Søg
Avatar billede aalling Nybegynder
18. november 2003 - 21:42 Der er 20 kommentarer og
1 løsning

er der nogen der vil tjekke min log?

Hey. Jeg sidder her med et problem, for jeg har lige kørt nogle tests og jeg tror at alt det spy-lort jeg selv kan fjerne er væk.. Men tror nu der er mere, så hvis der er nogen der lige ville tjekke min log (fra HijackThis) ville det være super. Min computer skulle gerne være helt frisk efter dette:)

Håber der er nogen der vil hjælpe.

Logfile of HijackThis v1.97.7
Scan saved at 21:41:24, on 18-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programmer\Winamp3\winampa.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\TEXTware\HotKey\TWALINK.EXE
C:\Programmer\ICQ\ICQ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\DOCUME~1\Bent\LOKALE~1\Temp\Rar$EX04.493\HijackThis.exe
C:\Programmer\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\PROGRA~1\Grisoft\AVG6\avgw.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmer\NewDotNet\newdotnet5_20.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {9B35A850-66AB-4c6d-8A66-136ECADCD904} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [Registry Loader] regloadr.exe
O4 - HKLM\..\Run: [Config Loader] scvhost.exe
O4 - HKLM\..\Run: [Windows Explorer] LSAS.exe
O4 - HKLM\..\RunServices: [Registry Loader] regloadr.exe
O4 - HKLM\..\RunServices: [Config Loader] scvhost.exe
O4 - HKLM\..\RunServices: [Windows Explorer] LSAS.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\RunOnce: [SpyBotSnD] "C:\Programmer\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\TWALINK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00619BD00001} (Sydbanks NetBank) - https://netbank.sydbank.dk/ssydbankibp1900ib100.cab
O16 - DPF: {99E79790-2B09-11D6-8C73-0800460222F0} (DialerCon Class) - http://www.accessplugin.com/plug/install.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\Software\..\Telephony: DomainName = tefs.com
Avatar billede lap Nybegynder
18. november 2003 - 21:44 #1
fy for pokker - vent på en ekspert - det er jeg ikke, men der er skidt - f.eks. scvhost.exe - men også mere - lad være med at bruge din sydbank lige nu.
Avatar billede ztyxx Nybegynder
18. november 2003 - 21:45 #2
og lad være med at slette noget før arlet, fromsej eller en af de andre der har tjek på det har set din log igennem
Avatar billede arlet Juniormester
18. november 2003 - 21:46 #3
går igang med det samme
Avatar billede arlet Juniormester
18. november 2003 - 21:46 #4
Slet ikke noget imens
Avatar billede vistodk Nybegynder
18. november 2003 - 21:46 #5
Måske wuauclt.exe
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.clt.html
Avatar billede arlet Juniormester
18. november 2003 - 21:51 #6
Det var lidt blaster og new.net.

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmer\NewDotNet\newdotnet5_20.dll
O3 - Toolbar: (no name) - {9B35A850-66AB-4c6d-8A66-136ECADCD904} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [Registry Loader] regloadr.exe
O4 - HKLM\..\Run: [Config Loader] scvhost.exe
O4 - HKLM\..\Run: [Windows Explorer] LSAS.exe
O4 - HKLM\..\RunServices: [Registry Loader] regloadr.exe
O4 - HKLM\..\RunServices: [Config Loader] scvhost.exe
O4 - HKLM\..\RunServices: [Windows Explorer] LSAS.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {99E79790-2B09-11D6-8C73-0800460222F0} (DialerCon Class) - http://www.accessplugin.com/plug/install.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab

------------------------------------------------------------------
hvis du kender denne, skal den ikke fixes
O17 - HKLM\Software\..\Telephony: DomainName = tefs.com


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må de aktiver din systemgendannelse igen.
Avatar billede wickedd Juniormester
18. november 2003 - 21:51 #7
lol lap, scvhost er den fil i xp som gør at du kan komme på nettet
Avatar billede arlet Juniormester
18. november 2003 - 21:53 #8
wickedd -> nej, det er det ikke. scvhost er snavs

det er svchost, du tænker på...
Avatar billede lap Nybegynder
18. november 2003 - 21:53 #9
wickedd>> det giver en dummebøde :-) Hvis du bemærker stavefejlen - processen hedder i virkeligheden svchost.exe - men den udgave, som har indbygget stavefejl er noget helt andet :-)
Avatar billede arlet Juniormester
18. november 2003 - 21:58 #10
aalling -> når det er ordnet, skal du genstart og så skal jeg se en ny log
Avatar billede wickedd Juniormester
18. november 2003 - 22:01 #11
svc scv .. baah :p
Avatar billede arlet Juniormester
18. november 2003 - 22:04 #12
wickedd -> Det er derfor man skal være meget opmærksom når man tjekker sådan en log...
Avatar billede aalling Nybegynder
18. november 2003 - 22:11 #13
Logfile of HijackThis v1.97.7
Scan saved at 22:11:09, on 18-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programmer\Winamp3\winampa.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\TEXTware\HotKey\TWALINK.EXE
C:\Programmer\ICQ\ICQ.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\WinRAR\WinRAR.exe
C:\Documents and Settings\Bent\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\TWALINK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00619BD00001} (Sydbanks NetBank) - https://netbank.sydbank.dk/ssydbankibp1900ib100.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
18. november 2003 - 22:14 #14
Så er du ren og kan aktiver din systemgendannelse igen.

så skal du hente sp1 til dit windows xp og til IE
Det kan du hente her http://www.it-service.sdu.dk/vis.php?side=84

du skal lige sørge for at få lukket Dcom. Her kan du se hvordan du skal gøre det : http://www.spywarefri.dk/tipsogtricks.htm#DCom Det er et lille bitte prg. som du også skal installere, og der ligger også på dette link en lille manual om hvordan du skal gøre det.


For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Ad-aware

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..

Alt sammen skal løbende opdateres, ligesom dit windows og IE..

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.
Avatar billede mat Nybegynder
18. november 2003 - 22:15 #15
med risiko for at blive meldt for spam, men med chance for at lære noget :)

Arlet >

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime

Hvad er grunden til at du vil flushe den ud, kigger den ikke bare efter updates? Hvis nej, hvilken kilde har du til at det er spyware?

håber det er iorden :)

mvh mat
Avatar billede arlet Juniormester
18. november 2003 - 22:19 #16
Det er rigtigt at det ikke er spyware...

Den bliver fjernet internationalt, så det går i også her.

Grunden er at den ligger og bruger unødige resourser

samt en anden, som jeg pt ikke kan huske..

Men vi fixer den hver gang..
Avatar billede aalling Nybegynder
18. november 2003 - 22:21 #17
tak for det:) har du fået dine point nu?
Avatar billede arlet Juniormester
18. november 2003 - 22:23 #18
velbekommen, ja jeg har fået point og tak for det*S*
Avatar billede mat Nybegynder
18. november 2003 - 22:26 #19
arlet > jamen hvis qttask.exe bruges til at kigge efter updates (og det ved jeg ikke med sikkerhed om den gør når den tilsyneladende launches i boot?) - er det så ikke værd at fortælle hvis man fjerner den at man samtidig fjerner en applikations evne til at oplyse om updates? Eller vil qttask.exe stadig kunne lauches ved køring af applikationen?

mvh mat
Avatar billede mat Nybegynder
18. november 2003 - 22:38 #20
(boot lauchingen er vist bare for at placere qt i tray) - men hos mig bruger qttask.exe lige præcis 00 i cpu og omkring 3 kb memory. Det er ikke meget, og er det ikke problematisk at fjerne ting under foregivende at man "renser" en computer, men reelt set er qttask.exe ikke det i indirekte stempler den som (spyware), men en "ressource-sluger" (der iøvrigt tilsyneladende kan slukkes, ved exit i tray?)

Jeg forsvarer ikke at man skal have et lille ton applikationer kørende non-stop i baggrunden. Men det må være subjektivt om det er "snavs", og det er jo ikke spyware?.

..eller er jeg helt galt på den?

mvh mat
Avatar billede perhaps Nybegynder
16. december 2003 - 15:07 #21
mat-->
Process File: qttask or qttask.exe
Process Name: Quick Time Tray Icon
Description: The Quick Time Tray Icon enables you to start Quick Time from the System Tray
Common Errors: N/A
System Process: No
Itunes helper - from what i can tell, it loads to synch ipods with itunes.
About Itunes: http://club.cdfreaks.com/showthread/t-79277.html
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 13:36 godt råd søges Alternativ styresystem på Mac pc Af luffe1955 i Andre styresystemer
I går 11:32 Hjælp til kontrol af sygefravær Af Maja i Excel
27/0113:59 2 skærme til en stationær computer Af BIRGER i Skærme
26/0119:26 Opstart af ny computer Af Bent i Windows
25/0120:06 Hjemmeside der virker både på mobil og computer Af Strawberry i PHP
White papers
Flere white papers »