Flashback bygger pepparkakshus!
  1. Dator och IT
  2. IT-säkerhet

hijackthis log!

Svara
2006-12-18, 10:01
  #1
XtreoN
Medlem
Logfile of HijackThis v1.99.1
Scan saved at 09:55:09, on 2006-12-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\svchost.exe
c:\Trend Micro\OfficeScan Client\tmlisten.exe
c:\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\LO35C6.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ISHOST.EXE
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ismini.exe
C:\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program\Java\jre1.5.0_09\bin\jusched.exe
C:\Program\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\nosign.exe
C:\Program\MSN Messenger\msnmsgr.exe
C:\Program\Samurize\Client.exe
c:\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\Documents and Settings\ap008\Mina dokument\Mina mottagna filer\virus.exe
C:\WINDOWS\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mobergsgymnasiet.se/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\system32\otvuiddo.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program\DELADE~1\{389C1~1\Bar888.dll
O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: (no name) - {FC377E64-5591-4D0B-8BB7-33D0BED09CF6} - C:\WINDOWS\system32\jkkji.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program\DELADE~1\{389C1~1\Bar888.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "c:\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [track monitor] C:\Program\MSN Track Monitor\msntrack.exe
O4 - HKLM\..\Run: [Nosign_TRUST] nosign TRUST
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvlic.dll,startup
O4 - HKLM\..\Run: [Nfo] C:\WINDOWS\system32\nfomon\nfomon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Client Default.lnk = C:\Program\Samurize\Client.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Program\Poker.com\Poker.exe (HKCU)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://172.20.1.11:8080/officescan/c...l/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://172.20.1.11:8080/officescan/c...l/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://172.20.1.11:8080/officescan/c...tall/setup.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://172.20.1.11:8080/officescan/c...RemoveCtrl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1166390246359
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = skola.emmaboda.se
O17 - HKLM\Software\..\Telephony: DomainName = skola.emmaboda.se
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = skola.emmaboda.se
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = skola.emmaboda.se
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: jkkji - C:\WINDOWS\system32\jkkji.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrge32 - C:\WINDOWS\SYSTEM32\winrge32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - c:\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - c:\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - c:\Trend Micro\OfficeScan Client\tmlisten.exe

tacksam för svar!
Citera
2006-12-18, 10:16
  #2
plask_boy
Medlem
plask_boys avatar
C:\Documents and Settings\ap008\Mina dokument\Mina mottagna filer\virus.exe
Citera
2006-12-18, 10:18
  #3
XtreoN
Medlem
Citat:
Ursprungligen postat av plask_boy
C:\Documents and Settings\ap008\Mina dokument\Mina mottagna filer\virus.exe


det är hijackthis som är omdöpt till virus
Citera
2006-12-18, 15:39
  #4
Z4W
Medlem
Z4Ws avatar
Jag kommer inte att gå igenom denna log då du inte ens sagt att du har virus
Citera
2006-12-18, 15:40
  #5
Z4W
Medlem
Z4Ws avatar
Innan du postar så ska du ha sagt vilket AV du har scannat med, om du har kört några online scanners osv.

Ladda upp dessa båda filer på virustotal.com

Kod: 
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ismini.exe
Citera
2006-12-18, 16:21
  #6
call3
Medlem
call3s avatar
Citat:
Ursprungligen postat av Z4W
Innan du postar så ska du ha sagt vilket AV du har scannat med, om du har kört några online scanners osv.

Ladda upp dessa båda filer på virustotal.com

Kod: 
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ismini.exe
eller
http://virusscan.jotti.org/
Citera
2006-12-18, 19:30
  #7
MannenGbg
Medlem
MannenGbgs avatar
Du har två olika infektioner och kanske även en sk rootkit

gör så här;

Tanka hem SmitfraudFix (© S!Ri) till skrivbordet från http://siri.urz.free.fr/Fix/SmitfraudFix.zip .
Packa upp alla filer till skrivbordet och en mapp kallad SmitfraudFix kommer att skapas

Starta om datan till felsäkert läge, tryck F8 upprepande gånger under uppstarten och välj felskäkert läge utan nätverk

Öppna SmitfraudFix mappen
  • Dubbelklicka smitfraudfix.cmd filen för att starta programmet.
  • Välj alternativ #2 - Clean genom att trycka 2 sen Enter.
    OBS : Genom att välja alternativ #2 så kommer bakgrunden att försvinna på icke infekterade datorer.
  • Nu är det bara att vänta på programmet som kommer ta bort filer och söka igenom hårddisken.
  • Du kommer nu få ett alternativ : "Registry cleaning - Do you want to clean the registry?"
  • Svara Yes genom att skriva Y
  • Tryck Enter.
Programmet kommer också kolla om filen "wininet.dll" är infekterad. Om den är det så kommer programmet fråga dig om filen ska ersättas.
  • Svara Yes till frågan "Replace infected file?" genom att trycka Y
  • Tryck Enter. Programmet kan komma att starta om datan.

En del antivirusprogram kommer att varna för ovanstående program men det är ingen fara!

Please download VundoFix.exe to your desktop.
http://www.atribune.org/ccount/click.php?id=4

· Double-click VundoFix.exe to run it.
· Put a check next to Run VundoFix as a task.
· You will receive a message saying vundofix will close and re-open in a minute or less. Click OK
· When VundoFix re-opens, click the Scan for Vundo button.
· Once it's done scanning, click the Remove Vundo button.
· You will receive a prompt asking if you want to remove the files, click YES
· Once you click yes, your desktop will go blank as it starts removing Vundo.
· When completed, it will prompt that it will shutdown your computer, click OK.

Och nu sista programmet som ska köras

Then download a tool called Combofix
Run it and follow the promts
When finished, it shall produce a log for you. Post that log in your next reply.
Note: Do not mouseclick combofix's window whilst it's running. That may cause it to stall

Posta sista loggen här + en ny från Hijackthis från "normal" läge
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in