Søg
Avatar billede keldy Nybegynder
21. december 2003 - 22:32 Der er 18 kommentarer og
2 løsninger

Hvorfor bliver jeg scannet helt vildt hele tiden ?

Hejsa

Jeg synes jeg bliver scannet helt vildt hele tiden.
Er det normalt ?
Jeg bruger en outpost-firewall, og når jeg prøver diverse testprogrammer, får jeg at vide at der er lukket for portene. Jeg har faktisk ikke så meget forstand på det, men ser nedenstående logfil fra mi firewall normal ud ?
-Eller har jeg noget liggende og rode ?


21-12-2003 22:30:43    Connection request    200.67.161.62    UDP(137)
21-12-2003 22:29:29    Connection request    24.91.233.53    TCP(3112)
21-12-2003 22:28:43    Connection request    80.162.23.50    ICMP(2048)
21-12-2003 22:28:10    Connection request    200.158.19.62    UDP(137)
21-12-2003 22:27:32    Port scanned    80.164.96.150    TCP(445)
21-12-2003 22:27:32    Connection request    80.164.96.150    TCP(445)
21-12-2003 22:24:10    Connection request    24.91.233.53    TCP(3112)
21-12-2003 22:23:08    Connection request    202.168.100.237    UDP(137)
21-12-2003 22:20:42    Connection request    24.91.233.53    TCP(3112)
21-12-2003 22:19:34    Connection request    80.167.77.109    ICMP(2048)
21-12-2003 22:18:55    Connection request    80.162.137.146    ICMP(2048)
21-12-2003 22:17:37    Connection request    218.247.212.24    UDP(137)
21-12-2003 22:17:08    Port scanned    80.164.45.45    TCP(445)
21-12-2003 22:17:08    Connection request    80.164.45.45    TCP(445)
21-12-2003 22:16:56    Connection request    24.91.233.53    TCP(3112)
21-12-2003 22:13:47    Port scanned    80.164.64.246    TCP(445)
21-12-2003 22:13:47    Connection request    80.164.64.246    TCP(445)
21-12-2003 22:11:19    Port scanned    80.164.96.209    TCP(445)
21-12-2003 22:11:19    Connection request    80.164.96.209    TCP(445)
21-12-2003 22:09:25    Connection request    24.91.233.53    TCP(3112)
21-12-2003 22:08:31    Port scanned    80.164.127.10    TCP(445)
21-12-2003 22:08:31    Connection request    80.164.127.10    TCP(445)
21-12-2003 22:06:43    Port scanned    80.164.96.25    TCP(445)
21-12-2003 22:06:43    Connection request    80.164.96.25    TCP(445)
21-12-2003 22:06:24    Connection request    80.167.76.185    ICMP(2048)
21-12-2003 22:05:57    Connection request    24.91.233.53    TCP(3112)
21-12-2003 22:03:41    Port scanned    80.164.96.27    TCP(445)
21-12-2003 22:03:41    Connection request    80.164.96.27    TCP(445)
21-12-2003 22:03:37    Connection request    80.163.4.179    ICMP(2048)
21-12-2003 22:02:27    Connection request    24.91.233.53    TCP(3112)
21-12-2003 22:00:33    Port scanned    80.164.96.150    TCP(445)
21-12-2003 22:00:33    Connection request    80.164.96.150    TCP(445)
21-12-2003 22:00:00    Port scanned    80.164.96.209    TCP(445)
21-12-2003 22:00:00    Connection request    80.164.96.209    TCP(445)
21-12-2003 21:58:41    Connection request    24.91.233.53    TCP(3112)
21-12-2003 21:58:09    Connection request    213.22.59.48    UDP(137)
21-12-2003 21:56:19    Port scanned    80.164.74.168    TCP(445)
21-12-2003 21:56:19    Connection request    80.164.74.168    TCP(445)
21-12-2003 21:55:36    Port scanned    80.164.96.162    TCP(445)
21-12-2003 21:55:36    Connection request    80.164.96.162    TCP(445)
21-12-2003 21:55:12    Connection request    24.91.233.53    TCP(3112)
21-12-2003 21:55:06    Connection request    80.59.23.219    UDP(137)
21-12-2003 21:54:15    Port scanned    80.164.98.165    TCP(445)
21-12-2003 21:54:15    Connection request    80.164.98.165    TCP(445)
21-12-2003 21:53:39    Port scanned    80.164.98.140    TCP(445)
21-12-2003 21:53:39    Connection request    80.164.98.140    TCP(445)
21-12-2003 21:52:39    Port scanned    80.164.96.25    TCP(445)
21-12-2003 21:52:39    Connection request    80.164.96.25    TCP(445)
21-12-2003 21:51:42    Connection request    80.54.87.163    UDP(137)
21-12-2003 21:50:45    Connection request    80.161.140.119    ICMP(2048)
21-12-2003 21:49:51    Connection request    24.91.233.53    TCP(3112)
21-12-2003 21:48:56    Port scanned    80.164.22.169    TCP(445)
21-12-2003 21:48:56    Connection request    80.164.22.169    TCP(445)
21-12-2003 21:48:15    Connection request    200.232.135.212    UDP(137)
21-12-2003 21:46:06    Connection request    24.91.233.53    TCP(3112)
21-12-2003 21:45:26    Port scanned    80.164.15.78    TCP(445)
21-12-2003 21:45:26    Connection request    80.164.15.78    TCP(445)
21-12-2003 21:44:52    Port scanned    81.195.208.195    TCP(445)
21-12-2003 21:44:52    Connection request    81.195.208.195    TCP(445)
21-12-2003 21:43:02    Connection request    80.110.248.187    TCP(1781)
21-12-2003 21:42:52    Port scanned    80.164.107.247    TCP(445)
21-12-2003 21:42:52    Connection request    80.164.107.247    TCP(445)
21-12-2003 21:42:19    Connection request    24.91.233.53    TCP(3112)
21-12-2003 21:42:08    Port scanned    80.164.96.234    TCP(445)
21-12-2003 21:42:08    Connection request    80.164.96.234    TCP(445)
21-12-2003 21:41:43    Port scanned    80.164.84.10    TCP(445)
21-12-2003 21:41:43    Connection request    80.164.84.10    TCP(445)
21-12-2003 21:39:05    Connection request    62.135.44.44    UDP(1434)
21-12-2003 21:38:26    Connection request    217.217.85.59    UDP(137)
21-12-2003 21:38:02    Connection request    80.110.248.187    TCP(1781)
21-12-2003 21:37:14    Connection request    219.128.11.46    UDP(137)
21-12-2003 21:36:53    Connection request    80.110.248.187    TCP(1781)
21-12-2003 21:36:03    Connection request    66.142.47.131    UDP(137)
21-12-2003 21:35:34    Connection request    61.39.74.238    UDP(137)
21-12-2003 21:34:55    Connection request    80.110.248.187    TCP(1781)
21-12-2003 21:34:35    Connection request    80.161.77.154    ICMP(2048)
21-12-2003 21:34:20    Port scanned    80.164.38.236    TCP(445)
21-12-2003 21:34:20    Connection request    80.164.38.236    TCP(445)
21-12-2003 21:33:17    Connection request    80.167.195.221    ICMP(2048)
21-12-2003 21:33:01    Connection request    66.203.184.246    UDP(137)
21-12-2003 21:32:58    Connection request    80.162.34.113    ICMP(2048)
Avatar billede arlet Juniormester
21. december 2003 - 22:39 #1
Vi kan da kigge om det er noget snavs, der vil ud på nettet

For at løse problemet skal du hente 2 programmer.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, alle filer den har fundet, der er røde skal markeres, tryk så på afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.


Du må ikke fixe noget selv. Når vi har tjekket loggen igennem fortæller vi dig hvad du skal slette..

Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm
Avatar billede keldy Nybegynder
21. december 2003 - 22:44 #2
ok jeg går i gang
Avatar billede bufferzone Praktikant
21. december 2003 - 22:55 #3
Det ligner en af de nye orme der er i gang, den scanner især portene 445 og 137 der er typiske netbiosporte. Trafikken initieres ikke fra noget der findes på din pc, men kommer ude fra.

Hvis du vil være helt sikker slår du netbios fra (dette kan du sagtens hvis du ikke laver noget fildeling med andre windowsmaskiner). højreklik netværkssteder og vælg egenskaber. hjøreklik dit netkort og vælg egenskaber. Marker TCP protokollen tag egenskaber og fravælg alt undtagen TCP, så har du ikke netbios på din maskine og der kan ikke connectes til dem.

Jeg kikker lige på de porte der ligger over 1024 for at se om der skulle være noget nyt
Avatar billede bufferzone Praktikant
21. december 2003 - 22:57 #4
UDP port 1434 er en ny SQL orm
http://www.dslreports.com/forum/remark,5771929~root=security,1~mode=flat
Avatar billede bufferzone Praktikant
21. december 2003 - 23:01 #5
ICMP port 2048 kan du læse om her
http://lists.jammed.com/incidents/2003/08/0306.html
Avatar billede keldy Nybegynder
21. december 2003 - 23:07 #6
Hej arlet

her er loggen


Logfile of HijackThis v1.97.7
Scan saved at 23:06:48, on 21-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ClickTray Calendar\ClickTray.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Documents and Settings\Fælles\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programmer\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SPYWATCH] C:\Programmer\BulletProofSoft.com\SpywareRemover\SpyWatch.exe /STARTUP
O4 - Startup: ClickTray Calendar.lnk = C:\Program Files\ClickTray Calendar\ClickTray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: RealGuide (HKLM)
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://194.158.29.50/activex/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37586.4654513889
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/bgnetbank/activex/DanskeSikker.cab
Avatar billede bufferzone Praktikant
21. december 2003 - 23:09 #7
Kontroller følgende:

Er du fuldt opdateret, med alle servicepacks og sikkerheds updates, hvis ikke så gå i gang med det samme.

Kik på dine services, fjern dem du ikke bahøver. Prøv dig frem, du vil se at de fleste kan fjernes uden problemer

Hvis du har en IIS installeret, så brug MS baseline security analyzer og MS IIS lockdown tool.

Kik på din firewall og kontroller din opsætning, hvad er åbent udefra, er der noget af det der kan lukkes. Hvad er obent indefra, det meste af dette bør lukkes.
Avatar billede keldy Nybegynder
21. december 2003 - 23:11 #8
hej bufferzone

Tak for hjælpen, men svaret går lidt over min formåen. HVad er IIS  ?
Ellers er jeg opdateret, og firewallopsætningen skulle være OK
Avatar billede arlet Juniormester
21. december 2003 - 23:13 #9
Der var ikke noget alvorligt i den log, men lidt småting

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.
Avatar billede bufferzone Praktikant
21. december 2003 - 23:17 #10
IIS er Internet Information Server, Microsofts Web server.

Det din Log fil viser er scanninger fra en eller to orme. Du bør helt sikkert følge arlets råd,og fixe det han siger, det er skidt, men har ikke så meget med din firewall log at gøre.
Hvis din firewall er ordentligt konfiguraret og du er fuldt opdateret, bør du ikke bekymre dig meget om disse entries, de vil komme periodevis når en ny orm findes. Du bør dog altid reagere når det sker, det kunne jo være at en orm udnyttede et hul du har og dermed inficerede dig. Jeg er dog ret sikker på at disse orme ikke kan berøre dig, især ikke hvis du ikke har IIS og SQL server installeret på dit system
Avatar billede keldy Nybegynder
21. december 2003 - 23:22 #11
Logfile of HijackThis v1.97.7
Scan saved at 23:20:49, on 21-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ClickTray Calendar\ClickTray.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\NORMAN\Nvc\BIN\NVCOA.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\NVCOA.EXE
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Fælles\Skrivebord\HijackThis.exe
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\Programmer\Fælles filer\Agnitum Shared\Aupdate\aupdrun.exe
C:\NORMAN\Nvc\BIN\cclaw.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programmer\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SPYWATCH] C:\Programmer\BulletProofSoft.com\SpywareRemover\SpyWatch.exe /STARTUP
O4 - Startup: ClickTray Calendar.lnk = C:\Program Files\ClickTray Calendar\ClickTray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://194.158.29.50/activex/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37586.4654513889
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/bgnetbank/activex/DanskeSikker.cab
Avatar billede keldy Nybegynder
21. december 2003 - 23:22 #12
hej arlet
det var så den nye logfil
gendannelse er slået fra
Avatar billede arlet Juniormester
21. december 2003 - 23:23 #13
Denne skal lige fixes:
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

genstart og ny log
Avatar billede keldy Nybegynder
21. december 2003 - 23:24 #14
hej bufferzone
Jeg mener ikke at jeg har Internet Information Server eller sql-server installeret, men hvordan tjekker jeg egentlig det ?
Avatar billede keldy Nybegynder
21. december 2003 - 23:24 #15
ok arlet
Avatar billede keldy Nybegynder
21. december 2003 - 23:28 #16
Logfile of HijackThis v1.97.7
Scan saved at 23:27:36, on 21-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ClickTray Calendar\ClickTray.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\Documents and Settings\Fælles\Skrivebord\HijackThis.exe
C:\NORMAN\Nvc\BIN\cclaw.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programmer\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SPYWATCH] C:\Programmer\BulletProofSoft.com\SpywareRemover\SpyWatch.exe /STARTUP
O4 - Startup: ClickTray Calendar.lnk = C:\Program Files\ClickTray Calendar\ClickTray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://194.158.29.50/activex/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37586.4654513889
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/bgnetbank/activex/DanskeSikker.cab
Avatar billede arlet Juniormester
21. december 2003 - 23:30 #17
Så kan du godt aktiver din systemgendannelse igen

For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende freeware programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Empty Temp Folders

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..

Alt sammen skal løbende opdateres, Du kan følge med hvornår programmet sidst er opdateret nederst på www.spywarefri.dk.

Det er meget vigtigt at du også holder dit windows og IE opdateret.

du skal lige sørge for at få lukket Dcom. Her kan du se hvordan du skal gøre det : http://www.spywarefri.dk/tipsogtricks.htm#DCom

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.

Hvis du stadig har problemer, så hør på Bufferzone, for loggen er ren nu og det var hvad jeg kunne her*S*
Avatar billede keldy Nybegynder
21. december 2003 - 23:32 #18
Tak for hjælpen
Håber det hjælper
Er det ok med 50 til dig og 10 til bufferzone ?
Avatar billede arlet Juniormester
21. december 2003 - 23:36 #19
Ved ikke om bufferzone har mere i ærmet??
Avatar billede keldy Nybegynder
21. december 2003 - 23:37 #20
OK, tror det ikke, da der er blevet stille fra den kant.
Tak for hjælpen. Håber det hjælper.
Hejsa
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
8 min siden Gendanne slettet partition overskrevet med Windows 11 Af Strawberry i Windows
I dag 16:11 Samle data fra flere kolonner i 1 Af FinnLauridsen i Excel
I dag 14:44 ny fjernbetjening til DVD afspiller fra 2004 Af Nette i Andet hardware
I dag 12:36 Manglende kode Af Bent i Windows
I går 22:13 Outlook classic "hænger" når jeg vil åbne vedhæftede filer Af torzen i Office & Kontorpakker
White papers
Flere white papers »