dsprop.dll - DSO Exploit

Det gør vi.
DSO exploit skal du ikke tage så tunget, det er en bug i Spybot.

oki, tak for oplysningen med DSO, her er min logfil. Noget der ser mystisk ud ? jeg fatter nemlig hat :')

Logfile of HijackThis v1.97.7
Scan saved at 21:40:55, on 22-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\msnmsgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svchosts.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Login] msnmsgr.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svchosts.exe
O4 - HKLM\..\RunServices: [Windows Login] msnmsgr.exe
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svchosts.exe
O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37995.2370601852
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://swgbetareg.station.sony.com/soesysinfo.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ja, der er "grimme" ting i, jeg tjekker den lige.

Flyt Hijackthis til en mappe oprettet til formålet.

Hent denne scanner, den skal du bruge senere.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.
Hent også TheKillBox og vejledningen.
http://home8.inet.tele.dk/fbj/TheKillBox.exe
http://home8.inet.tele.dk/fbj/TheKillBoxBrugsanvisning.htm


Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, brug TheKillBox til at slette filerne listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svchosts.exe
O4 - HKLM\..\Run: [Windows Login] msnmsgr.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svchosts.exe
O4 - HKLM\..\RunServices: [Windows Login] msnmsgr.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svchosts.exe

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Brug TheKillBox med indstillingen sletning ved næste genstart.

Filer:
svchosts.exe Brug Start->Søg.
C:\WINNT\system32\msnmsgr.exe -> Tjek lige at du har en i den mappe med Messenger, hvis du bruger MSN Messenger.

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.

---------------------------------------
Du skal også lige hente og installere programmet Ad-aware hvis du da ikke har det i forvejen. Opdater det straks efter installationen, og inden du kører en scanning med denne. Fjern alt hvad den finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Følg også vejledningen her til udvidet søgning: http://www.spywarefri.dk/tipsogtricks.htm#adaware
---------------------------------------
Opdater så online hos Microsoft.
---------------------------------------
Genstart og kom med en ny logfil, så jeg kan se om alt er med.

hmm, jeg når hverken det ene eller det andet inden HiJack This lukker sig selv - kan kun lige nå at klikke scan og save log ?????

kill box siger at c:\winnt\system32\msnmsgr.exe ikke findes .

jeg kan både finde den via start / søg og via gennemse i kill box - men når jeg vil "add file" til "delete on reboot", siger den at filen ikke findes ??

kan du slette den manuelt?

nej kan heller ikke slette den manuelt - "kan ikke slette msnmsgr: adgang nægtet. Kildefilen kan være i brug"

der er lige dukket en .exe fil op på mit skrivebord??
mwav.exe

hiver lige stikket til nettet - og prøver igen

DOH!! - det er jo den du bad mig hente - LOL, sorry

Hent MSconfig her:
http://www.svrops.com/svrops/dwnldoth.htm
Bare pak filen ud i dokumenter eller på skrivebordet, dobbeltklik så på det, find fanebladet processer, find og stop Msnmsgr.exe derefter kan du slette den.
Men bruger du MSN Messenger, så tjek lige at du har den rigtige fil i den mappe Messenger ligger i.

kan intet gøre for at slippe af med den :-(
CTRL/ALT/DEL - jobliste/processer - der kører 3 svchost.exe og 2 msnmsgr.exe og jeg kan ikke afslutte dem "adgang nægtet"

dertil kommer at både MSconfig og Hijack This lukker sig selv meget hurtigt, så jeg har meget travlt hvis jeg skal nå at overskue og finde de nævnte processer

vender tilbage imorgen - må have søvn, må have søvn, skal op kl. 05.00

virker det som om jeg er hårdt ramt af noget grimt ?

Det ser underligt ud i hvert fald.
Kom med en frisk logfil når du får tid, så må vi knække den.

av av, så lykkedes det at følge din anvisning, med visse komplikationer.
det hele endte ud i det her:

uddrag af kaspersky logfile
Fri Jul 23 20:36:27 2004 => Total Number of Files Scanned: 38744
Fri Jul 23 20:36:27 2004 => Total Number of Virus(es) Found: 14
Fri Jul 23 20:36:27 2004 => Total Number of Disinfected Files: 0
Fri Jul 23 20:36:27 2004 => Total Number of Files Renamed: 12
Fri Jul 23 20:36:27 2004 => Total Number of Deleted Files: 1
Fri Jul 23 20:36:27 2004 => Total Number of Errors: 2
Fri Jul 23 20:36:27 2004 => Time Elapsed: 00:32:49
Fri Jul 23 20:36:27 2004 => Virus Database Date: 2004/07/19
Fri Jul 23 20:36:27 2004 => Virus Database Count: 97349

Fri Jul 23 20:36:27 2004 => Scan Completed.

ERROR!!! Invalid Entry "C:\WINNT\system32\msnmsgr.exe" -service in SYSTEM\CurrentControlSet\Services\InfoTech  Communications...
Scanning File C:\WINNT\system32\DRIVERS\atapi.sys
ERROR!!! ScanFile Fails...
ERROR!!! ScanFile fails for C:\WINNT\SchedLgU.Txt

*** File C:\WINNT\LPT$VPN.929 having Size Restriction ***
*** File C:\WINNT\VPTNFILE.929 having Size Restriction ***

File C:\WINNT\msnmsgr.exe infected by "Backdoor.Agobot.uc" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\cvvcsr.exe infected by "Backdoor.SdBot.mw" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\svchosts.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\Win32.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\WinConfig32.dat infected by "Backdoor.IRCBot.gen" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\WinConfig32.exe infected by "Backdoor.IRCBot.gen" Virus. Action Taken: File Renamed.
File C:\!Submit\07-22-2004\msnmsgr.exe infected by "Backdoor.Agobot.uc" Virus. Action Taken: File Renamed.
File C:\!Submit\07-23-2004\msnmsgr.exe infected by "Backdoor.Agobot.uc" Virus. Action Taken: File Renamed.

File C:\Documents and Settings\Administrator\Lokale indstillinger\Temp\delwbi.tmp tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

File C:\Documents and Settings\Administrator\Lokale indstillinger\Temporary Internet Files\Content.IE5\KN161H70\Win32[1].exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Administrator\svchosts.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Administrator\WinConfig32.dat infected by "Backdoor.IRCBot.gen" Virus. Action Taken: File Renamed.
File C:\svchosts.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.

File C:\WINNT\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: File Deleted.

og så lige en helt frisk HiJack This log:

Logfile of HijackThis v1.97.7
Scan saved at 21:06:16, on 23-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\freescan\freescan.exe
C:\this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svchosts.exe
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37995.2370601852
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://swgbetareg.station.sony.com/soesysinfo.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

er jeg ren for øjeblikket ?

Den her skal fixes:
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svchosts.exe
Se så om du kan finde SVChosts.exe, kan du så slet den.
Så er du ren.

jeg fik lov til at slette den i fejlsikret tilstand efter jeg først renamed den, genstartede i fejlsikret og slettede den.
desværre kom jeg til at slette svchost.dll ved en fejl også - nu kører hele maskinen ufatteligt langsomt og den kan ikke engang åbne almindelige mapper - det ser ud som om den var vigtig ?
det store spøgsmål nu er, hvor får jeg fat i den igen, kan den downloades eller noget eller kræver det en form for windows repair ?

Sæt din Win 2000 CD i drevet, klik på Start->Kør skriv SFC /scannow (husk mellemrummet) klik OK.
Det burde rette op på styresystemet.

det er fantastisk - alt kører nu normalt.
jeg er næsten færdig med at ryde min nummer 2 computer med samme fremgangsmåde, og surprise surprise, det er stort set det samme den finder på begge comps.
jeg poster lige begge hijack logs, når den er helt færdig, bare så du lige kan bekræfte at jeg er ren.
tusinde tak for hjælpen.
Fik du pointene ?

logfil fra comp 1

Logfile of HijackThis v1.97.7
Scan saved at 13:24:18, on 24-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\WinConfig32.exe
C:\freescan\freescan.exe
C:\WINNT\system32\WinConfig32.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Security Patchs] WinConfig32.exe
O4 - HKLM\..\RunServices: [Security Patchs] WinConfig32.exe
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [Security Patchs] WinConfig32.exe
O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37995.2370601852
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://swgbetareg.station.sony.com/soesysinfo.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

logfil fra comp 2

Logfile of HijackThis v1.97.7
Scan saved at 13:49:13, on 24-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\WINNT\system32\internat.exe
C:\Documents and Settings\Kjeld R\Skrivebord\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38094.3287268519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

nogen der ved hvad housecall fra trendmicro er ?

Housecall er en onlinevirusscanner: http://housecall.trendmicro.com/

Computer 2 er ren, men det er computer 1 ikke.

jeg kan ikke forstå at comp 1 står og sender pakker hele tiden - mens comp 2 er tavs som graven indtil jeg reelt loader internet sider eller lignende ?

ok comp 1 er ikke ren ?? -- skal jeg køre samme fremgangsmåde igen eller er det noget nyt jeg skal gøre ?

Til computer 1:

Genstart i fejlsikret tilstand. Fix disse med HijackThis:

O4 - HKLM\..\Run: [Security Patchs] WinConfig32.exe
O4 - HKLM\..\RunServices: [Security Patchs] WinConfig32.exe
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe –FastScan
O4 - HKCU\..\Run: [Security Patchs] WinConfig32.exe

Find og slet:

C:\WINNT\system32\WinConfig32.exe >>>> filen WinConfig32.exe
c:\freescan\ >>>> mappen freescan

Genstart normalt og ny log til tjek – tak.

DONE, hermed ny log fil fra comp 1

Logfile of HijackThis v1.97.7
Scan saved at 14:32:57, on 24-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37995.2370601852
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://swgbetareg.station.sony.com/soesysinfo.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hent Dcombobulator, og få lukket et sikkerhedshul mere, den finder du her sammen med en dansk brugervejledning.
http://www.spywarefri.dk/tipsogtricks.htm#DCom

Så er din log ren, du kan sætte filvisning til normal.
Vi har skrevet et par artikler om sikkerhed på nettet.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.
Resist/Team Spywarefri.

tusinde tak for hjælpen - jeg føler mig som født på ny :')

Velbekomme, det er altid rart når det lykkes.
Vent lige på et svar fra Resist, så markerer du begge navne i boksen og klikker på accepter, så er spørgsmålet lukket rigtigt.

Velbekomme ;-)

Du accepterer bare fromsejs svar - han har så absolut lavet det meste af arbejdet.

Tak for point.*S*