Søg
Avatar billede Chewie Novice
28. november 2003 - 12:19 Der er 23 kommentarer og
2 løsninger

HiJackThis til gennemgang

Hej virus eksperter

Jeg sidder med en meget syg maskine som en af mine kammerater har levet til mig ... kan i hjælpe mig med at få stoppet de rigtige processer ?

Logfile of HijackThis v1.97.7
Scan saved at 12:15:15, on 28-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\program files\comsoft\dialers\videoaction_dk\videoaction_dk.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\windows\system32\mscnt.exe
C:\WINDOWS\System32\SahAgent.exe
C:\Program Files\ToPicks\Bin\Idhost.exe
C:\WINDOWS\System32\IEDriver\IEDriver.exe
C:\WINDOWS\System32\SahDownloader.exe
C:\Program Files\RVP\bpc.exe
C:\Program Files\DownloadWare\dw.exe
C:\Program Files\webHancer\Programs\whSurvey.exe
C:\Program Files\webHancer\Programs\whAgent.exe
C:\Program Files\Common Files\CMEII\CMESys.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\navpmc\navpmc.exe
C:\PROGRA~1\ezula\mmod.exe
C:\Program Files\Common Files\GMT\GMT.exe
C:\WINDOWS\System32\SahDownloader.exe
C:\PROGRA~1\Topicks\Bin\hthost.exe
C:\WINDOWS\System32\SahDownloader.exe
C:\WINDOWS\explorer.exe
C:\SpywareGuard\sgmain.exe
C:\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cmd.exe
A:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\sb.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=133654
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie-search.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://yourbookmarks.ws/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie-search.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://itseasy.us/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yourbookmarks.ws/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://itseasy.us/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie-search.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchv.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ie-search.com/srchasst.html (obfuscated)
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_0_0.dll
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296D - (no file)
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\Gr03.dll
O2 - BHO: (no name) - {0352960F-47BE-11D5-AB93-00D0B760B - (no file)
O2 - BHO: (no name) - {0352960F-47BE-11D5-AB93-00D0B760B4EB} - C:\Program Files\Topicks\Bin\HtCheck2.dll
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6B - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0 - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {665ACD90-4541-4836-9FE4-062386BB8F05} - C:\Program Files\Flt\Flt.dll
O2 - BHO: (no name) - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Program Files\Support Software\SS2.DLL
O2 - BHO: (no name) - {947E6D5A-4B9F-4CF4-91B3-562CA8D03313} - C:\Program Files\ClearSearch\IE_ClrSch.DLL
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B0 - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B08 - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084 - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B0848 - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD7 - (no file)
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72 - (no file)
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72A - (no file)
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB - (no file)
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB2 - (no file)
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27 - (no file)
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_0_0.dll
O2 - BHO: (no name) - {CE31A1F7-3D90-4874-8FBE-A5D97 - (no file)
O2 - BHO: (no name) - {CE31A1F7-3D90-4874-8FBE-A5D97F - (no file)
O2 - BHO: (no name) - {CE31A1F7-3D90-4874-8FBE-A5D97F8 - (no file)
O2 - BHO: (no name) - {CE31A1F7-3D90-4874-8FBE-A5D97F8B - (no file)
O2 - BHO: (no name) - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC - (no file)
O2 - BHO: (no name) - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8 - (no file)
O2 - BHO: (no name) - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F - (no file)
O2 - BHO: (no name) - {FAC6E0E1-5D45-4907-BC00-302D - (no file)
O2 - BHO: (no name) - {FAC6E0E1-5D45-4907-BC00-302D7 - (no file)
O2 - BHO: (no name) - {FAC6E0E1-5D45-4907-BC00-302D70 - (no file)
O2 - BHO: (no name) - {FAC6E0E1-5D45-4907-BC00-302D702 - (no file)
O2 - BHO: (no name) - {FAC6E0E1-5D45-4907-BC00-302D702D - (no file)
O2 - BHO: (no name) - {FAC6E0E1-5D45-4907-BC00-302D702DC - (no file)
O2 - BHO: (no name) - {FAC6E0E1-5D45-4907-BC00-302D702DCC - (no file)
O2 - BHO: (no name) - {FAC6E0E1-5D45-4907-BC00-302D702DCC7 - (no file)
O2 - BHO: (no name) - {FAC6E0E1-5D45-4907-BC00-302D702DCC73} - C:\WINDOWS\system32\cpr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O3 - Toolbar: Topicks Categories - {80E81A0E-9741-4FBC-8EE3-3B78C04ADA1D} - C:\Program Files\Topicks\Bin\TpBar.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [VideoAction_dk] c:\program files\comsoft\dialers\videoaction_dk\videoaction_dk.exe /noconnect
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell.dll /c /set -- by windows setup --
O4 - HKLM\..\Run: [Mscnt] c:\windows\system32\mscnt.exe /noconnect
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [ToPicks Starter] C:\Program Files\ToPicks\Bin\Idhost.exe
O4 - HKLM\..\Run: [ClrSchLoader] C:\Program Files\ClearSearch\Loader.exe
O4 - HKLM\..\Run: [IEDriver] C:\WINDOWS\System32\IEDriver\IEDriver.exe
O4 - HKLM\..\Run: [RVP] "C:\Program Files\RVP\bpc.exe"
O4 - HKLM\..\Run: [DownloadWare] "C:\Program Files\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [cpntmgc] C:\WINDOWS\navpmc\navpmc.exe
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Search - c:\windows\ex.htm
O9 - Extra 'Tools' menuitem: MaxSpeed (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Options (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Broken Internet access because of LSP provider 'lsp.dll' missing
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O19 - User stylesheet: c:\windows\system.css
Avatar billede Chewie Novice
28. november 2003 - 12:21 #1
(jeg kan ikke for startet explore .... men den kan godt windowsupdate og MSN)
Avatar billede arlet Juniormester
28. november 2003 - 12:27 #2
Den er også slem, tjekker den med det samme.

Slet ikke noget imens
Avatar billede arlet Juniormester
28. november 2003 - 12:33 #3
Du skal hente Lspfix http://www.cexx.org/LSPFix.exe og trykke gem og lægge den på dit skrivebord. Du har noget snavs der når vi fjerner det måske ødelægger din netforbindelse. Hvis du mister internetforbindelsen når du fixer de ting jeg kommer med skal du kører det lspfix, starte det, klik til fuld skærm, markere I know what I am doing og klikke på finish, genstart og lav en ny logfil, som du smider herind.
Avatar billede Chewie Novice
28. november 2003 - 12:41 #4
Lyder godt :o) Jeg er klar med LSPFix.exe (jeg bliver nød til at køre det fra cmd.exe men det ser ud til at funke
Avatar billede vistodk Nybegynder
28. november 2003 - 12:46 #5
hehe:
C:\program files\comsoft\dialers\videoaction_dk\videoaction_dk.exe
Avatar billede vistodk Nybegynder
28. november 2003 - 12:49 #6
klik på dette link . og kør programmet
ftp://ftpx.download.com/pub/win95/utilities/aaw6.exe

Husk at brug update funktionen
Avatar billede vistodk Nybegynder
28. november 2003 - 12:51 #7
det er godtnok en af de sygeste maskiner jeg har set - har set værre, men det er SJÆLDENT
Avatar billede Chewie Novice
28. november 2003 - 12:52 #8
visto >> ad aware kan ikke være på en diskette og jeg kan ikke gå på nettet fra den anden maskine da explore ikke virker
Avatar billede arlet Juniormester
28. november 2003 - 12:52 #9
chewie ->Først når jeg har tjekket loggen, skal du kører nogen former for scan
Avatar billede Chewie Novice
28. november 2003 - 12:53 #10
(jeg har ogdå prøver spybot)
Avatar billede Chewie Novice
28. november 2003 - 12:54 #11
arlet >> OK
Avatar billede arlet Juniormester
28. november 2003 - 12:57 #12
Jeg fandt da lidt snavs*S*

Der var MEGET snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\sb.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=133654
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie-search.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://yourbookmarks.ws/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie-search.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://itseasy.us/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yourbookmarks.ws/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://itseasy.us/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie-search.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchv.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ie-search.com/srchasst.html (obfuscated)
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_0_0.dll

alle 02

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O3 - Toolbar: Topicks Categories - {80E81A0E-9741-4FBC-8EE3-3B78C04ADA1D} - C:\Program Files\Topicks\Bin\TpBar.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell.dll /c /set -- by windows setup --
O4 - HKLM\..\Run: [Mscnt] c:\windows\system32\mscnt.exe /noconnect
O4 - HKLM\..\Run: [ToPicks Starter] C:\Program Files\ToPicks\Bin\Idhost.exe
O4 - HKLM\..\Run: [ClrSchLoader] C:\Program Files\ClearSearch\Loader.exe
O4 - HKLM\..\Run: [IEDriver] C:\WINDOWS\System32\IEDriver\IEDriver.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O8 - Extra context menu item: Web Search - c:\windows\ex.htm
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Broken Internet access because of LSP provider 'lsp.dll' missing
O19 - User stylesheet: c:\windows\system.css


Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\Program Files\ISTsvc\istsvc.exe
C:\windows\system32\mscnt.exe
C:\WINDOWS\System32\IEDriver\IEDriver.exe
C:\WINDOWS\System32\SahDownloader.exe
C:\Program Files\RVP\bpc.exe
C:\Program Files\DownloadWare\dw.exe
C:\WINDOWS\System32\SahDownloader.exe
C:\PROGRA~1\Topicks <----- hele mappen


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må de aktiver din systemgendannelse igen.
Avatar billede Chewie Novice
28. november 2003 - 13:37 #13
Så nu kan jeg gå på nette igen på denne maskine :o)

Logfile of HijackThis v1.97.7
Scan saved at 13:35:20, on 28-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\program files\comsoft\dialers\videoaction_dk\videoaction_dk.exe
C:\Program Files\Common Files\CMEII\CMESys.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\navpmc\navpmc.exe
C:\PROGRA~1\ezula\mmod.exe
C:\Program Files\Common Files\GMT\GMT.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://google.dk/
O2 - BHO: (no name) - {0352960F-47BE-11D5-AB93-00D0B760B4EB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [VideoAction_dk] c:\program files\comsoft\dialers\videoaction_dk\videoaction_dk.exe /noconnect
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [RVP] "C:\Program Files\RVP\bpc.exe"
O4 - HKLM\..\Run: [DownloadWare] "C:\Program Files\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [cpntmgc] C:\WINDOWS\navpmc\navpmc.exe
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: MaxSpeed (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Options (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
Avatar billede arlet Juniormester
28. november 2003 - 14:19 #14
Skal fixes:
O2 - BHO: (no name) - {0352960F-47BE-11D5-AB93-00D0B760B4EB} - (no file)
O4 - HKLM\..\Run: [RVP] "C:\Program Files\RVP\bpc.exe"
O4 - HKLM\..\Run: [DownloadWare] "C:\Program Files\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe


genstart og ny log
Avatar billede aovergaard Nybegynder
28. november 2003 - 14:35 #15
Der ligger frygtelig meget mere her i den log end du har fået af vide af Arlet. Jeg tjekker den og vender tilbage om lidt med korrekt svar.
Avatar billede Chewie Novice
28. november 2003 - 14:41 #16
Ny hijackthis

Logfile of HijackThis v1.97.7
Scan saved at 14:41:06, on 28-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\program files\comsoft\dialers\videoaction_dk\videoaction_dk.exe
C:\Program Files\Common Files\CMEII\CMESys.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\navpmc\navpmc.exe
C:\PROGRA~1\ezula\mmod.exe
C:\Program Files\Common Files\GMT\GMT.exe
C:\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://google.dk/
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [VideoAction_dk] c:\program files\comsoft\dialers\videoaction_dk\videoaction_dk.exe /noconnect
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [cpntmgc] C:\WINDOWS\navpmc\navpmc.exe
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: MaxSpeed (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Options (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab

-
Avatar billede arlet Juniormester
28. november 2003 - 14:41 #17
Ja, der er et par filer mere, den var så kedelig snavset den log, så den var lidt svær at overskue, så den bliver taget i bidder.
Avatar billede Chewie Novice
28. november 2003 - 14:42 #18
Skal jeg køre en ad-aware og spybot til lige at fjerne det værste ??
Avatar billede aovergaard Nybegynder
28. november 2003 - 14:43 #19
Der er ting som Arlet har overset som er meget vigtigt.

Genstart din computer i fejlsikret tilstand. Her ligger både trojaner gator mm som er overset. Disse er bedst at fjerne i fejsikret tilstand.

Fixes:
O2 - BHO: (no name) - {0352960F-47BE-11D5-AB93-00D0B760B4EB} - (no file)
O4 - HKLM\..\Run: [VideoAction_dk] c:\program files\comsoft\dialers\videoaction_dk\videoaction_dk.exe /noconnect
O4 - HKLM\..\Run: [RVP] "C:\Program Files\RVP\bpc.exe"
O4 - HKLM\..\Run: [DownloadWare] "C:\Program Files\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [cpntmgc] C:\WINDOWS\navpmc\navpmc.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

Find og fjern disse prg.
C:\Program Files\Common Files\GMT\GMT.exe
C:\PROGRA~1\ezula\mmod.exe
C:\Program Files\Common Files\CMEII\CMESys.exe
C:\program files\comsoft\dialers\videoaction_dk\videoaction_dk.exe
Avatar billede kenp Novice
28. november 2003 - 14:53 #20
arlet ->den var da ikke så lang anden gang den blev lagt :)
Avatar billede Chewie Novice
28. november 2003 - 15:31 #21
så må det være sidste gang

Logfile of HijackThis v1.97.7
Scan saved at 15:29:10, on 28-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://google.dk/
R3 - Default URLSearchHook is missing
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: MaxSpeed (HKLM)
O9 - Extra button: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Options (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
Avatar billede aovergaard Nybegynder
28. november 2003 - 15:52 #22
R3 - Default URLSearchHook is missing
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)

De to filer her betyder at dit Norton geninstalleres. Den mangler nogle oplysninger. Det er nok alt det utøj du havde, som har deaktiveret dit virusprg. Men bortset fra det, så fik jeg fjernet det hele i et hug.

Du kan nu roligt aktiver din systemgendannelse igen.

Og så skal du sørge for at komme ud og få opdateret dit Windows. Gør du ikke det, så varer det ikke længe før du er her igen.

Du skal også have lidt råd med på vejen.

Jeg har her lavet en lille ”paranoia pakke” fyldt med bitte små prg. som ikke fylder meget på din computer, og som alle kører uden at de konflikter med hinanden. Alle programmerne er garanteret fri for spyware og er desuden Free prg. Du syntes sikkert, det var da frygtelig mange prg. som du skal installere, men det er desværre blevet sådan at det faktisk ikke mere er virus som er Internettets store problem, men i højere grad spyware, trojanere, malware og hijacking. De prg. som jeg vil foreslå at du kan installere er følgende, som du alle kan finde på dette link: http://www.spywarefri.dk gå til værktøjer, her er de alle og på de fleste er der også en dansk manual. Hvis du installere alle disse små programmer kan du roligt surfe på Nettet uden du skal sidde og være bange for at få alt for meget skidt med ned på din computer.

Man kan hver dag på forsiden af Spywarefri se om der er nye opdateringer. Husk at opdater jævnligt, det er meget vigtigt, for at få den maksimale beskyttelse af programmerne.

Antivirusprg: 
Et godt bud her er Avast som kan rigtig meget. Indeholder en email-scanner . Opdaterer virusdefinitionerne. Dette Antivirus prg. er på fuld højde med dem man køber, hvad angår effektivitet. Ok, layout er gammeldags, men det kommer også fra Tjekkiet, men det er et virkelig godt prg.
Derudover er det en god ting engang imellem at onlinescanne for virus. Dette kan du også gøre på spywarefri. Du bør også onlinescanne for spyware og det kan du gøre med X-Cleaner som du ligeledes kan finde på spywarefri.

SpywareGuard.
SpywareGuard. Dette prg. fungerer på samme måde som et Antivirus prg. Det ligger og passer på dig i baggrunden, bare imod spyware og malware i stedet for virus, men fungerer i princippet på samme måde. Derudover passer dette prg. også på at du ikke bliver hijacked.

Spywareblaster.
Det er et lille prg. som ligger sig i registreringsdatabasen og sørger for at der ikke kommer spy på din computer.

Spybot el. Ad-aware.
Spybot el. Ad-aware. Spybot er nok den som finder mest af disse to, men jeg ville nok installere dem begge to hvis jeg var dig, det som det ene prg. ikke finder, finder det andet prg. Det disse prg. gør er, hvis du får noget spy ind på din pc som Spywareblaster ikke kender, kan de finde og fjerne dette spy.

IE-Spyad.
Et lille prg. som ligger sig i registreringsdatabasen. Det ligger en mængde kendte spy Url adresser ind i klassificeret zone, således at du ikke ved et uheld kommer ind på disse grimme spysider.

Startup Monitor
Kunne også være rar at have installeret. Det er et lille prg. som også ligger sig i registreringsdatabasen. Det som dette prg. kan gøre for dig er, hvis der lige pludselig uden dit vidende ligger sig et prg. f.eks. en trojansk hest i din regedit, vil du blive alarmeret om at der er et prg. som vil ligge sig her, og du vil bliver spurgt om du nu også vil tillade dette.


EmtyTempFolder
Dette prg. tømmer hver 5 min. alle dine cookies. Det kan også sættes til automatisk at tømme din History samt alle URL adresser som du har været ude på. Er god til at rydde op i alle disse adresser, cookies og history som man har liggende og fylde på computeren.

Hvis man så har enten kabelnet eller ADSL ja så ville jeg jo også varmt anbefale en firewall. Det er desværre alt for nemt for en hacker at komme inde på din computer hvis du ikke har installeret en firewall. Et godt bud her kunne være Bitguard som du kan købe her: http://www.tryus.dk/start.asp
Dette er kun vejledende men jeg mener dog at du som det mindste bør installere: SpywareBlaster, SpywareGuard, Spybot, EmtyTempFolder (nej til cookies på din pc) og IE-Spyad og så selvfølgelig et Antivirusprg.

Udover jeg har fortalt dig at det er utrolig vigtigt hele tiden at opdatere de forskellige programmer mod både Spyware og virus, så er det også meget vigtigt at du hele tiden sørger for at opdatere din Firewall og ikke mindst dit styresystem Windows.

Så kan jeg også kun varmt anbefale dig at få lukket for Dcom. Det kan du gøre via dette link: http://www.spywarefri.dk/tipsogtricks.htm#DCom her kan du også læse lidt om Dcom, hvad det er for noget, samt at det er noget du slet ikke har brug for, så vil jeg stærk anbefale dig at lukke for denne. Vi er blevet gjort opmærksomme på at der er nye varianter af Blaster virus på vej, som vil gå gennem Dcom. Det skal heller ikke være nogen hemmelighed at det faktisk er ved at være et krav at man også kører med en firewall som beskyttelse, især lige nu hvor der er flere huller i IE som WindowsUpdate ikke har nogen løsning på lige pt.

Aovergaard/Team Spywarefri
Avatar billede Chewie Novice
28. november 2003 - 16:57 #23
Mange tak for hjælpen til jer alle .... det ser ud computeren spiller igen (og den køre dobbelt så hurtigt som får) jeg vil installere alle programmerne og så håber jeg ikke jeg får lever en så beskidt computer igen fra min kammerat

God weekend
Avatar billede aovergaard Nybegynder
28. november 2003 - 17:10 #24
Tak i lige måde. Husk at lukke spørgsmålet igen *S*
Avatar billede aovergaard Nybegynder
29. november 2003 - 12:24 #25
Takker for point;)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 11:48 Nyåbnede sider flimrer på Android tablet, hvorfor Af annam i Andet software
I dag 11:03 Bitlocker fordele-ulemper, samt nulstille PC Af Uvanga i Windows
I går 11:00 IIS på Win10 64 bit Af bsn i Webservere
I går 09:01 Bitlocker Af Chevy396 i Windows
18/0501:57 Tjek alle checkbox i form Af bsn i ASP
White papers
Flere white papers »