \ Companion \ Installerer \ cpn1 \ yt.dll O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Programmer \ Yahoo! \ Companion \ Installs \ cpn1 \ yt.dll O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Programmer \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Programmer \ Java \ jre1.6.0_07 \ bin \ ssv.dll O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Programmer \ Yahoo! \ Companion \ Installerer \ cpn1 \ yt.dll O4 - HKLM \ .. \ Run: [AudioDrvEmulator] "C: \ Programmer \ Creative \ Shared Files \ Module Loader \ DLLML.exe" -1 AudioDrvEmulator "C: \ Programmer \ Creative \ Shared Files \ Module Loader \ Audio Emulator \ AudDrvEm.dll " O4 - HKLM \ .. \ Run: [VolPanel] "C: \ Programmer \ Creative \ Sound Blaster X-Fi \ bind Panel \ VolPanlu.exe" / r O4 - HKLM \ .. \ Run: [UpdReg] C: \ WINDOWS \ UpdReg.EXE O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Programmer \ Common Files \ Sonic \ Update Manager \ sgtray.exe" / r O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Programmer \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Programmer \ Cyberlink \ PowerDVD \ PDVDServ.exe" O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Programmer \ QuickTime \ QTTask.exe"-atboottime O4 - HKLM \ .. \ Run: [LiveUpdate] C: \ Programmer \ Byteswarm \ LiveUpdate \ LiveUpdate.exe O4 - HKLM \ .. \ Run: [Type] "C: \ Programmer \ Microsoft IntelliType Pro \ itype.exe" O4 - HKLM \ .. \ Run: [IntelliPoint] "C: \ Programmer \ Microsoft IntelliPoint \ ipoint.exe" O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe O4 - HKLM \ .. \ Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM \ .. \ Run: [CTHelper] CTHELPER.EXE O4 - HKLM \ .. \ Run: [ccApp] "C: \ Programmer \ Common Files \ Symantec Shared \ ccApp.exe" O4 - HKLM \ .. \ Run: [BuildBU] c: \ dell \ bldbubg.exe O4 - HKLM \ .. \ Run: [ATICustomerCare] "C: \ Programmer \ ATI \ ATICustomerCare \ ATICustomerCare.exe" O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Programmer \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" O4 - HKLM \ .. \ Run: [StartCCC] "C: \ Programmer \ ATI Technologies \ ATI.ACE \ Core-Static \ CLIStart.exe" MSRun O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ \ vptray.exe O4 - HKCU \ .. \ Run: [Creative Detector] C: \ Programmer \ Creative \ MediaSource \ Detector \ CTDetect.exe / R O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ PROGRA ~ 1 \ Yahoo! \ Messen ~ 1 \ YAHOOM ~ 1.EXE"-quiet O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Programmer \ Spybot - Search & Destroy \ TeaTimer.exe O4 - HKCU \ .. \ Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKCU \ .. \ Run: [Eraser] C: \ Programmer \ Eraser \ eraser.exe-skjul O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Programmer \ Windows Media Player \ WMPNSCFG.exe O4 - Global Startup: HP PSC 1000 series.lnk =? O4 - Global Startup: hpoddt01.exe.lnk =? O8 - Extra sammenhæng menupunktet: & Yahoo! Search - file: / / / C: \ Programmer \ Yahoo! \ Common / ycsrch.htm O8 - Extra sammenhæng menupunktet: E & ksporter til Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ mikroer ~ 2 \ Office11 \ EXCEL.EXE/3000 O8 - Extra sammenhæng menupunkt: Yahoo! & Dictionary - file: / / / C: \ Programmer \ Yahoo! \ Common / ycdict.htm O8 - Extra context menu item: Yahoo! & Maps - file: / / / C: \ Programmer \ Yahoo! \ Common / ycdict.htm O9 - Extra knappen: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Programmer \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra 'Tools' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Programmer \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Ekstra knap: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ mikroer ~ 2 \ Office11 \ REFIEBAR.DLL O9 - Extra knappen: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll O9 - Extra 'Tools' MENUITEM: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll O9 - Extra knappen: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe O9 - Extra 'Tools' MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe O9 - Ekstra knap: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Programmer \ Yahoo! \ Messenger \ YahooMessenger.exe O9 - Extra 'Tools' MENUITEM: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Programmer \ Yahoo! \ Messenger \ YahooMessenger.exe O9 - Ekstra knap: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Programmer \ Messenger \ msmsgs.exe O9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Programmer \ Messenger \ msmsgs.exe O16 - DPF: (17492023-C23A-453E-A040-C7C580BBF700) (Windows Genuine Advantage Validation Tool) -- http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (YInstStarter Class) - C: \ Programmer \ Yahoo! \ Common \ yinsthelper.dll O16 - DPF: (31E68DE2-5548-4B23-88F0-C51E6A0F695E) (Microsoft PID Sniffer) -- https: / / support.microsoft.com / OAS / ActiveX / odc.cab O16 - DPF: (3E68E405-C6DE-49FF-83AE-41EE9F4C36CE) -- O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://v5.windowsupdate.microsoft.co...?1104017934731 O16 - DPF: (6E32070A-766D-4EE6-879C-DC1FA91D2FC3) (MUWebControl Class) -- http://update.microsoft.com/microsof...?1120930322252 O16 - DPF: (CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA) (Java Plug-in 1.5.0_06) -- O16 - DPF: (CE8267C2-D41A-4A50-A69D-F32B5C289F14) -- O16 - DPF: (F6ACF75C-C32C-447B-9BEF-46B766368D29) (Creative Software AutoUpdate Support Package) -- http://www.creative.com/su2/CTL_V020...5030/CTPID.cab O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu O23 - Service: Ati Genvejstast Poller - ATI Technologies Inc. - C: \ WINDOWS \ system32 \ Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C: \ WINDOWS \ SYSTEM32 \ ati2sgag.exe O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Unknown owner - C: \ WINDOWS \ system32 \ basfipm.exe (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Programmer \ Common Files \ Symantec Shared \ ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Programmer \ Common Files \ Symantec Shared \ ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.EXE O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Programmer \ Symantec AntiVirus \ DefWatch.exe O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C: \ WINDOWS \ SYSTEM32 \ IcdSptSv.exe O23 - Service: InstallDriver Tabel Manager (IDriverT) - Macrovision Corporation - C: \ Programmer \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE O23 - Service: Pml Driver HPZ12 - HP - C: \ WINDOWS \ system32 \ HPZipm12.exe O23 - Service: PnkBstrA - Unknown ejer - C: \ WINDOWS \ system32 \ PnkBstrA.exe O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Programmer \ Symantec AntiVirus \ SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Programmer \ Common Files \ Symantec Shared \ SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Programmer \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Programmer \ Symantec AntiVirus \ Rtvscan.exe -- End of file - 11.075 bytes |
|
#2
6 november 2008, 15:32
| ||||||||||||
| ||||||||||||
| HJT log Da du er nu begyndt at lære om malware, så lad mig spørge dig - tror du denne log er ren?
__________________
Mit system: Det er alle mine ...
|
|
#3
6 november 2008, 16:02
| |||
| |||
| HJT log Min aftensmad lige fået fast, vil jeg komme tilbage til dig i cirka 15 minutter min ven, når jeg spiser den, mens den er varm. |
|
#4
6 november 2008, 16:36
| |||
| |||
| HJT log Ok sorry. Ja jeg tror det er rent, men ikke fordi jeg har aner endnu ikke, hvad jeg forsøger at gøre. Jeg tror, jeg har praktiseret pretty darn god edb-sikkerhed på denne ting, siden jeg fik den. Jeg har kørt Spybot og den kommercielle version af Symantec (i modsætning til forbrugeren version eller den gratis version) på det siden jeg fik det. Jeg plejede at bruge Zone Alarm som min firewall, og de var anstændigt på det tidspunkt. Jeg tænker dog, at jeg ikke har opdateret Java i omkring 6 måneder, eller så der er en svaghed der. Jeg har også været i stand til at få opdateringer til Office skal installeres i næsten et år, og derfor andre mulige sårbarheder. Da min nye computer gik ned (lol jeg spildte nogle øl på det i dag og samtidig forsøger at få min første gjort PL) Jeg var nødt til at bruge denne her. Jeg huskede, at jeg ikke skulle bruge en computer, der ikke var rent til træning, så jeg løb HJT på denne ene. Ikke og fortæl mig venligst, noget om min proces log. Jeg er nødt til at gøre det selv, og jeg vil gøre det. Jeg vil bare være sikker på, at jeg er i overensstemmelse med Malware U's politik i en ren computer. Jeg tror måske jeg skulle have sendt det der, men jeg er kommet til at lide og tillid Evil, og i et omfang, du, (jeg har ikke læst, du så ofte som Evil). Jeg kan godt lide, du tester mig, men jeg er lige så ny i dette, at jeg ikke kan give nogen definative svar. Spørg mig i en måned lol. Og tak. EDIT: Jeg vil dog stille et spørgsmål. Da jeg gjorde det HJT på nedskudte computer, det viste kun 10-processer. Dette syntes ikke ret til mig, så jeg åbner Windows Jobliste. Sikker på, at nok var der 64 processer, der kører i henhold til denne. Hvorfor den store forskel? |
|
#5
6 november 2008, 16:48
| |||
| |||
| HJT log Bare rolig, vil jeg ikke fortælle dig noget svar. Hvis jeg gjorde det, ville det være det sted, hvor din træning? Du vil ikke lære mig at fortælle dig svar - du lærer ved at gøre fejl. Jeg gør dette klart for alle praktikanter slutte sig til Akademiet, hvor jeg underviser malware fjernelse. Jeg vil fortælle dig, at baseret på den logfil, du udstationeret, at maskinen ser ud til at være ren. Noget at huske på, selv om - HJT er et nyttigt udgangspunkt for at kigge på en pc - det betyder dog ikke, at give dig den fulde historie. Dette er noget, du vil lære over tid. Som svar på dit spørgsmål om de processer, lad os starte ved begyndelsen - hvad er HJT? Hvad gør det? Det er tid til at sove her, men jeg vil tage dette op igen i morgen. |
|
#6
6 november 2008, 17:10
| |||
| |||
| HJT log Thanks a lot bro. Jeg sætter pris på den hjælp. Det er rart at have en "udefra" ressource, at jeg kan hoppe tanker ud af uden at bekymre dig om du har givet mig svar. Hvis jeg træde over den linje, jeg kender hverken dig eller onde vil fortælle mig. EDIT: Jeg har tænkt mig at gøre dette processer fra denne computer, ikke den anden. Tother ene var for let. Jeg vidste et overblik, hvad alen af disse var. Jeg har til forskning dem ud denne ene. |
|
#7
6 november 2008, 17:42
| |||
| |||
| HJT log Det er forfriskende for mig også at have Glaswegian give sine synspunkter. Det er godt at få input fra mere end en kilde.
__________________  |
|
#8
6 november 2008, 18:58
| |||
| |||
| HJT log Så jeg vendte mit "nye" computer igen. Her er den HJT log. Se Processer selv? Det viser 10, mens min Jobliste viser 64. What's up with that? De 10, der er showinfg jeg behøver ikke at vide noget som helst at vide, hvad de er. Også jeg kender resten er ren. Logfile af Trend Micro HijackThis v2.0.2 Scan gemt på 1:19:15, om 11/6/2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Kørende processer: C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ WinPatrol.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe C: \ Program Files (x86) \ Razer \ Lachesis \ OSD.exe C: \ Programmer \ Logitech \ GamePanel Software \ LCD Manager \ Applets \ LCDMedia.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razertra.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razerofa.exe C: \ Program Files (x86) \ Mozilla Firefox \ firefox.exe C: \ Program Files (x86) \ Trend Micro \ HijackThis \ HijackThis.exe R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/ R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant = R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch = R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installerer \ CPN \ yt.dll F2 - REG: system.ini: UserInit = userinit.exe O1 - Hosts::: 1 localhost O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installerer \ CPN \ yt.dll O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files (x86) \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 2 \ Spybot ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ ssv.dll O2 - BHO: (no name) - (7DB2D5A0-7241-4E79-B68D-6309F01C5231) - (no file) O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installerer \ CPN \ yt.dll O4 - HKLM \ .. \ Run: [JMB36X IDE Setup] C: \ Windows \ RaidTool \ xInsIDE.exe O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files (x86) \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [WinPatrol] "C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ winpatrol.exe"-expressboot O4 - HKLM \ .. \ Run: [Lachesis] "C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe" O4 - HKCU \ .. \ Run: [ehTray.exe] C: \ Windows \ ehome \ ehTray.exe O4 - HKCU \ .. \ Run: [NVIDIA nTune] "C: \ Program Files (x86) \ NVIDIA Corporation \ nTune \ nTuneCmd.exe" resetprofile O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Program Files (x86) \ Windows Media Player \ WMPNSCFG.exe O4 - HKCU \ .. \ Run: [Eraser] C: \ Programmer \ Eraser \ eraser.exe-skjul O4 - HKUS \ S-1-5-19 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'LOCAL SERVICE') O4 - HKUS \ S-1-5-19 \ .. \ Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'LOCAL SERVICE') O4 - HKUS \ S-1-5-20 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'NETWORK SERVICE') O4 - HKUS \ S-1-5-18 \ .. \ Run: [DelayShred] c: \ PROGRA ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ mikroer ~ 1 \ Windows \ TEMPO R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'SYSTEM') O4 - HKUS \. DEFAULT \ .. \ Run: [DelayShred] c: \ PROGRA ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ mikroer ~ 1 \ Windows \ TEMPO R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'Default user') O8 - Extra sammenhæng menupunktet: E & ksporter til Microsoft Excel - res: / / C: \ PROGRA ~ 2 \ mikroer ~ 2 \ Office12 \ EXCEL.EXE/3000 O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ PROGRA ~ 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ PROGRA ~ 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll O9 - Ekstra knap: Send til OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 2 \ mikroer ~ 2 \ Office12 \ ONBttnIE.dll O9 - Extra 'Tools' MENUITEM: S & ende til OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 2 \ mikroer ~ 2 \ Office12 \ ONBttnIE.dll O9 - Ekstra knap: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 2 \ mikroer ~ 2 \ Office12 \ REFIEBAR.DLL O9 - Extra knappen: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 2 \ Spybot ~ 1 \ SDHelper.dll O9 - Extra 'Tools' MENUITEM: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 2 \ Spybot ~ 1 \ SDHelper.dll O10 - Ukendt fil i Winsock LSP: c: \ Windows \ system32 \ nvlsp.dll O10 - Ukendt fil i Winsock LSP: c: \ Windows \ system32 \ nvlsp.dll O10 - Ukendt fil i Winsock LSP: c: \ Windows \ system32 \ nvlsp.dll O10 - Ukendt fil i Winsock LSP: c: \ Windows \ system32 \ nvlsp.dll O10 - Ukendt fil i Winsock LSP: c: \ Windows \ system32 \ nvlsp.dll O10 - Ukendt fil i Winsock LSP: c: \ Windows \ system32 \ nvlsp.dll O10 - Ukendt fil i Winsock LSP: c: \ Windows \ system32 \ nvlsp.dll O13 - Gopher Prefix: O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab O20 - AppInit_DLLs: C: \ Windows \ SysWOW64 \ guard32.dll O23 - Service: @% SystemRoot% \ system32 \ Alg.exe, -112 (ALG) - Unknown ejer - C: \ Windows \ System32 \ alg.exe (file mangler) O23 - Service: Comodo Internet Security Helper Service (cmdAgent) - Ukendt ejer - C: \ Programmer \ Comodo \ Comodo Internet Security \ cmdagent.exe O23 - Service: @ dfsrres.dll, -101 (DFSR) - Unknown ejer - C: \ Windows \ system32 \ DFSR.exe (filen mangler) O23 - Service: @% systemroot% \ system32 \ fxsresm.dll, -118 (Fax) - Unknown ejer - C: \ Windows \ system32 \ fxssvc.exe (filen mangler) O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown ejer - C: \ Programmer \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcAppFlt. exe O23 - Service: InstallDriver Tabel Manager (IDriverT) - Macrovision Corporation - C: \ Program Files (x86) \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: @ keyiso.dll, -100 (KeyIso) - Ukendt ejer - C: \ Windows \ system32 \ Lsass.exe (filen mangler) O23 - Service: @ comres.dll, -2797 (MSDTC) - Unknown ejer - C: \ Windows \ System32 \ msdtc.exe (file mangler) O23 - Service: @% SystemRoot% \ System32 \ netlogon.dll, -102 (Netlogon) - Unknown ejer - C: \ Windows \ system32 \ Lsass.exe (filen mangler) O23 - Service: ForceWare IP service (nSvcIp) - Ukendt ejer - C: \ Programmer \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcIp.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Ukendt ejer - C: \ Windows \ system32 \ nvvsvc.exe (filen mangler) O23 - Service: PnkBstrA - Unknown ejer - C: \ Windows \ system32 \ PnkBstrA.exe O23 - Service: @% systemroot% \ system32 \ psbase.dll, -300 (ProtectedStorage) - Ukendt ejer - C: \ Windows \ system32 \ Lsass.exe (filen mangler) O23 - Service: @% systemroot% \ system32 \ Locator.exe, -2 (RpcLocator) - Ukendt ejer - C: \ Windows \ System32 \ Locator.exe (filen mangler) O23 - Service: @% SystemRoot% \ system32 \ samsrv.dll, -1 (SamSs) - Ukendt ejer - C: \ Windows \ system32 \ Lsass.exe (filen mangler) O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd - C: \ Program Files (x86) \ Spybot - Search & Destroy \ SDWinSec.exe O23 - Service: @% SystemRoot% \ system32 \ SLsvc.exe, -101 (slsvc) - Ukendt ejer - C: \ Windows \ system32 \ SLsvc.exe (file mangler) O23 - Service: @% SystemRoot% \ system32 \ snmptrap.exe, -3 (SNMPTRAP) - Ukendt ejer - C: \ Windows \ System32 \ snmptrap.exe (filen mangler) O23 - Service: @% systemroot% \ system32 \ Spoolsv.exe, -1 (Spooler) - Unknown ejer - C: \ Windows \ System32 \ Spoolsv.exe (filen mangler) O23 - Service: @% SystemRoot% \ system32 \ ui0detect.exe, -101 (UI0Detect) - Ukendt ejer - C: \ Windows \ system32 \ UI0Detect.exe (filen mangler) O23 - Service: @% SystemRoot% \ system32 \ vds.exe, -100 (VDS) - Ukendt ejer - C: \ Windows \ System32 \ vds.exe (filen mangler) O23 - Service: @% systemroot% \ system32 \ vssvc.exe, -102 (vss) - Ukendt ejer - C: \ Windows \ system32 \ vssvc.exe (file mangler) O23 - Service: @% systemroot% \ system32 \ wbengine.exe, -104 (wbengine) - Ukendt ejer - C: \ Windows \ system32 \ wbengine.exe (filen mangler) O23 - Service: @% systemroot% \ system32 \ Wbem \ wmiapsrv.exe, -110 (wmiApSrv) - Ukendt ejer - C: \ Windows \ System32 \ Wbem \ WmiApSrv.exe (filen mangler) O23 - Service: @% ProgramFiles% \ Windows Media Player \ wmpnetwk.exe, -101 (WMPNetworkSvc) - Unknown ejer - C: \ Program Files (x86) \ Windows Media Player \ wmpnetwk.exe (file mangler) -- End of file - 9203 bytes |
|
#9
7 november 2008, 12:05
| |||
| |||
| HJT log Du har ikke besvare de to spørgsmål, jeg stillede tidligere om HJT - disse svar vil hjælpe dig med at forstå, hvad du ser på i loggen. |
|
#10
7 november 2008, 13:26
| |||
| |||
| HJT log Undskyld, jeg ikke har svaret så jeg måtte slå det op og slå det ind i min hjerne. HJT er et værktøj, der anvendes til at hjælpe med at identificere malware. Den producerer en liste over specifikke indstillinger fundet på en private computer. Det scanner registreringsdatabasen og andre filer (jeg ved ikke, hvilke andre endnu, jeg lige begyndt) til llok til poster svarer til dem, spyware eller flykaprer programmer ville efterlade. Da lovlige programmer forlade undertiden lade de samme ting bag, jeg er nødt til at lære forskellen. |
