hijackthis log

Du har ikke opdateret dit Windows XP til SP1/SP2.
Det er ikke så godt, for så er du ikke sikret mod mange af de vira, der suser rundt på nettet og kigger efter uopdaterede maskiner.
Du kan hente SP1/SP2 her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Så skal du hente en opdateringspakke med sikkerhedsopdateringer.
Det gør du her:
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da

Til sidst skal du gå i start ->programmer ->Windowsupdate og lade din maskine scanne for opdateringer. Installer dem du får anbefalet.

Din PC bliver IKKE automatisk ren af men det vil kun hjælpe kort tid at rense din PC - hvis du IKKE har ovenstående opdateringer!!!

... og jo der ER snavs i din log...

Adaware:
http://www.spywarefri.dk/vaerktoj.htm#adaware
(Husk opdater)

Spybot:
http://www.spywarefri.dk/vaerktoj.htm#spybot
(Husk opdater)

og en populær ting for tiden:
http://www.spywareinfo.dk/download/mwav.exe

Og en ny log efter en genstart.
Resten vil jeg lade en HiJackThis 'freak' om at bedømme...

Helt korrekt Majsmarken, men vent lige med at lægge servicepack på til loggen er renset. Jeg kigger på den nu..

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.


Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programmer\TV Media\TvmBho.dll (file missing)
O2 - BHO: (no name) - {678C6B2D-9510-69C5-8000-15557EF77C1D} - C:\WINDOWS\System32\kfrpend.dll
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\CustIE32.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll (file missing)
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winbfv32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O4 - HKCU\..\Run: [Ngasvi] C:\WINDOWS\System32\?hkdsk.exe
O4 - HKCU\..\Run: [LDM] C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Acar] C:\Documents and Settings\jakob\Application Data\pciu.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {0F4F732B-8A7E-2CB4-A3EA-037545BC37BE} - http://213.159.117.150/1/rdgDK187.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=b9d4978f49bc7f65f3efd51262599815c647f32978f99906b3ac90294c0dd45325f3442c9af561f2c9ce46cb3d0ba5690fb4227dd9944675:2e9ef624f1d02d5314853a1e13e38ff0
O16 - DPF: {1ADF5442-6467-4BD3-FABB-3C03393A271E} - http://82.179.166.72/1/rdgDK208.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {1E1EC8D4-BC0E-4315-5255-104524EF300D} - http://213.159.117.150/1/rdgDK187.exe
O16 - DPF: {2CEFC6D8-A54E-7B9D-7D00-33223BD1EFB5} - http://213.159.117.150/1/rdgDK187.exe
O16 - DPF: {65DE7DC2-D8B5-1255-73D1-63CA1BDFB4DE} - http://213.159.117.150/1/rdgDK187.exe
O16 - DPF: {7C1E409A-6907-3501-8730-4B1E3F9F3A33} - http://213.159.117.150/1/rdgDK187.exe
O16 - DPF: {7D6E4D8D-717A-5B72-F1A8-7907171D1534} - http://213.159.117.150/1/rdgDK187.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

---------------------------------------


Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
C:\Programmer\TV Media
C:\PROGRA~1\YOURSI~1

Filer:
C:\WINDOWS\System32\kfrpend.dll
C:\WINDOWS\System32\CustIE32.dll
C:\windows\system32\winbfv32.exe
C:\WINDOWS\System32\system.exe
C:\WINDOWS\System32\?hkdsk.exe
C:\Documents and Settings\jakob\Application Data\pciu.exe

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

Bare så I ved det: eScan (mwav.exe), renser ikke gratis mere. Finder kun - og så køb, hvis du vil rense.

Den jeg linker til gør.

Det sagde Fromsej også i forgårs http://www.eksperten.dk/spm/558727

Jeg prøvede den selv i forgårs på sønnens computer og den fjernede 4 vira.

Tja, det er der jo så umiddelbart ikke så meget andet end at sige til end: det var pokkers underligt :?

Den tror jeg sq, jeg åbner et spørgsmål på

hexya > Kan vi tage den offline ? Mail mig på tonnybrandt[at]gmail.com
Ingen grund til at spamme spørgsmålet med diskussioner om mwavscanneren.

Beklager jeg først skriver ny log nu er lige kommet hjem :)

Logfile of HijackThis v1.98.2
Scan saved at 16:04:50, on 10-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
D:\Exe\tastatur\iTouch\iTouch.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\System32\MSOffice\services.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\Programmer\Winamp\winamp.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\jakob\Dokumenter\Modtagne filer\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Exe\tastatur\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Det har du gjort godt, for loggen er nu ren *s*

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.

Og som allerede nævnt skal du lægge minimum servicepack 1 på styresystemet og IE.
Den og servicepack 2 kan downloades her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Hov forkert opstlling. Jeg prøver lige igen:

Det har du gjort godt, for loggen er nu ren *s*

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Og som allerede nævnt skal du lægge minimum servicepack 1 på styresystemet og IE.
Den og servicepack 2 kan downloades her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold

vi siger mange tak tonny :)

Velbekomme og takker for point :)

!! eScan (mvaw.exe) VIRKER SOM DEN SKAL - og fjerner AUTOMATISK inficerede filer !!
Beklager meget, at jeg blandede mig, måske gjorde Thelen usikker og kom til at betvivle TonnyBrandts kompetence.

Tonnybrandt>> Her følger så min undskyldning og/eller forklaring på, hvor det gik skævt:

Som det fremgår i ovennævnte tråd http://www.eksperten.dk/spm/558727 (m Fromsej som doktor), så fandt min eScan(ning) to vira:
C:\WINNT\Web\printers\images\bootdrv.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
C:\WINNT\Web\printers\images\Libparse.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3621. No Action Taken.

Disse to filer angiver eScan:
1.) med en gif-indikation med en lille sprællende bug.
2.) med en betegnelse i loggen under "Scanning Complete" som Virus ("Number of Virus(es) Found: 2")
3.) med visning i Status-vinduet over fundne vira med sti og navn på inficerede filer, samt navn på vira.
4.) i loggen under "Scanning Complete" med, at 0 (nul) virus var blevet "renamed", "disinfected" eller "deleted", ligesom den også i Status-vinduet efter hver fil gør opmærksom på "No action taken".

"No action taken". Ok fint nok, tænkte jeg, jeg har jo heller ikke bedt den om at slette dem endnu.

5.) I Status-vinduet viser eScan desuden, at de fundne vira er "tagged as not a virus".
Mon det kunne betyde, at det var en virus af den type, som prøver at camuflere sig som legitim fil - tænkte jeg - og lod dem køre en tur i Jottis multiscanner - der angav dem som "non-destructive".
"Non-destructive" og "not a virus", hmm? Gad vide, hvad definitionerne nu egentlig var på disse? Der kunne jo fx muligvis være tale om adware, der jo grundlæggende set ikke er en virus - tænkte jeg.

Nå, men de to fundne filer vistes og defineredes jo af eScan som virus tre forskellige steder. Og hvorfor dog gøre det, hvis ikke de var til for at blive slettet - ikke mindst, hvis der var tale om adware - tænkte jeg.

Da alle andre scannere jeg kender, - i default opsætning - efter at have fundet noget, giver mulighed for at disinficere eller slette det fundne, ja så ledte jeg forgæves efter sådan en knap. Og da knappen "Buy eScan" er den eneste, af de fire tilgængelige knapper, som kunne have med en disinfect/delete-funktion at gøre, kortsluttede jeg altså, at for at få dem fjernet, skal man købe. Sådan en shareware-variant er jo set før.
Det andet, der understøttede "min kortslutning", var Fromsejs svar/reaktioner på mine spørgsmål omkring samme.

Da jeg i går hørte, at du selv havde prøvet den uden problemer, gik jeg så selv igang med lidt trial 'n' error, hvor jeg bl.a. gav den nogen rigtig grimme virus at lege med, og vupti - den som søger skal finde. For nu kunne jeg jo i loggen under "Scanning Complete" se, at det den havde fundet havde den også slettet - og dermed konkludere, at den er sat op til automatisk at slette det, som den finder tilstrækkelig kritisk.

Hvad der er defineret som "tilstrækkelig" kritisk eller hvorfor "tagged as not a virus", overhovedet bliver vist, når det ikke er tilstrækkelig kritisk til at blive slettet, er mig stadig en gåde. Jeg synes sq, det er forvirrende og vildledende, at den så ud-over-hele-sendefladen udbasunerer dem som virus.

Men hvis det nu alligvel - af mig uvist af hvilke årsager - er nødvendigt at vise dem, så skulle den måske i stedet have vægtet informationen om at de var uskadelige - i stedet for at klemme det ind mellem sti-filnavn og handling, en animeret sprællende gif-bug, samt en log-status der definerer dem som virus.

eScans brugervenlighed, når det gælder information, må jeg altså give et 03 for det pædagogiske indtryk. Man kunne så indvende, at den var bygget så simpelt som muligt og med et indskrænket informationsniveau for netop ikke at forvirre. Fint nok, men så burde den altså heller ikke angive noget som virus - som den ikke sletter. Og da i hvert fald ikke hele tre steder - det er jo et virusæg :^)

Hvis en vejledning til eScan havde fortalt mig, at ikke alt som spræller og bliver benævnt virus er farligt, samt at eScan er sat op til automatisk at slette alt, som den finder kritisk - ja, så havde jeg sparet en del timer, misforståelser og belemringer af andre. Men vejledninger, der behandler de omtalte forhold, er altså undgået min opmærksomhed - beklager.
Et link til en vejledning for idioter ville derfor være kærkomment. Misforstå mig ikke. Jeg er fuldstændig klar over, at det er mig, den er gal med, siden hundredevis af andre åbenbart ikke har haft grund til at undre sig.

Under min testning faldt jeg i øvrigt over en lille pudsighed:
Hvis en virus indgår i en pakket fil (fx .rar, .zip), så bliver hele den den pakkede fil slettet inklusive ikke-inficerede filer, som befinder sig i pakken. Man må da så håbe, at man ikke har sådan en liggende, indeholdende vigtige filer.
Det kunne måske være en lille grund til, at den først burde spørge, om den skal slette det fundne.
Gad vide, om der er noget, som hedder pakkede drev - og i så fald, hvordan den mon behandle vil et sådant, hmm?

Og til slut et par ubetydelige, men lidt irriterende detaljer:
Ærgerligt at eScan ikke opsamler fundne Vir og Error's og lægger dem sammen med den øvrige log-Status (efter "Scanning Complete") samt placerer det hele i toppen - i stedet for i bunden af en fx 4MB tung log.

[Pudsige, løjerlige Windows (mon det kun var før w2k): txt-filer kan sagtens overstige 64Kb - bare de kaldes .log]

Håber det er i orden, at bringe indlægget her, nu da Thelens log er færdigbehandlet. Dels kunne det være at Fromsej var interesseret, dels kunne det være at andre, der trængte til lidt grundigere vejledning i eScan også var det - eller kunne blive det.
Og hvad har jeg så lært? At det kan være dyrt at blande sig i andet end æstetiske spørgsmål om smag og behag :^)

hexya > Alt iorden. Brugerfladen er mildest talt ikke den mest brugervenlige, så det kan forvirre. Og da scanneren også tager en del spy- og adware kan dette også forvirre, da den netop skelner imellem hvor "slem" infektionen er og udelader noget, og sletter eller omdøber andet.