/ Forside/ Teknologi / Operativsystemer / MS Windows / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 76474
o.v.n. 67550
refi 58409
tedd 45557
Manse9933 45149
molokyle 40687
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
sikkerhed
Fra : ib2650
Vist : 520 gange
200 point
Dato : 13-04-05 22:07

er arlet tilstede pt. elller en anden dygtig .jeg er ved at rense en af mine venners pc han har fåer my dom backdoor gen som har nedsat hastigheden jeg vedlægger en hhjt
i håb om et rimeligt hurtigt svar

Logfile of HijackThis v1.99.1
Scan saved at 21:43:56, on 13-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll2k.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\lxbcpswx.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hostserv] rundll2k.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.2\THGuard.exe"
O4 - HKLM\..\RunServices: [hostserv] rundll2k.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [hostserv] rundll2k.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmer\Sygate\SPF\smc.exe

venligs ib 2650

 
 
Kommentar
Fra : dayworker24


Dato : 13-04-05 22:35

Jeg ville prøve spydoctor

http://www.download.com/Spyware-Doctor/3000-8022_4-10377263.html

den fjerner alt det lort jeg får ned

Kommentar
Fra : berpox


Dato : 13-04-05 22:47

Du har så vidt jeg kan se, allerede gjort rent Der er ikke noget der fanger min opmærksomhed.

Og du har slået systemgendannelse fra, inden du begyndte at rydde op, efterfulgt af en genstart, og nyt antivirus og spyware check?

mvh berpox



Kommentar
Fra : ib2650


Dato : 13-04-05 23:01

perpox

ja selvflg. stoppen gendannelse men der vises at hans maskine er inficeret med my domv@mm backdoor.sd.bot gen

den gemmersig i en af reg.baserne
hilsen ib2650

Accepteret svar
Fra : bentjuul

Modtaget 210 point
Dato : 13-04-05 23:07

Gå ind på www.arlet.dk og under menuen "hvem er jeg" finder du hans mail hvor du kan sende log-filen til. Han plejer at svare meget hurtigt tilbage hvis han er hjemme på den måde.
Men lad være med at fjerne noget selv.

//bentjuul

Kommentar
Fra : dayworker24


Dato : 13-04-05 23:21

kan ikke huske om lsass er en virus eller spyware
WINDOWS\system32\lsass.exe


Kommentar
Fra : dayworker24


Dato : 13-04-05 23:26
Kommentar
Fra : bentjuul


Dato : 13-04-05 23:31

Den er ingen af delene dayworker24, dens officielle navn er Local Security Authority Service forkortet til lsass.exe og må ikke fjernes.

ib2650 lad være at fjerne noget før du har fået fat i arlet. Du kan risikere at maskinen skal genindstalleres hvis der bliver fjernet noget forkert med HiJackThis.

//bentjuul


Kommentar
Fra : berpox


Dato : 13-04-05 23:34

Garanteret - men det kan du ikke se i denne HJT log.

Den slags snask lægger sig ofte i nøglerne
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Slet alt det der peger på det der er "genkendt" som den fundne "backdoor.sd.bot"

Men i følge din log er det "kun" Avast, Spybot, en firewall fra SyGate, TrojanHunter, noget lexmark printer og messenger...

Muligvis kan der være knas med denne rundll2k.exe ~ den plejer at hedde rundll.exe ... men hverken hos Sophos, Avast, en google søgning, Grisoft (AVG), eller Norton finder jeg noget om den. Kun 2 links på hollandsk kunne det blive til.

mvh berpox




Kommentar
Fra : dayworker24


Dato : 13-04-05 23:34

Sagde også at jeg ikke kunne huske det, men der er jo en trojan, der hedder næsten det samme.

Kommentar
Fra : bentjuul


Dato : 13-04-05 23:52

Det har du så ret i dayworker24, men oftest staves den med et s eller stort I.

Kommentar
Fra : dayworker24


Dato : 13-04-05 23:55

har du tjekket hvad cpu'en lægger på ved de forskellige

Kommentar
Fra : vibber1310


Dato : 14-04-05 10:28

Har du prøvet denne scanner fra Kaspersky:

http://www.spywareinfo.dk/download/mwav.exe

Scanningen kan godt tage lang tid (et par timer)
Så tålmodigheden kommer på en prøve:)

Prøv også dette program der rydder op i regedit. Bare fix/fjern det den finder:

http://www.spywarefri.dk/softwareshop.htm#andreprog

Håber at det kunne bruges.
Ellers er der fler værktøjer og hjælp at finde på:

http://www.spywarefri.dk

Godkendelse af svar
Fra : ib2650


Dato : 15-04-05 15:23

Tak for svaret bentjuul.
                        

Kommentar
Fra : berpox


Dato : 15-04-05 16:19

Hej ib2650 - Hvad gjorde du for at få løst problemet (hvad sagde Arlet?)?



Kommentar
Fra : bentjuul


Dato : 19-04-05 12:20

Jeg håber du har fået løst problemet hos Arlet.

//bentjuul

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408946
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste