Avatar billede kurtr Nybegynder
23. oktober 2007 - 10:30 Der er 16 kommentarer og
1 løsning

Hjælp til kontrol af Hjack

Hjælp ønskes til kontrol af Hijack,

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:27:23, on 23-10-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programmer\Arcade\PCMService.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programmer\Logitech\SetPoint\SetPoint.exe
C:\Programmer\OpenOffice.org 2.3\program\soffice.exe
C:\Programmer\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmer\Fælles filer\Logitech\KhalShared\KHALMNPR.EXE
C:\Programmer\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPNRA.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Gem\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmer\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmer\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmer\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Tilføj til Kaspersky Anti-Banner - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase2895.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180796623796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185146921109
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmer\Fælles filer\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmer\Fælles filer\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmer\WinPcap\rpcapd.exe

--
End of file - 8494 bytes
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 11:17 #1
Der er en grim tool bar - men ellers ikke ummiddlbart andet.:
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
og
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
Dem kan du starte med at slette via HJT - men den kan altså ikke se alt.
Der er mange gode log analytikere herinde, der kan hjælpe dig videre - men de skal altså bruge lidt mere info en HJT giver.
Følg denne her tråd http://www.eksperten.dk/artikler/1123 og post så reaultaterne tilbage her :)
Avatar billede kurtr Nybegynder
23. oktober 2007 - 11:50 #2
pbj_dk...... hvorfor tror du 03 toolbar er farlig jeg mener det er til kryptering af filer på pc
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 12:20 #3
http://www.dllinformation.com/dllfiles/ToolBand.dll_html - men kan være jeg tager fejl, jeg er ikke speciel virus/spyware hej :-) Svarede mest for at få dig til at følge http://www.eksperten.dk/artikler/1123 .
Som sagt, der er mange gode log analytikere på E, de nok hjælpe dig videre, når du poster de andre logs ;-)
Avatar billede kurtr Nybegynder
23. oktober 2007 - 12:37 #4
pbj.....jeg har fulgt det, jeg har en Acer bærbar med ovennævnte toolbar det er til, at kryptere filer på harddisken med
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 13:00 #5
OK ( trækker næsen til mig ;-). Post de andre logs, dem skal eksperterne bruge.
Avatar billede ejvindh Ekspert
23. oktober 2007 - 13:20 #6
Der er ikke noget skidt i loggen, men som pbj_dk skriver, så kræves der et gennemsyn af de andre logs også, for at give et bedre indtryk af computerens tilstand :-)
Avatar billede kurtr Nybegynder
23. oktober 2007 - 13:45 #7
ejvindh de er på vej kommer om få minutter
ComboFix 07-10-23.1 - Kurt Rasmussen 2007-10-23 13:27:57.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1030.18.451 [GMT 2:00]
Running from: C:\Gem\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services  )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\NPF


(((((((((((((((((((((((((  Files Created from 2007-09-23 to 2007-10-23  )))))))))))))))))))))))))))))))
.

2007-10-23 13:24    <DIR>    d--------    C:\Programmer\CCleaner
2007-10-23 13:24    51,200    --a------    C:\WINDOWS\NirCmd.exe
2007-10-23 11:31    <DIR>    d--------    C:\Programmer\SUPERAntiSpyware
2007-10-23 11:31    <DIR>        C:\Programmer\Fælles filer\Wise Installation Wizard
2007-10-23 11:31    <DIR>    d--------    C:\Documents and Settings\Kurt Rasmussen\Application Data\SUPERAntiSpyware.com
2007-10-22 12:28    <DIR>    d--------    C:\Programmer\Sun
2007-10-10 15:25    <DIR>    d--------    C:\Programmer\Brother's Keeper 6
2007-10-10 15:25    <DIR>    d--------    C:\Brother's Keeper 6
2007-10-10 10:51    497,488    --a------    C:\WINDOWS\system32\XceedZip.dll
2007-10-10 10:51    65,536    --a------    C:\WINDOWS\system32\ssfm1032.dll
2007-10-10 10:51    53,248    --a------    C:\WINDOWS\system32\ciaXPRegSvr20.dll
2007-10-04 17:33    <DIR>    d--------    C:\Programmer\Nero
2007-10-04 17:33    <DIR>        C:\Programmer\Fælles filer\Nero
2007-10-02 01:50    <DIR>    d--------    C:\Documents and Settings\Kurt Rasmussen\Application Data\Nero
2007-10-01 11:05    <DIR>    d--------    C:\Programmer\OpenOffice.org 2.3
2007-09-23 18:28    <DIR>    d--------    C:\Documents and Settings\Kurt Rasmussen\Application Data\Apple Computer

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-23 11:38    14,651,424    --sha-w    C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-23 11:36    786,720    --sha-w    C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-23 11:36    77,912    --sha-w    C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-23 11:36    200,408    --sha-w    C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-23 10:49    ---------    d-----w    C:\Programmer\RegSupreme Pro
2007-10-23 09:55    ---------    d-----w    C:\Documents and Settings\Kurt Rasmussen\Application Data\OpenOffice.org2
2007-10-23 09:31    ---------    d-----w    C:\Programmer\Fælles filer
2007-10-23 07:59    ---------    d-----w    C:\Programmer\Windows Live Safety Center
2007-10-22 10:28    ---------    d-----w    C:\Programmer\Java
2007-10-22 10:03    ---------    d-----w    C:\Documents and Settings\Kurt Rasmussen\Application Data\Image Zone Express
2007-10-10 14:39    ---------    d-----w    C:\Programmer\Mozilla Sunbird
2007-10-01 23:39    ---------    d-----w    C:\Programmer\Fælles filer\Ahead
2007-10-01 22:23    ---------    d-----w    C:\Documents and Settings\Kurt Rasmussen\Application Data\Ahead
2007-09-25 14:38    ---------    d-----w    C:\Documents and Settings\Kurt Rasmussen\Application Data\ZoomBrowser EX
2007-09-18 14:35    ---------    d-----w    C:\Documents and Settings\Kurt Rasmussen\Application Data\LimeWire
2007-09-08 12:38    ---------    d-----w    C:\Programmer\Microsoft Visual Studio 9.0
2007-09-08 12:38    ---------    d-----w    C:\Programmer\Fælles filer\Microsoft Shared
2007-09-08 12:38    ---------    d-----w    C:\Programmer\Fælles filer\Merge Modules
2007-09-08 12:22    ---------    d-----w    C:\Programmer\Microsoft Synchronization Services
2007-09-08 12:22    ---------    d-----w    C:\Programmer\Microsoft SQL Server Compact Edition
2007-09-08 12:01    ---------    d-----w    C:\Programmer\Microsoft SQL Server
2007-09-08 11:49    ---------    d-----w    C:\Programmer\Microsoft Web Designer Tools
2007-09-08 11:48    ---------    d-----w    C:\Programmer\Microsoft SDKs
2007-09-08 11:45    ---------    d-----w    C:\Programmer\Reference Assemblies
2007-09-08 11:45    ---------    d-----w    C:\Programmer\MSBuild
2007-09-08 11:12    ---------    d-----w    C:\Programmer\Microsoft.NET
2007-09-06 21:55    ---------    d--h--w    C:\Programmer\InstallShield Installation Information
2007-09-04 09:00    82,061    ----a-w    C:\WINDOWS\system32\drivers\klick.dat
2007-09-04 09:00    81,549    ----a-w    C:\WINDOWS\system32\drivers\klin.dat
2007-08-26 21:27    ---------    d-----w    C:\Programmer\Mozilla Thunderbird
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-02-07 19:36]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-02-07 19:32]
"SynTPLpr"="C:\Programmer\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 23:44]
"SynTPEnh"="C:\Programmer\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 23:43]
"PCMService"="C:\Programmer\Arcade\PCMService.exe" [2005-03-09 18:59]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-27 05:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-27 14:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-27 14:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-27 14:00]
"ATIPTA"="C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 21:05]
"LManager"="C:\Programmer\Launch Manager\QtZgAcer.EXE" [2005-10-13 11:33]
"EPM-DM"="c:\acer\Empowering Technology\ePower\epm-dm.exe" [2005-07-15 10:53]
"Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2005-07-15 10:53]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 16:41]
"ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 16:45]
"AVP"="C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2007-03-09 20:50]
"HP Software Update"="C:\Programmer\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12]
"SunJavaUpdateSched"="C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"Adobe Reader Speed Launcher"="C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 15:32 C:\WINDOWS\KHALMNPR.Exe]
"NeroFilterCheck"="C:\Programmer\Fælles filer\Nero\Lib\NeroCheck.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-27 12:00]
"SUPERAntiSpyware"="C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-04-23 15:46]

C:\Documents and Settings\Kurt Rasmussen\Menuen Start\Programmer\Start\
OpenOffice.org 2.3.lnk - C:\Programmer\OpenOffice.org 2.3\program\quickstart.exe [2007-09-11 05:43:54]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmer\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programmer\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programmer\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

R1 OsaFsLoc;OsaFsLoc;\??\C:\WINDOWS\system32\drivers\OsaFsLoc.sys
R1 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys
R2 EpmPsd;Acer EPM Power Scheme Driver;\??\C:\WINDOWS\system32\drivers\epm-psd.sys
R2 EpmShd;Acer EPM System Hardware Driver;\??\C:\WINDOWS\system32\drivers\epm-shd.sys
R2 int15.sys;int15.sys;\??\C:\Acer\Empowering Technology\eRecovery\int15.sys
R2 osaio;osaio;\??\C:\WINDOWS\system32\drivers\osaio.sys
R2 osanbm;osanbm;\??\C:\WINDOWS\system32\drivers\osanbm.sys
R2 SQLWriter;SQL Server VSS Writer;"C:\Programmer\Microsoft SQL Server\90\Shared\sqlwriter.exe"
R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys
S3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\system32\Drivers\DKbFltr.sys

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-23 13:38:26
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-23 13:41:16 - machine was rebooted
.
    --- E O F ---
Avatar billede kurtr Nybegynder
23. oktober 2007 - 14:13 #8
her er de sidste 2
******************************** ROOTCHK-(21-09-07)-LOG, by ejvindh
23-10-2007 13:57:42,78

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end


catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-23 14:09:27
Windows 5.1.2600 Service Pack 2
scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000040e

scanning hidden files ...

hidden processes: 0
hidden services: 0
hidden files: 0
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/23/2007 at 11:50 AM

Application Version : 3.7.1018

Core Rules Database Version : 3329
Trace Rules Database Version: 1330

Scan type      : Quick Scan
Total Scan Time : 00:10:21

Memory items scanned      : 354
Memory threats detected  : 1
Registry items scanned    : 762
Registry threats detected : 14
File items scanned        : 12176
File threats detected    : 1

Adware.IWantSearchBar
    C:\WINDOWS\SYSTEM32\TOOLBAND.DLL
    C:\WINDOWS\SYSTEM32\TOOLBAND.DLL
    HKLM\Software\Microsoft\Internet Explorer\Toolbar#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32#ThreadingModel
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\Programmable
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\TypeLib
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\FLAGS
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR
    HKU\S-1-5-21-435690987-1855418409-3123157714-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
Avatar billede ejvindh Ekspert
23. oktober 2007 - 14:19 #9
Det ser stadig fornuftigt ud. Dog kom Combofix til at æde din WinPcap ved en fejl, så hvis det er noget du bruger, skal du nok geninstallere det.
Avatar billede kurtr Nybegynder
23. oktober 2007 - 16:00 #10
Ejvindh............jeg ved ikke hvad WinPcap  dækker men tilsyneladende virker alt.
Så tak for hjælpen
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 16:53 #11
-->kurtr ... undskyld jeg lige forstyrre din post lidt. ejvindh ER her eksperten ( en af dem)- men er bare nysgerrig ;-)

-->ejvindh. ( er her jo også på E for at lære): i og med den detektere Adware.IWantSearchBar TOOLBAND.DLL - er det så en "falsk positiv" i forbindelse med
hans Acer eDataSecurity Management?
Avatar billede kurtr Nybegynder
23. oktober 2007 - 17:12 #12
pbj_dk.....du skal være så hjertelig velkommen,... jeg er lige så nysgerrig som du er
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 17:18 #13
;-) men husk at ejvindh skal have poient'ene ... jeg lure bare.
Avatar billede kurtr Nybegynder
23. oktober 2007 - 17:36 #14
dem har han fået
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 18:19 #15
OK - bare for sjov ( skader ikke) og for at vi begge bliver klogere, mens vi venter på ejvindh's svar . Prøv at hent Spybot - Search and destroy. http://www.safer-networking.org/dk/mirrors/index.html - husk at opdatere den i installationen og fravælge " TEA timer" ... den funktion har det ikke godt med div. anti virus programmer. Husk at opdatere den, inden du kører "Scan".
Lidt spændt på, hvad den så finder?
Avatar billede ejvindh Ekspert
23. oktober 2007 - 19:48 #16
Det er faktisk godt set, pbj_dk. Jeg har nu kigget lidt nærmere på det, og vil mene, at det er en falsk positiv. Søger man på CLSID-nummeret støder man ganske vist på 2 forskellige resultater:

http://www.castlecops.com/tk33563-ToolBand_dll.html
http://www.castlecops.com/tk1381-rundlg32_dll.html

Søger man på filnavnet kommer man også til denne:
http://www.castlecops.com/clsid-200.html

Men det er den første der er rigtig i dette tilfælde (kun her er CLSID-nummer og filnavn er rigtige). Men det kan meget vel være, at SuperAntispyware reagerer på CLSID-nummeret, og derfor nakker den.

Hvis kurtr vil have den tilbage igen, så kan du inde i SuperAntispyware gå ind i Manage Quarantine, og tilbageføre ændringen :-)
Avatar billede ejvindh Ekspert
23. oktober 2007 - 19:49 #17
Det er disse der i givet fald skal tilbageføres:

    C:\WINDOWS\SYSTEM32\TOOLBAND.DLL
    C:\WINDOWS\SYSTEM32\TOOLBAND.DLL
    HKLM\Software\Microsoft\Internet Explorer\Toolbar#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32#ThreadingModel
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\Programmable
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\TypeLib
    HKU\S-1-5-21-435690987-1855418409-3123157714-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester