|
|
#1
6 november 2008, 14:34
| |||
| |||
 HJT log Hej Evil, lång historia kort, f'ed jag upp min andra dator en stund och jag använder mitt gamla. Jag sprang bara en HJT log om detta och ville vara säker på att det var coolt. It's been spybot'ed. I'm in the Malware U kurs nu och gör min första PL, så säg inte vad någon av de processer eller får jag sparkat lol, men jag ville veta om denna dator var bra. Jag borde ha gjort detta innan jag åkte dit på denna maskin, men jag glömde. Tack. Loggfil av Trend Micro HijackThis v2.0.2 Scan saved at 4:29:12, den 11/6/2008 Plattform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Kör processer: C: \ WINDOWS \ System32 \ Smss.exe C: \ WINDOWS \ system32 \ Winlogon.exe C: \ WINDOWS \ system32 \ services.exe C: \ WINDOWS \ system32 \ Lsass.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ WINDOWS \ System32 \ Svchost.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe C: \ WINDOWS \ system32 \ Spoolsv.exe C: \ WINDOWS \ system32 \ CTsvcCDA.EXE C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe C: \ WINDOWS \ System32 \ Svchost.exe C: \ Program \ Delade filer \ Microsoft Shared \ VS7DEBUG \ MDM.EXE C: \ WINDOWS \ system32 \ PnkBstrA.exe C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe C: \ WINDOWS \ system32 \ MsPMSPSv.exe C: \ WINDOWS \ Explorer.EXE C: \ Program \ Creative \ Shared Files \ Module Loader \ DLLML.exe C: \ Program \ Creative \ Sound Blaster X-Fi \ Volym Panel \ VolPanlu.exe C: \ Program \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ WINDOWS \ system32 \ CTXFISPI.EXE C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe C: \ Program \ Microsoft IntelliType Pro \ itype.exe C: \ Program \ Microsoft IntelliPoint \ ipoint.exe C: \ WINDOWS \ system32 \ CTXFIHLP.EXE C: \ WINDOWS \ CTHELPER.EXE C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ MOM.exe C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ vptray.exe C: \ WINDOWS \ system32 \ Ctfmon.exe C: \ Program Files \ Spybot - Search & Destroy \ TeaTimer.exe C: \ Program Files \ Eraser \ eraser.exe C: \ Program Files \ Windows Media Player \ WMPNSCFG.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ bin \ hpohmr08.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ bin \ hpotdd01.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ bin \ hpoevm08.exe C: \ WINDOWS \ system32 \ HPZipm12.exe C: \ progra ~ 1 \ Yahoo! \ Messen ~ 1 \ ymsgr_tray.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ ccc.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ bin \ hpoSTS08.exe C: \ WINDOWS \ system32 \ wuauclt.exe C: \ Program \ Mozilla Firefox \ firefox.exe C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Window Titel = Windows Internet Explorer som Yahoo! R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program \ Yahoo! \ Companion \ installs \ cpn1 \ yt.dll O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files \ Yahoo! \ Companion \ Installs \ cpn1 \ yt.dll O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ progra ~ 1 \ Spybot ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program \ Java \ jre1.6.0_07 \ bin \ ssv.dll O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program \ Yahoo! \ Companion \ installs \ cpn1 \ yt.dll O4 - HKLM \ .. \ Run: [AudioDrvEmulator] "C: \ Program \ Creative \ Shared Files \ Module Loader \ DLLML.exe" -1 AudioDrvEmulator "C: \ Program \ Creative \ Shared Files \ Module Loader \ Audio Emulator \ AudDrvEm.dll " O4 - HKLM \ .. \ Run: [VolPanel] "C: \ Program \ Creative \ Sound Blaster X-Fi \ Volym Panel \ VolPanlu.exe" / r O4 - HKLM \ .. \ Run: [UpdReg] C: \ WINDOWS \ UpdReg.EXE O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" / r O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program \ QuickTime \ QTTask.exe"-atboottime O4 - HKLM \ .. \ Run: [LiveUpdate] C: \ Program Files \ Byteswarm \ LiveUpdate \ LiveUpdate.exe O4 - HKLM \ .. \ Run: [itype] "C: \ Program \ Microsoft IntelliType Pro \ itype.exe" O4 - HKLM \ .. \ Run: [IntelliPoint] "C: \ Program \ Microsoft IntelliPoint \ ipoint.exe" O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe O4 - HKLM \ .. \ Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM \ .. \ Run: [CTHelper] CTHELPER.EXE O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" O4 - HKLM \ .. \ Run: [BuildBU] C: \ dell \ bldbubg.exe O4 - HKLM \ .. \ Run: [ATICustomerCare] "C: \ Program Files \ ATI \ ATICustomerCare \ ATICustomerCare.exe" O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" O4 - HKLM \ .. \ Run: [StartCCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ CLIStart.exe" MSRun O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ \ vptray.exe O4 - HKLM \ .. \ Run: [Creative Detector] C: \ Program Files \ Creative \ MediaSource \ Detector \ CTDetect.exe / R O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ progra ~ 1 \ Yahoo! \ Messen ~ 1 \ YAHOOM ~ 1.EXE"-quiet O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files \ Spybot - Search & Destroy \ TeaTimer.exe O4 - HKCU \ .. \ Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKCU \ .. \ Run: [Eraser] C: \ Program \ Eraser \ eraser.exe-gömma O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Program Files \ Windows Media Player \ WMPNSCFG.exe O4 - Global Startup: HP PSC 1000 series.lnk =? O4 - Global Startup: hpoddt01.exe.lnk =? O8 - Extra sammanhang menyobjektet: & Yahoo! Search - file: / / / C: \ Program \ Yahoo! \ Gemensamma / ycsrch.htm O8 - Extra sammanhang menyobjektet: E & xportera till Microsoft Excel - res: / / C: \ progra ~ 1 \ mikro ~ 2 \ Office11 \ EXCEL.EXE/3000 O8 - Extra sammanhang menyobjektet: Yahoo! & Dictionary - file: / / / C: \ Program \ Yahoo! \ Gemensamma / ycdict.htm O8 - Extra context menu item: Yahoo! & Maps - file: / / / C: \ Program Files \ Yahoo! \ Common / ycdict.htm Ø9 - Extra button: (inget namn) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program \ Java \ jre1.6.0_07 \ bin \ ssv.dll Ø9 - Extra 'Tools' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program \ Java \ jre1.6.0_07 \ bin \ ssv.dll Ø9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ mikro ~ 2 \ Office11 \ REFIEBAR.DLL Ø9 - Extra button: (inget namn) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 1 \ Spybot ~ 1 \ SDHelper.dll Ø9 - Extra 'Tools' MENUITEM: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 1 \ Spybot ~ 1 \ SDHelper.dll Ø9 - Extra button: (inget namn) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe Ø9 - Extra 'Tools' MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe Ø9 - Extra button: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Program \ Yahoo! \ Messenger \ YahooMessenger.exe Ø9 - Extra 'Tools' MENUITEM: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Program \ Yahoo! \ Messenger \ YahooMessenger.exe Ø9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe Ø9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O16 - DPF: (17492023-C23A-453E-A040-C7C580BBF700) (Windows Genuine Advantage Validation Tool) -- http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (YInstStarter Class) - C: \ Program \ Yahoo! \ Common \ yinsthelper.dll O16 - DPF: (31E68DE2-5548-4B23-88F0-C51E6A0F695E) (Microsoft PID Sniffer) -- https: / / support.microsoft.com / OAS / ActiveX / odc.cab O16 - DPF: (3E68E405-C6DE-49FF-83AE-41EE9F4C36CE) -- O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://v5.windowsupdate.microsoft.co...?1104017934731 O16 - DPF: (6E32070A-766D-4EE6-879C-DC1FA91D2FC3) (MUWebControl Class) -- http://update.microsoft.com/microsof...?1120930322252 O16 - DPF: (CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA) (Java Plug-in 1.5.0_06) -- O16 - DPF: (CE8267C2-D41A-4A50-A69D-F32B5C289F14) -- O16 - DPF: (F6ACF75C-C32C-447B-9BEF-46B766368D29) (Creative Software AutoUpdate Support Package) -- http://www.creative.com/su2/CTL_V020...5030/CTPID.cab O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu O23 - Service: Ati snabbtangent Poller - ATI Technologies Inc. - C: \ WINDOWS \ system32 \ Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C: \ WINDOWS \ system32 \ ati2sgag.exe O23 - Service: Broadcom ASF IP-tjänst för övervakning v6.0.4 (BAsfIpM) - Unknown owner - C: \ WINDOWS \ system32 \ basfipm.exe (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.EXE O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe O23 - Service: Sony SPTI Service för DVE (ICDSPTSV) - Sony Corporation - C: \ WINDOWS \ system32 \ IcdSptSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C: \ progra ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE O23 - Service: PML Driver HPZ12 - HP - C: \ WINDOWS \ system32 \ HPZipm12.exe O23 - Service: PnkBstrA - Unknown ägaren - C: \ WINDOWS \ system32 \ PnkBstrA.exe O23 - Service: SAVRoam (SavRoam) - symantec - C: \ Program \ Symantec AntiVirus \ SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe -- End of file - 11075 bytes |
|
#2
6 november 2008, 15:32
| ||||||||||||
| ||||||||||||
| HJT log Eftersom du nu börjar att lära sig om skadlig kod, låt mig fråga dig - tror du att den här loggen är ren?
__________________
Mitt System: It's all mine ...
|
|
#3
6 november 2008, 16:02
| |||
| |||
| HJT log Min kvällsmat mig fast, kommer jag tillbaka till dig i ca 15 minuter min vän när jag äter det medan det är varmt. |
|
#4
6 november 2008, 16:36
| |||
| |||
| HJT log Ok sorry. Ja jag tycker det är ren men inte för att jag har en aning än om vad jag försöker göra. Jag tror att jag har utövat ganska darn god datasäkerhet på det här sedan jag fick det. Jag har kört Spybot och den kommersiella versionen av Symantec (i motsats till konsumenten versionen eller den fria versionen) på det eftersom jag fick den. Jag brukade som min brandvägg använder Zone Alarm och de var anständiga vid den tidpunkten. Jag tänker dock att jag inte har uppdaterat Java i ca 6 månader så det finns en sårbarhet där. Jag har också kunnat få Office-uppdateringar att installera för nästan ett år, vilket innebär att andra möjliga sårbarheter. När min nya dator gick ner (lol jag spillde lite öl på det idag när jag försökte få mitt första PL gjort) Jag var tvungen att använda den här en. Jag mindes att jag skulle inte använda en dator som inte var ren under utbildning så jag sprang HJT på den här. Don't tell me please, inget om min process logg. Jag måste göra det själv och jag kommer att göra det. Jag vill bara vara säker på att jag är i överensstämmelse med Malware U: s politik för en ren dator. Jag antar att jag kanske borde ha postat detta finns, men jag har kommit att tycka om och förtroende Evil, och i en omfattning dig, (jag har inte läst dig så ofta som Evil). Jag gillar det faktum att du testar mig, men jag är så ny på detta som jag inte kan ge några definative svar. Fråga mig om en månad lol. Och tack. EDIT: Jag kommer dock att ställa en fråga. När jag gjorde HJT på nedskjutna datorn det bara visade 10 processer. Som inte verkade rätt för mig så jag öppnade upp Aktivitetshanteraren. Visst nog fanns det 64 processer som körs enligt detta. Varför den stora skillnaden? |
|
#5
6 november 2008, 16:48
| |||
| |||
| HJT log Oroa er inte, kommer jag inte berätta något svar. Om jag gjorde det, vad skulle det tjäna till att din träning? Du kommer inte lära mig med att jag säger dig svar - du lär genom att göra misstag. Jag gör detta klart för alla praktikanter som förbinder Akademin där jag undervisar Malware Removal. Jag kommer att berätta för er att, baserat på loggen du postat, att maskinen verkar vara rena. Något att tänka om - HJT är en bra startpunkt för att titta på en dator - det gör dock inte ge dig hela historien. Detta är något du lär dig med tiden. Som svar på din fråga om processer, låt oss starta från början - vad exakt är HJT? Vad gör den? Det är dags för sängen här, men jag ska ta upp detta igen i morgon. |
|
#6
6 november 2008, 17:10
| |||
| |||
| HJT log Thanks a lot bro. Jag uppskattar hjälp. Det är trevligt att ha en "utanför" resurs att jag kan studsa tankar bort utan att oroa dig för att du ger mig svar. Om jag steg över linjen jag vet varken du eller onda kommer berätta. EDIT: Jag ska göra detta processer från den här datorn, inte den andre. Tother en var för lätt. Jag kände en överblick vad alen av dessa var. Jag har till forskning dem utanför denna. |
|
#7
6 november 2008, 17:42
| |||
| |||
| HJT log Det är uppfriskande för mig också ha Glasgowbornas yttra sig. Det är bra att få synpunkter från mer än en källa.
__________________  |
|
#8
6 november 2008, 18:58
| |||
| |||
| HJT log Så jag vände mitt "nya" dator igen. Här är HJT log. Se Processer om? Det visar 10 när min arbetsuppgift direktör visar 64. What's up with that? De 10 som showinfg jag inte behöver veta något för att veta vad de är. Också jag vet resten är ren. Loggfil av Trend Micro HijackThis v2.0.2 Scan saved at 1:19:15, den 11/6/2008 Plattform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Kör processer: C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ WinPatrol.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe C: \ Program Files (x86) \ Razer \ Lachesis \ OSD.exe C: \ Program Files \ Logitech \ GamePanel Software \ LCD Manager \ Applets \ LCDMedia.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razertra.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razerofa.exe C: \ Program Files (x86) \ Mozilla Firefox \ firefox.exe C: \ Program Files (x86) \ Trend Micro \ HijackThis \ HijackThis.exe R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/ R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant = R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch = R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ installs \ CPN \ yt.dll F2 - REG: system.ini: UserInit = userinit.exe O1 - Hosts::: 1 localhost O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files (x86) \ Yahoo! \ Companion \ installs \ CPN \ yt.dll O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files (x86) \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ progra ~ 2 \ Spybot ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ ssv.dll O2 - BHO: (inget namn) - (7DB2D5A0-7241-4E79-B68D-6309F01C5231) - (no file) O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ installs \ CPN \ yt.dll O4 - HKLM \ .. \ Run: [JMB36X IDE Setup] C: \ Windows \ RaidTool \ xInsIDE.exe O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files (x86) \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [WinPatrol] "C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ winpatrol.exe"-expressboot O4 - HKLM \ .. \ Run: [Lachesis] "C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe" O4 - HKCU \ .. \ Run: [ehTray.exe] C: \ Windows \ ehome \ ehTray.exe O4 - HKCU \ .. \ Run: [NVIDIA nTune] "C: \ Program Files (x86) \ NVIDIA Corporation \ nTune \ nTuneCmd.exe" resetprofile O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Program Files (x86) \ Windows Media Player \ WMPNSCFG.exe O4 - HKCU \ .. \ Run: [Eraser] C: \ Program \ Eraser \ eraser.exe-gömma O4 - HKUS \ S-1-5-19 \ .. \ Run: [Sidebar]% program% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'LOCAL SERVICE') O4 - HKUS \ S-1-5-19 \ .. \ Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'LOCAL SERVICE') O4 - HKUS \ S-1-5-20 \ .. \ Run: [Sidebar]% program% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'NETWORK SERVICE') O4 - HKUS \ S-1-5-18 \ .. \ Run: [DelayShred] c: \ progra ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ mikro ~ 1 \ Windows \ TEMPO R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User "SYSTEM") O4 - HKUS \. DEFAULT \ .. \ Run: [DelayShred] c: \ progra ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ mikro ~ 1 \ Windows \ TEMPO R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'Default user') O8 - Extra sammanhang menyobjektet: E & xportera till Microsoft Excel - res: / / C: \ progra ~ 2 \ mikro ~ 2 \ Office12 \ EXCEL.EXE/3000 O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program ~ 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll O9 - Extra 'Tools' menuitem: Sun Java-konsol - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program ~ 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll Ø9 - Extra button: Skicka till OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ progra ~ 2 \ mikro ~ 2 \ Office12 \ ONBttnIE.dll Ø9 - Extra 'Tools' MENUITEM: S & stopp för OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ progra ~ 2 \ mikro ~ 2 \ Office12 \ ONBttnIE.dll Ø9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 2 \ mikro ~ 2 \ Office12 \ REFIEBAR.DLL Ø9 - Extra button: (inget namn) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 2 \ Spybot ~ 1 \ SDHelper.dll Ø9 - Extra 'Tools' MENUITEM: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 2 \ Spybot ~ 1 \ SDHelper.dll O10 - Unknown file i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Unknown file i Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O13 - Gopher Prefix: O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab O20 - AppInit_DLLs: C: \ Windows \ SysWOW64 \ guard32.dll O23 - Service: @% SystemRoot% \ system32 \ Alg.exe, -112 (ALG) - Unknown ägaren - C: \ Windows \ System32 \ alg.exe (-fil saknas) O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown ägaren - C: \ Program Files \ COMODO \ COMODO Internet Security \ cmdagent.exe O23 - Service: @ dfsrres.dll, -101 (DFSR) - Unknown ägaren - C: \ Windows \ system32 \ DFSR.exe (fil saknas) O23 - Service: @% systemroot% \ system32 \ fxsresm.dll, -118 (Fax) - Unknown ägaren - C: \ Windows \ system32 \ fxssvc.exe (fil saknas) O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown ägaren - C: \ Program \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcAppFlt. exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files (x86) \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: @ keyiso.dll, -100 (KeyIso) - Unknown ägaren - C: \ Windows \ system32 \ Lsass.exe (fil saknas) O23 - Service: @ comres.dll, -2797 (MSDTC) - Unknown ägaren - C: \ Windows \ System32 \ msdtc.exe (fil saknas) O23 - Service: @% SystemRoot% \ System32 \ netlogon.dll, -102 (Netlogon) - Unknown ägaren - C: \ Windows \ system32 \ Lsass.exe (fil saknas) O23 - Service: ForceWare IP service (nSvcIp) - Unknown ägaren - C: \ Program \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcIp.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown ägaren - C: \ Windows \ system32 \ nvvsvc.exe (fil saknas) O23 - Service: PnkBstrA - Unknown ägaren - C: \ Windows \ system32 \ PnkBstrA.exe O23 - Service: @% systemroot% \ system32 \ psbase.dll, -300 (ProtectedStorage) - Unknown ägaren - C: \ Windows \ system32 \ Lsass.exe (fil saknas) O23 - Service: @% systemroot% \ system32 \ Locator.exe, -2 (RpcLocator) - Unknown ägaren - C: \ Windows \ System32 \ Locator.exe (fil saknas) O23 - Service: @% SystemRoot% \ system32 \ samsrv.dll, -1 (SamSs) - Unknown ägaren - C: \ Windows \ system32 \ Lsass.exe (fil saknas) O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd - C: \ Program Files (x86) \ Spybot - Search & Destroy \ SDWinSec.exe O23 - Service: @% SystemRoot% \ system32 \ SLsvc.exe, -101 (slsvc) - Unknown ägaren - C: \ Windows \ system32 \ SLsvc.exe (fil saknas) O23 - Service: @% SystemRoot% \ system32 \ snmptrap.exe, -3 (SNMPTRAP) - Unknown ägaren - C: \ Windows \ System32 \ snmptrap.exe (fil saknas) O23 - Service: @% systemroot% \ system32 \ Spoolsv.exe, -1 (Spooler) - Unknown ägaren - C: \ Windows \ System32 \ Spoolsv.exe (fil saknas) O23 - Service: @% SystemRoot% \ system32 \ ui0detect.exe, -101 (UI0Detect) - Unknown ägaren - C: \ Windows \ system32 \ UI0Detect.exe (fil saknas) O23 - Service: @% SystemRoot% \ system32 \ vds.exe, -100 (VDS) - Unknown ägaren - C: \ Windows \ System32 \ vds.exe (fil saknas) O23 - Service: @% systemroot% \ system32 \ vssvc.exe, -102 (VSS) - Unknown ägaren - C: \ Windows \ system32 \ vssvc.exe (fil saknas) O23 - Service: @% systemroot% \ system32 \ wbengine.exe, -104 (wbengine) - Unknown ägaren - C: \ Windows \ system32 \ wbengine.exe (fil saknas) O23 - Service: @% systemroot% \ system32 \ wbem \ wmiapsrv.exe, -110 (wmiApSrv) - Unknown ägaren - C: \ Windows \ system32 \ wbem \ WmiApSrv.exe (fil saknas) O23 - Service: @% program% \ Windows Media Player \ wmpnetwk.exe, -101 (WMPNetworkSvc) - Unknown ägaren - C: \ Program Files (x86) \ Windows Media Player \ wmpnetwk.exe (fil saknas) -- End of file - 9203 bytes |
|
#9
7 november 2008, 12:05
| |||
| |||
| HJT log Du svarade inte på de två frågor jag ställde tidigare om HJT - dessa svar hjälper dig att förstå vad du tittar på i loggen. |
|
#10
7 november 2008, 13:26
| |||
| |||
| HJT log Tyvärr hade jag inte har svaret då var jag tvungen att titta upp och slå den i min hjärna. HJT är ett verktyg som används för att identifiera skadlig kod. Det ger en lista på specifika inställningar som finns på en individs dator. Den skannar registret och andra filer (jag vet inte vilka andra än, började jag bara) till llok för poster som liknar dem spionprogram eller kapare program skulle lämna bakom sig. Eftersom legitima program lämnar ibland lämnar samma saker bakom, måste jag lära skillnaden. |
