[Bubba]

Hei Evil, lang historie kort, f'ed jeg opp min andre maskin for en liten stund og jeg bruker min gamle. Jeg bare kjørte en HJT logg på dette og ønsket å være sikker på at det var kult. Det har vært spybot'ed. Jeg er i Malware U kurs nå og gjør mitt første PL, så ikke fortell meg hva noen av prosessene er, eller jeg får sparket lol, men jeg ville vite om denne maskinen var bra.

Jeg skulle ha gjort dette før jeg gikk der på denne maskinen, men jeg glemte det. Takk.

Logfile of Trend Micro HijackThis v2.0.2
Scan lagret på 4:29:12 PM, on 11/6/2008
Plattform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Kjører prosesser:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ Lsass.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ Programfiler \ Fellesfiler \ Symantec Shared \ ccSetMgr.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ Programfiler \ Fellesfiler \ Symantec Shared \ ccEvtMgr.exe
C: \ Programfiler \ Fellesfiler \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.EXE
C: \ Programfiler \ Symantec AntiVirus \ DefWatch.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ Programfiler \ Fellesfiler \ Microsoft Shared \ VS7DEBUG \ MDM.EXE
C: \ WINDOWS \ system32 \ PnkBstrA.exe
C: \ Programfiler \ Symantec AntiVirus \ SavRoam.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ Programfiler \ Symantec AntiVirus \ Rtvscan.exe
C: \ WINDOWS \ system32 \ MsPMSPSv.exe
C: \ WINDOWS \ Explorer.exe
C: \ Programfiler \ Creative \ Shared Files \ Module Loader \ DLLML.exe
C: \ Programfiler \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe
C: \ Programfiler \ Java \ jre1.6.0_07 \ bin \ jusched.exe
C: \ WINDOWS \ system32 \ CTXFISPI.EXE
C: \ Program Files \ Cyberlink \ PowerDVD \ PDVDServ.exe
C: \ Programfiler \ Microsoft IntelliType Pro \ itype.exe
C: \ Programfiler \ Microsoft IntelliPoint \ ipoint.exe
C: \ WINDOWS \ system32 \ CTXFIHLP.EXE
C: \ WINDOWS \ CTHELPER.EXE
C: \ Programfiler \ Fellesfiler \ Symantec Shared \ ccApp.exe
C: \ Programfiler \ ATI Technologies \ ATI.ACE \ Core-Static \ MOM.exe
C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ vptray.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Programfiler \ Spybot - Search & Destroy \ TeaTimer.exe
C: \ Program Files \ Eraser \ eraser.exe
C: \ Programfiler \ Windows Media Player \ WMPNSCFG.exe
C: \ Programfiler \ Hewlett-Packard \ Digital Imaging \ bin \ hpohmr08.exe
C: \ Programfiler \ Hewlett-Packard \ Digital Imaging \ bin \ hpotdd01.exe
C: \ Programfiler \ Hewlett-Packard \ Digital Imaging \ bin \ hpoevm08.exe
C: \ WINDOWS \ system32 \ HPZipm12.exe
C: \ progra ~ 1 \ Yahoo! \ Messen ~ 1 \ ymsgr_tray.exe
C: \ Programfiler \ ATI Technologies \ ATI.ACE \ Core-Static \ ccc.exe
C: \ Programfiler \ Hewlett-Packard \ Digital Imaging \ Bin \ hpoSTS08.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Programfiler \ Mozilla Firefox \ firefox.exe
C: \ Programfiler \ Trend Micro \ HijackThis \ HijackThis.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Window Tittel = Windows Internet Explorer levert av Yahoo!
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Programfiler \ Yahoo! \ Companion \ Installerer \ cpn1 \ yt.dll
O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files \ Yahoo! \ Companion \ Installs \ cpn1 \ yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Programfiler \ Fellesfiler \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ progra ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Programfiler \ Java \ jre1.6.0_07 \ bin \ ssv.dll
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Programfiler \ Yahoo! \ Companion \ Installerer \ cpn1 \ yt.dll
O4 - HKLM \ .. \ Run: [AudioDrvEmulator] "C: \ Programfiler \ Creative \ Shared Files \ Module Loader \ DLLML.exe" -1 AudioDrvEmulator "C: \ Programfiler \ Creative \ Shared Files \ Module Loader \ Audio Emulator \ AudDrvEm.dll "
O4 - HKLM \ .. \ Run: [VolPanel] "C: \ Programfiler \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe" / r
O4 - HKLM \ .. \ Run: [UpdReg] C: \ WINDOWS \ UpdReg.EXE
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Programfiler \ Fellesfiler \ Sonic \ Update Manager \ sgtray.exe" / r
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Programfiler \ Java \ jre1.6.0_07 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ Cyberlink \ PowerDVD \ PDVDServ.exe"
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Programfiler \ QuickTime \ QTTask.exe"-atboottime
O4 - HKLM \ .. \ Run: [LiveUpdate] C: \ Program Files \ Byteswarm \ LiveUpdate \ LiveUpdate.exe
O4 - HKLM \ .. \ Run: [itype] "C: \ Programfiler \ Microsoft IntelliType Pro \ itype.exe"
O4 - HKLM \ .. \ Run: [IntelliPoint] "C: \ Programfiler \ Microsoft IntelliPoint \ ipoint.exe"
O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM \ .. \ Run: [CTHelper] CTHELPER.EXE
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Programfiler \ Fellesfiler \ Symantec Shared \ ccApp.exe"
O4 - HKLM \ .. \ Run: [BuildBU] c: \ dell \ bldbubg.exe
O4 - HKLM \ .. \ Run: [ATICustomerCare] "C: \ Programfiler \ ATI \ ATICustomerCare \ ATICustomerCare.exe"
O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Programfiler \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKLM \ .. \ Run: [StartCCC] "C: \ Programfiler \ ATI Technologies \ ATI.ACE \ Core-Static \ CLIStart.exe" MSRun
O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ \ vptray.exe
O4 - HKCU \ .. \ Run: [Creative Detector] C: \ Program Files \ Creative \ MediaSource \ Detector \ CTDetect.exe / R
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [Yahoo! Personsøker] "c: \ progra ~ 1 \ Yahoo! \ Messen ~ 1 \ YAHOOM ~ 1.EXE"-quiet
O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Programfiler \ Spybot - Search & Destroy \ TeaTimer.exe
O4 - HKCU \ .. \ Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU \ .. \ Run: [Eraser] C: \ Program Files \ Eraser \ eraser.exe-hide
O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Programfiler \ Windows Media Player \ WMPNSCFG.exe
O4 - Global Startup: HP PSC 1000 series.lnk =?
O4 - Global Startup: hpoddt01.exe.lnk =?
O8 - Extra sammenheng menyelement: & Yahoo! Søk - file: / / / C: \ Programfiler \ Yahoo! \ Common / ycsrch.htm
O8 - Extra sammenheng menyelement: E & ksporter til Microsoft Excel - res: / / c: \ progra ~ 1 \ micros ~ 2 \ Office11 \ EXCEL.EXE/3000
O8 - Extra sammenheng menyelement: Yahoo! & Ordbok - file: / / / C: \ Programfiler \ Yahoo! \ Common / ycdict.htm
O8 - Extra context menu item: Yahoo! & Maps - file: / / / C: \ Program Files \ Yahoo! \ Common / ycdict.htm
O9 - Extra knappen: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Programfiler \ Java \ jre1.6.0_07 \ bin \ ssv.dll
O9 - Extra "Verktøy" MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Programfiler \ Java \ jre1.6.0_07 \ bin \ ssv.dll
O9 - Extra knappen: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ micros ~ 2 \ Office11 \ REFIEBAR.DLL
O9 - Extra knappen: (no name) - (DFB852A3-47F8-48C4-a200-58CAB36FD2A2) - C: \ progra ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra "Verktøy" MENUITEM: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-a200-58CAB36FD2A2) - C: \ progra ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra knappen: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra "Verktøy" MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra knappen: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Programfiler \ Yahoo! \ Messenger \ YahooMessenger.exe
O9 - Extra "Verktøy" MENUITEM: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Programfiler \ Yahoo! \ Messenger \ YahooMessenger.exe
O9 - Extra knappen: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Programfiler \ Messenger \ msmsgs.exe
O9 - Extra "Verktøy" MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Programfiler \ Messenger \ msmsgs.exe
O16 - DPF: (17492023-C23A-453E-A040-C7C580BBF700) (Windows Genuine Advantage Validation Tool) -- http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (YInstStarter klasse) - C: \ Programfiler \ Yahoo! \ Common \ yinsthelper.dll
Ø16 - DPF: (31E68DE2-5548-4B23-88F0-C51E6A0F695E) (Microsoft PID Sniffer) -- https: / / support.microsoft.com / OAS / ActiveX / odc.cab
Ø16 - DPF: (3E68E405-C6DE-49FF-83AE-41EE9F4C36CE) --
O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Klassifikasjon) -- http://v5.windowsupdate.microsoft.co...?1104017934731
O16 - DPF: (6E32070A-766D-4EE6-879C-DC1FA91D2FC3) (MUWebControl klasse) -- http://update.microsoft.com/microsof...?1120930322252
O16 - DPF: (CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA) (Java Plug-in 1.5.0_06) --
Ø16 - DPF: (CE8267C2-D41A-4A50-A69D-F32B5C289F14) --
O16 - DPF: (F6ACF75C-C32C-447B-9BEF-46B766368D29) (Creative Software AutoUpdate Support Package) -- http://www.creative.com/su2/CTL_V020...5030/CTPID.cab
Ø17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu
Ø17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu
O23 - Service: ATI Hurtigtast Poller - ATI Technologies Inc. - C: \ WINDOWS \ system32 \ Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C: \ WINDOWS \ SYSTEM32 \ ati2sgag.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Unknown owner - C: \ WINDOWS \ system32 \ basfipm.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Programfiler \ Fellesfiler \ Symantec Shared \ ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Programfiler \ Fellesfiler \ Symantec Shared \ ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Programfiler \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C: \ WINDOWS \ SYSTEM32 \ IcdSptSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Programfiler \ Fellesfiler \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - c: \ progra ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Service: Pml Driver HPZ12 - HP - C: \ WINDOWS \ system32 \ HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C: \ WINDOWS \ system32 \ PnkBstrA.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Programfiler \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Programfiler \ Fellesfiler \ Symantec Shared \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Programfiler \ Fellesfiler \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Programfiler \ Symantec AntiVirus \ Rtvscan.exe

--
End of file - 11075 bytes

[Glaswegian]

Siden du nå begynner å lære om malware, la meg spørre deg - tror du denne loggen er ren?

[Bubba]

Min supper akkurat fast, vil jeg komme tilbake til deg i ca 15 minutter vennen min etter at jeg spiser den mens den er varm.

[Bubba]

Ok sorry. Ja jeg tror det er rent, men ikke fordi jeg har en anelse ennå på hva jeg prøver å gjøre. Jeg tror jeg har praktisert pen darn good datasikkerhet på denne saken siden jeg fikk den. Jeg har kjørt Spybot og den kommersielle versjonen av Symantec (i motsetning til forbrukeren versjonen eller den gratis versjonen) på den siden jeg fikk den. Jeg pleide å bruke Zone Alarm som en brannmur mine og de var anstendig på den tiden.

Jeg tenker selv at jeg ikke har oppdatert Java i ca 6 måneder eller så det er et sikkerhetsproblem der. Jeg har også vært i stand til å få kontoret oppdateringer som skal installeres i nesten ett år, og dermed andre mulige sårbarheter. Når den nye maskinen gikk ned (lol jeg sølte øl på den i dag mens han prøver å få min første PL gjort) jeg måtte bruke denne. Jeg husket at jeg ikke var ment å bruke en datamaskin som ikke var rent for trening så jeg kjørte HJT på denne.

Ikke fortell meg behage, noe om min prosess logg. Jeg må gjøre det selv og jeg vil gjøre det. Jeg vil bare være sikker på at jeg er i samsvar med Malware U politikk på en ren maskin. Jeg tror kanskje jeg burde ha postet dette der, men jeg har kommet til å like og tillit Evil, og i et omfang deg, (jeg ikke har lest deg så ofte som Evil). Jeg liker det faktum du skal teste meg, men jeg er bare så ny på dette at jeg ikke kan gi noen definative svar. Spør meg om en måned lol. Og takk.

EDIT: Jeg vil imidlertid stille et spørsmål. Når jeg gjorde det HJT på datamaskinen tømte den bare viste 10-prosesser. Det syntes ikke rett til meg, så jeg åpnet opp Windows Oppgavebehandling. Riktig nok var det 64 prosesser som kjører i henhold til det. Hvorfor den store forskjellen?

[Glaswegian]

Ikke bekymre deg, vil jeg ikke fortelle deg noen av svarene. Hvis jeg gjorde det, ville det være poenget med treningen din? Du vil ikke lære meg fortelle deg svar - du lærer ved å gjøre feil. Jeg gjør dette klart for alle traineene bli med i Academy hvor jeg underviser malware flytting.

Jeg vil fortelle deg at, basert på loggen du postet at maskinen ser ut til å være ren. Noe å huske på selv - HJT er et nyttig utgangspunkt for å se på en PC - den imidlertid ikke, gir deg hele historien. Dette er noe du lærer over tid.

Som svar på spørsmålet ditt om prosessene, la oss begynne med begynnelsen - hva er egentlig HJT? Hva gjør den?

Det er tid for seng her, men jeg vil plukke opp dette igjen i morgen.

[Bubba]

Takk en meget bro. Jeg setter pris på hjelp. Det er fint å ha en "utenfor" ressurs som jeg kan sprette tanker ut av uten å bekymre dere gi meg svar. Hvis jeg steg over streken vet jeg enten du eller Evil vil fortelle meg.

EDIT: Jeg kommer til å gjøre dette prosesser fra denne datamaskinen, og ikke den andre. Tother ene var altfor lett. Jeg visste Et blikk på hva alen av disse var. Jeg må se nærmere på de av denne.

[evilfantasy]

Det er forfriskende for meg også å ha Glaswegian gi sine synspunkter. Det er godt å få innspill fra mer enn én kilde.

[Bubba]

Så jeg snudde meg "ny" maskin igjen. Her er HJT loggen. Se Prosesser skjønt? Den viser 10 mens min oppgave bestyrer viser 64. Hva skjer med det? De 10 som er showinfg jeg trenger ikke å vite noe for å vite hva de er. Også vet jeg at resten er ren.

Logfile of Trend Micro HijackThis v2.0.2
Scan lagret på 1:19:15 PM, on 11/6/2008
Plattform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Kjører prosesser:
C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe
C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe
C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ WinPatrol.exe
C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe
C: \ Program Files (x86) \ Razer \ Lachesis \ OSD.exe
C: \ Programfiler \ Logitech \ GamePanel Software \ LCD Manager \ Applets \ LCDMedia.exe
C: \ Program Files (x86) \ Razer \ Lachesis \ razertra.exe
C: \ Program Files (x86) \ Razer \ Lachesis \ razerofa.exe
C: \ Program Files (x86) \ Mozilla Firefox \ firefox.exe
C: \ Program Files (x86) \ Trend Micro \ HijackThis \ HijackThis.exe

R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant =
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installerer \ cpn \ yt.dll
F2 - REG: system.ini: UserInit = userinit.exe
O1 - Hosts::: 1 localhost
O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installerer \ cpn \ yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files (x86) \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - c: \ progra ~ 2 \ Spybot ~ 1 \ SDHelper.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ ssv.dll
O2 - BHO: (no name) - (7DB2D5A0-7241-4E79-B68D-6309F01C5231) - (no file)
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installerer \ cpn \ yt.dll
O4 - HKLM \ .. \ Run: [JMB36X IDE Setup] C: \ Windows \ RaidTool \ xInsIDE.exe
O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files (x86) \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [WinPatrol] "C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ winpatrol.exe"-expressboot
O4 - HKLM \ .. \ Run: [Lachesis] "C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe"
O4 - HKCU \ .. \ Run: [ehTray.exe] C: \ Windows \ ehome \ ehTray.exe
O4 - HKCU \ .. \ Run: [NVIDIA nTune] "C: \ Program Files (x86) \ NVIDIA Corporation \ nTune \ nTuneCmd.exe" resetprofile
O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe
O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Program Files (x86) \ Windows Media Player \ WMPNSCFG.exe
O4 - HKCU \ .. \ Run: [Eraser] C: \ Program Files \ Eraser \ eraser.exe-hide
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [DelayShred] c: \ progra ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ micros ~ 1 \ Windows \ Tempo R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [DelayShred] c: \ progra ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ micros ~ 1 \ Windows \ Tempo R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'Default user')
O8 - Extra sammenheng menyelement: E & ksporter til Microsoft Excel - res: / / c: \ progra ~ 2 \ micros ~ 2 \ Office12 \ EXCEL.EXE/3000
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ PROGRA ~ 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll
O9 - Extra 'Tools' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ PROGRA ~ 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll
O9 - Extra knappen: Send til OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - c: \ progra ~ 2 \ micros ~ 2 \ Office12 \ ONBttnIE.dll
O9 - Extra "Verktøy" MENUITEM: S & end til OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - c: \ progra ~ 2 \ micros ~ 2 \ Office12 \ ONBttnIE.dll
O9 - Extra knappen: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - c: \ progra ~ 2 \ micros ~ 2 \ Office12 \ REFIEBAR.DLL
O9 - Extra knappen: (no name) - (DFB852A3-47F8-48C4-a200-58CAB36FD2A2) - c: \ progra ~ 2 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra "Verktøy" MENUITEM: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-a200-58CAB36FD2A2) - c: \ progra ~ 2 \ Spybot ~ 1 \ SDHelper.dll
O10 - Unknown fil i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll
O10 - Unknown fil i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll
O10 - Unknown fil i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll
O10 - Unknown fil i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll
O10 - Unknown fil i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll
O10 - Unknown fil i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll
O10 - Unknown fil i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll
O13 - Gopher Prefix:
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - AppInit_DLLs: C: \ Windows \ SysWOW64 \ guard32.dll
O23 - Service: @% SystemRoot% \ system32 \ Alg.exe, -112 (alg) - Unknown owner - C: \ Windows \ System32 \ alg.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C: \ Programfiler \ COMODO \ COMODO Internet Security \ cmdagent.exe
O23 - Service: @ dfsrres.dll, -101 (DFSR) - Unknown owner - C: \ Windows \ system32 \ DFSR.exe (fil mangler)
O23 - Service: @% systemroot% \ system32 \ fxsresm.dll, -118 (Fax) - Unknown owner - C: \ Windows \ system32 \ fxssvc.exe (fil mangler)
O23 - Service: ForceWare Intelligent Application Manager (engasjert) - Unknown owner - C: \ Programfiler \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcAppFlt. exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files (x86) \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: @ keyiso.dll, -100 (KeyIso) - Unknown owner - C: \ Windows \ system32 \ Lsass.exe (fil mangler)
O23 - Service: @ comres.dll, -2797 (MSDTC) - Unknown owner - C: \ Windows \ System32 \ msdtc.exe (fil mangler)
O23 - Service: @% SystemRoot% \ System32 \ Netlogon.dll, -102 (Netlogon) - Unknown owner - C: \ Windows \ system32 \ Lsass.exe (fil mangler)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C: \ Programfiler \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C: \ Windows \ system32 \ nvvsvc.exe (fil mangler)
O23 - Service: PnkBstrA - Unknown owner - C: \ Windows \ system32 \ PnkBstrA.exe
O23 - Service: @% systemroot% \ system32 \ psbase.dll, -300 (ProtectedStorage) - Unknown owner - C: \ Windows \ system32 \ Lsass.exe (fil mangler)
O23 - Service: @% systemroot% \ system32 \ Locator.exe, -2 (RpcLocator) - Unknown owner - C: \ Windows \ system32 \ Locator.exe (fil mangler)
O23 - Service: @% SystemRoot% \ system32 \ samsrv.dll, -1 (SamSs) - Unknown owner - C: \ Windows \ system32 \ Lsass.exe (fil mangler)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Sikrere Nettverk Ltd - C: \ Program Files (x86) \ Spybot - Search & Destroy \ SDWinSec.exe
O23 - Service: @% SystemRoot% \ system32 \ SLsvc.exe, -101 (slsvc) - Unknown owner - C: \ Windows \ system32 \ SLsvc.exe (fil mangler)
O23 - Service: @% SystemRoot% \ system32 \ snmptrap.exe, -3 (SNMPTRAP) - Unknown owner - C: \ Windows \ System32 \ snmptrap.exe (fil mangler)
O23 - Service: @% systemroot% \ system32 \ Spoolsv.exe, -1 (Spooler) - Unknown owner - C: \ Windows \ System32 \ Spoolsv.exe (fil mangler)
O23 - Service: @% SystemRoot% \ system32 \ ui0detect.exe, -101 (UI0Detect) - Unknown owner - C: \ Windows \ system32 \ UI0Detect.exe (fil mangler)
O23 - Service: @% SystemRoot% \ system32 \ vds.exe, -100 (vds) - Unknown owner - C: \ Windows \ System32 \ vds.exe (fil mangler)
O23 - Service: @% systemroot% \ system32 \ vssvc.exe, -102 (VSS) - Unknown owner - C: \ Windows \ system32 \ vssvc.exe (fil mangler)
O23 - Service: @% systemroot% \ system32 \ wbengine.exe, -104 (wbengine) - Unknown owner - C: \ Windows \ system32 \ wbengine.exe (fil mangler)
O23 - Service: @% systemroot% \ system32 \ wbem \ wmiapsrv.exe, -110 (wmiApSrv) - Unknown owner - C: \ Windows \ system32 \ wbem \ WmiApSrv.exe (fil mangler)
O23 - Service: @% ProgramFiles% \ Windows Media Player \ wmpnetwk.exe, -101 (WMPNetworkSvc) - Unknown owner - C: \ Program Files (x86) \ Windows Media Player \ wmpnetwk.exe (fil mangler)

--
End of file - 9203 bytes

[Glaswegian]

Du gjorde ikke svare på to spørsmål jeg spurte tidligere om HJT - disse svarene vil hjelpe deg å forstå hva du ser på i loggen.

[Bubba]

Beklager, jeg har ikke svaret da, jeg måtte slå det opp og slå den i hodet mitt.

HJT er et verktøy som brukes til å identifisere malware. Den produserer en liste over innstillinger funnet på en individer datamaskin. Den skanner registeret og andre filer (jeg vet ikke hvilke andre ennå, jeg bare begynte) å llok for oppføringer som ligner spionprogrammer eller hijacker programmer ville forlate. Siden legitime programmer lar noen ganger lar de samme tingene bak, må jeg lære forskjellen.