mr_telefon Postad 22 Januari , 2008 Rapport Postad 22 Januari , 2008 Här är en logg från Hijackthis. Vad ska jag radera och hur? Datorn krashar typ vid varje start Misstänker att jag har nån trojan eller virus. Brainslicer var är du när man behöver dig? Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\hqkkwuyp.exe C:\WINDOWS\system32\svchost.exe C:\Program\Analog Devices\Core\smax4pnp.exe C:\Program\Delade filer\Logitech\LComMgr\Communications_Helper.exe C:\Program\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Program\STORAG~1\ucookw.exe C:\Program\Delade filer\Logitech\LComMgr\Communications_Helper .exe C:\Program\Delade filer\StorageProtector\strpmon.exe C:\Program\Analog Devices\Core\smax4pnp .exe C:\Program\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe C:\Program\STORAG~1\ucookw .exe C:\Program\Delade filer\StorageProtector\strpmon .exe C:\Program\Delade filer\Logitech\LComMgr\LVComSX.exe C:\Program\ATI Technologies\ATI.ACE\CLI.EXE C:\Program\MSN Messenger\usnsvc.exe C:\Program\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\explorer.exe C:\PROGRAM\NETSCAPE\NAVIGA~1\NAVIGA~1.EXE C:\Program\Trend Micro\HijackThis\HijackThis.exe Citera
brainslicer Postad 22 Januari , 2008 Rapport Postad 22 Januari , 2008 Asså jag känner inte igen alla filer o har alla verktyg i huvet(får söka som alla andra), det bästa är ju att posta vad dom vill ha på ett säkerhets forum, men utan att fundera destu mera så ser bl.a cookw .exe väldigt misstänksamt ut direkt Hur man sedan tar bort den beror ju på, får googla lite vad det är och vad som krävs för borttagande(på säkerhets forum brukar finnas verktyg och step by step guider) edit: efter lite googling: ucookw .exe http://spywarefiles.prevx.com/RRFHJJ044224918/UCOOKW+.EXE.html DEFINITION OF: UCOOKW .EXESafety Rating: Known Malware, do not run Malware Family: Part of Malware group - I-Worm/Stration FOS Malware Form: EXPLOIT du kan ju se om prevx csi kan ta bort det: detect, remove and protect you from UCOOKW .EXE (måste tydligen ha license key för borttagning) men kolla igenom ordentligt efteråt så du får bort allt eftersom: File Names Used: 3Paths Used: 8 Common File Name: UCOOKW .EXE Common Path: %programfiles%\storageprotector\ Vendor Information: No Vendor details specified UCOOKW .EXE may use 3 or more path and file names, these are the most common: 1 :%programfiles%\confidentuser\UCOOKW .EXE 2 :%programfiles%\storageprotector\UCOOKW .EXE File Name Structure: Normal File and Path Structure: Normal strpmon .exehttp://www.prevx.com/filenames/X2461716249978064829-0/STRPMON++++++++.EXE.html The filename STRPMON .EXE was first seen on Jan 2 2008 in NETHERLANDS. The filename STRPMON .EXE refers to an executable program. It has file size of 822,272 bytes. The filename is associated with the malware group Dropper.Agent.GIT. This file has no vendor, product or version information specified in the file header. STRPMON .EXE has been seen to perform the following behavior(s): The Process is packed and/or encrypted using a software packing process den där ser också skum ut: hqkkwuyp.exe (hittar dock ingen info, varken legal eller malware) Citera
mr_telefon Postad 22 Januari , 2008 Författare Rapport Postad 22 Januari , 2008 Asså jag känner inte igen alla filer o har alla verktyg i huvet(får söka som alla andra), det bästa är ju att posta vad dom vill ha på ett säkerhets forum, men utan att fundera destu mera så ser bl.a cookw .exe väldigt misstänksamt ut dirkekt Hur man sedan tar bort den beror ju på, får googla lite vad det är och vad som krävs för borttagande(på säkerhets forum brukar finnas verktyg och step by step guider) Ja får ta å göra det, postade även på IDG.se får hoppas på svar där. Man är ju extra nervig som pokerspelare Citera
brainslicer Postad 22 Januari , 2008 Rapport Postad 22 Januari , 2008 ett forum och länk med exempel hur det går tillväga: som du ser vill dom ha hela loggen att börja med...sedan bara följa instruktioner du får, step-by-step... http://forums.techguy.org/malware-removal-hijackthis-logs/648853-solved-please-help.html du gör förstås en egen tråd(du kan ju även göra det fast prevx csi tar bort allt, för att kolla om dom tycker det är ok med loggen) det är knappast så enkelt som bara radera, som synes kan det krävas en hel del steg.... Minst en av filerna är exploit, tex: du kanske surfat in med nåt sårbart program in på en sida som utnyttjar sårbarheten(kan vara allt från media spelare till själva browsern, java, flash eller egentligen va som helst) https://psi.secunia.com/ för att minimera sårbarheter/exploits Citera
mr_telefon Postad 22 Januari , 2008 Författare Rapport Postad 22 Januari , 2008 ett forum och länk med exempel hur det går tillväga:som du ser vill dom ha hela loggen att börja med...sedan bara följa instruktioner du får, step-by-step... http://forums.techguy.org/malware-removal-hijackthis-logs/648853-solved-please-help.html du gör förstås en egen tråd(du kan ju även göra det fast prevx csi tar bort allt, för att kolla om dom tycker det är ok med loggen) det är knappast så enkelt som bara radera, som synes kan det krävas en hel del steg.... Minst en av filerna är exploit, tex: du kanske surfat in med nåt sårbart program in på en sida som utnyttjar sårbarheten(kan vara allt från media spelare till själva browsern, java, flash eller egentligen va som helst) https://psi.secunia.com/ för att minimera sårbarheter/exploits Okej ska testa allt detta, tack för all hjälp. omformatera skiten Ingen Xp skiva Citera
strater Postad 22 Januari , 2008 Rapport Postad 22 Januari , 2008 har du brännare så kan du alltid 1. tanka ner xp-skiva 2. bränn ut xp-skiva 3. installera (med en fullt godkänd och laglig key etc etc) Citera
mr_telefon Postad 22 Januari , 2008 Författare Rapport Postad 22 Januari , 2008 har du brännare så kan du alltid1. tanka ner xp-skiva 2. bränn ut xp-skiva 3. installera (med en fullt godkänd och laglig key etc etc) Aah fan, ja det borde man ju göra då. Kan alltid va bra å ha. Citera
Joeduck Postad 22 Januari , 2008 Rapport Postad 22 Januari , 2008 Ok, du kan nog räkna med att få fler besvär i framtiden antingen indirekt orsakade utav din ovilja att omformatera, men du gör som du vill. Luften är fri Men det är jag som är överparanoid med, för jag vet att ifall jag skulle varit mask/virus infekterad så hade jag 1#: reversat dent, 2#:tagit reda på info på nätet. Vilket gör risken för en omformatering ändå högre- alltså för en som inte finner nöje i sådant arbete rekommenderar jag omformatering Citera
mr_telefon Postad 22 Januari , 2008 Författare Rapport Postad 22 Januari , 2008 Ok, du kan nog räkna med att få fler besvär i framtiden antingen indirekt orsakade utav din ovilja att omformatera, men du gör som du vill. Luften är fri Men det är jag som är överparanoid med, för jag vet att ifall jag skulle varit mask/virus infekterad så hade jag 1#: reversat dent, 2#:tagit reda på info på nätet. Vilket gör risken för en omformatering ändå högre- alltså för en som inte finner nöje i sådant arbete rekommenderar jag omformatering Mmm funderar på att omformatera, några tips på filer jag ska spara över till extern hårddisk? Använder ju PokerTracker och vill gärna ha kvar händerna osv. Andra tips vid formatering? Citera
Joeduck Postad 22 Januari , 2008 Rapport Postad 22 Januari , 2008 tyvärr så vet ja ej hur PT reagerar vid flyttning, jag använder inte PokerTracker men det lär finnas info i deras hjälpfil/www eller i sämsta fall bara på deras forum vilka filer som programmet använder. Kanske blir krångel med registreringsproceduren, finns säkert info här på forumet under 'studier'. En backup på registret är alltid bra att spara. Sen kan man med 3dje parts program gå in i den och hämta nycklar som man vill åt. Förresten så kan du lika gärna dra ner hela "Documents and Settings" mappen, ligger troligtvis under C:\, och inkluderar lite allt möjligt skit. Bla temporära filer, vilka oftast inte är så intressanta. Men bokmärken och sajtlösenord går att extrahera med valt program från www. nirsoft .net Istället för att spara program så spara programnamnen bara, eller en URL länk så kan du enkelt ladda hem den senaste versionen utav programmet istället för att köra den gammla o bli infekterad på nytt. och såklart alla inställningsfiler, plugins kan dock vara infekterade så de skulle jag oxå dragit hem från nätet på nytt. Citera
mr_telefon Postad 22 Januari , 2008 Författare Rapport Postad 22 Januari , 2008 tyvärr så vet ja ej hur PT reagerar vid flyttning, jag använder inte PokerTracker men det lär finnas info i deras hjälpfil/www eller i sämsta fall bara på deras forum vilka filer som programmet använder. Kanske blir krångel med registreringsproceduren, finns säkert info här på forumet under 'studier'.En backup på registret är alltid bra att spara. Sen kan man med 3dje parts program gå in i den och hämta nycklar som man vill åt. Förresten så kan du lika gärna dra ner hela "Documents and Settings" mappen, ligger troligtvis under C:\, och inkluderar lite allt möjligt skit. Bla temporära filer, vilka oftast inte är så intressanta. Men bokmärken och sajtlösenord går att extrahera med valt program från www. nirsoft .net Istället för att spara program så spara programnamnen bara, eller en URL länk så kan du enkelt ladda hem den senaste versionen utav programmet istället för att köra den gammla o bli infekterad på nytt. och såklart alla inställningsfiler, plugins kan dock vara infekterade så de skulle jag oxå dragit hem från nätet på nytt. okej då kör vi Citera
brainslicer Postad 22 Januari , 2008 Rapport Postad 22 Januari , 2008 make backup på databasen i pt, spara backupen Citera
Bluwajt Postad 22 Januari , 2008 Rapport Postad 22 Januari , 2008 Kanske lite OT, men hur ser man var processerna ligger? Typ c:\program... Kör jag ctrl+alt+del och trycker på processer ser jag bara vad dom heter, inte var dom ligger. Citera
Loveless Postad 22 Januari , 2008 Rapport Postad 22 Januari , 2008 Det finns säkert sådan information i vanliga processlistan, men jag har installerat http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx istället. Grymt trevligt för en programmerare som mig. Citera
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.