Flashback bygger pepparkakshus!
  1. Dator och IT
  2. IT-säkerhet

Hijack this log

Svara
2006-10-30, 13:52
  #1
sigge_heil
Medlem
sigge_heils avatar
Tjena!

Jag har en jävla massa bråte på en bärbar dator jag fick av svärfar, nån som vill kolla upp min hijack-this-log-logg? Fan, det är helt otroliga grejer som finns på datorn: När jag besöker sidor med ledord "antispyware", "trojan remover" etc. stängs browsern ned (firefox, ie funkar inte ens), liksom när jag besöker flashback utan att köra felsäkert läge. Nåväl, här är loggen (körd i felsäkert läge, hoppas det är ok) [på den här tråden skulle vi väl kunna fortsätta köra med hjtl-loggar till allmän granskning?] -- observera, har testat alla möjliga program innan denna åtgärd (fråga på fb-forum) tagits:

Logfile of HijackThis v1.99.1
Scan saved at 13:42:49, on 2006-10-30
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\taskmgr.exe
C:\WINNT\System32\winmsfw.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\Program\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bredbandsbolaget.se/mittkonto
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://insidan.o.lst.se/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe mguard.exe
F2 - REG:system.ini: UserInit=C:\WINNT\System32\userinit.exe,mguard.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [FTMSFLT] C:\Program\FIDMOU\WIN2K\FTMSFLT.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [mckm1.exe] C:\WINNT\Temp\mckm1.exe
O4 - HKLM\..\Run: [Bredbandsbolaget] "C:\Program\Bredbandsbolaget\Servicecenter\service center.exe"
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\System32\winIogon.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e43.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e43.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINNT\System32\firewall.exe
O4 - HKLM\..\Run: [Services] C:\sxe9.tmp
O4 - HKLM\..\Run: [SIX] SIX.exe
O4 - HKLM\..\Run: [Windows System 32] winsys_32.exe
O4 - HKLM\..\Run: [Ms Java for Windows NT] mguard.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINNT\System32\algs.exe
O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfw.exe
O4 - HKLM\..\RunServices: [SIX] SIX.exe
O4 - HKLM\..\RunServices: [Windows System 32] winsys_32.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfw.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [SIX] SIX.exe
O4 - HKCU\..\Run: [Ms Java for Windows NT] mguard.exe
O4 - HKCU\..\RunOnce: [SIX] SIX.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: InterCheck Monitor.LNK = C:\Program\Sophos SWEEP for NT\ICMON.EXE
O14 - IERESET.INF: START_PAGE_URL=http://insidan.o.lst.se/
O14 - IERESET.INF: MS_START_PAGE_URL=http://se.msn.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = o.lst.se
O20 - Winlogon Notify: AdminDebug - C:\WINNT\system32\ir8ql5l51.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iE™V‘¸7é - Unknown owner - C:\WINNT\FY˜QU‡¯4
O23 - Service: Mass Effect(TM) Xbox 360 - Unknown owner - C:\WINNT\System32\dllcache\mfxbox.exe
O23 - Service: SWEEP for Windows NT Network (SweepNet) - Sophos Plc - C:\Program\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: SWEEP for Windows NT (SWEEPSRV.SYS) - Sophos Plc - C:\Program\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: SWEEP for Windows NT Update (SweepUpdate) - Sophos Plc - C:\Program\Sophos SWEEP for NT\SWUPDATE.EXE
Citera
2006-10-30, 14:27
  #2
em krej
Medlem
em krejs avatar
Jag vet inte vad som är fel, men om du nyligen har fått datorn så kan du väll bara formatera den? Att börja städa bort den från malware kommer bli många gånger jobbigare och tidskrävande.
Citera
2006-10-30, 15:09
  #3
sigge_heil
Medlem
sigge_heils avatar
Det är en lånedator nt2000, novell , jag har inte adm-behörighet. Jag har försökt ladda ned behövliga program, men de går inte att istallera pga inkopletta setup-filer, antaglige orsakade av virusen.. Körde aaw, fick 39 objekt. S&D gick inte att installera... Mörsade runt med hjtl och tog kål på allt suspekt dock... krånglar fortfarande.

AAAAAAAAAAAAAArgh!
Citera
2006-10-30, 16:58
  #4
Z4W
Medlem
Z4Ws avatar
I felsäkert läge gör man virus undersökningar. Om man kör i Felsäkert läge så startar datorn bara de mest nödvändiga program. En HJT log talar om vilka program som körs och därför kan inte Hijackthis se någonting. Kör inte HJT i felsäkert läge.

Gör om Gör rätt.

Edit: Nu hittade jag något suspekt
Citat:
F2 - REG:system.ini: Shell=Explorer.exe mguard.exe

O4 - HKLM\..\Run: [Ms Java for Windows NT] mguard.exe


Gör så här: Tryck på start-menyn och sen Kör där ska du skriva in msconfig efter det så trycker du på autostart. Leta igenom autostart och hojta till om du ser följande


Application : MS Java for Windows NT
Location : Registry\HKU\.Default\Run
Path : mguard.exe
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in