Søg
Avatar billede chivalrous Nybegynder
05. januar 2004 - 23:37 Der er 11 kommentarer og
1 løsning

HiJackLog - Gennemgang

Er der en, der gider kigge på denne log. Tror ikke, der er noget galt, men for en sikkerhedsskyld.


Logfile of HijackThis v1.97.7
Scan saved at 23:35:04, on 05-01-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\Programmer\Toshiba\Toshiba-programmer\TFncKy.exe
C:\Programmer\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Programmer\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Gallup Interactive\NetBehaviour\NetBehaviour.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Richard\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dating.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Richard...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [TFncKy] C:\Programmer\Toshiba\Toshiba-programmer\TFncKy.exe /Type 01
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Programmer\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Programmer\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmer\Creative\WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NetBehaviour.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PopupPopper Kontrol Panel (HKLM)
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
Avatar billede victor-1 Nybegynder
05. januar 2004 - 23:50 #1
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: PopupPopper Kontrol Panel (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Dette er hvad jeg umiddelbart mener burde fjernes, uden dog at være 100% sikker. Er meget usikker omkring alt det "hotkey" halløj som er installeret, derfor er de ikke nævnt her.
Kender du proceduren for fjernelse ?
Avatar billede chivalrous Nybegynder
05. januar 2004 - 23:54 #2
hmm... Hvorfor vil du have messenger slettet, det er da ikke spyware.

Vil gerne være 100% på det der skal fixes...
Avatar billede ducks Nybegynder
06. januar 2004 - 00:00 #3
MSN+ indeholder meget spyware, men jeg mener det kan slettes uden at fjerne programmet.

msnmsgr.exe er jo, som chivalrous siger, bare msn.

qttask er det ikon quicktime lægger i processlinie og der tror jeg heller ikke der er noget skadeligt.

Hvis du venter kommer der nok en fra spywarefri fordi, som ved det hele 100% :)
Avatar billede ducks Nybegynder
06. januar 2004 - 00:00 #4
fordi = forbi
Avatar billede victor-1 Nybegynder
06. januar 2004 - 00:01 #5
Det er ikke Messenger som sådan - det er Messenger Plus! 2 og den bliver rask væk fjernet hos alle som smider en log herind.

Kender du proceduren for fjernelse ?
Avatar billede aovergaard Nybegynder
06. januar 2004 - 02:32 #6
Du har virus, nu skal jeg tjekke din log rigtig for dig.
Avatar billede aovergaard Nybegynder
06. januar 2004 - 02:52 #7
Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her:  http://spywarefri.dk/virusscannere.htm#alle
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min => din virus
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE

Genstart din computer, kør en ny scanning med HijackThis, kopier en ny log herind til tjek.

Du kan Fjerne vingen til venstre for følgende programmer, hvis du ønsker det:
Start
Kør
Skriv: msconfig
Ok
Fanebladet start
[MsmqIntCert] regsvr32 /s mqrt.dll
[NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
[NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
Avatar billede chivalrous Nybegynder
06. januar 2004 - 15:36 #8
Til aovergaard:
Så er det fixet. Her er den nye log:

Logfile of HijackThis v1.97.7
Scan saved at 15:32:48, on 06-01-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\Programmer\Toshiba\Toshiba-programmer\TFncKy.exe
C:\Programmer\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Programmer\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Gallup Interactive\NetBehaviour\NetBehaviour.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Documents and Settings\Richard\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dating.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Richard...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [TFncKy] C:\Programmer\Toshiba\Toshiba-programmer\TFncKy.exe /Type 01
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Programmer\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Programmer\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmer\Creative\WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: NetBehaviour.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PopupPopper Kontrol Panel (HKLM)
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab


Håber, det er i orden nu.
Avatar billede chivalrous Nybegynder
06. januar 2004 - 15:43 #9
Til aovergaard.

Efter genstart er der nu 6 nye ikoner på mit skrivebord, som hedder følgende:

backup-20040106-152848-436
backup-20040106-152848-646
backup-20040106-152848-834
backup-20040106-152848-831
backup-20040106-152848-656
backup-20040106-152848-646-Microsoft Office

Skal de slettes?
Avatar billede aovergaard Nybegynder
07. januar 2004 - 01:08 #10
Hej chivalrous. Din log er helt clean nu, så du kan roligt aktivere din systemgendannelse igen.

De filer du har liggende på dit skrivebord, er backup af de filer som jeg har slette for dig. Dem kan du bare slette og så tømme din papirkurv. Så er det snavs væk.

Disse er unødvendige at have liggende I din opstart, da de alle kan nås via startprogrammer. De ligger bare og ”sluger” computerens kræfter.
Du kan Fjerne vingen til venstre for følgende programmer, hvis du ønsker det:
Start
Kør
Skriv: msconfig
Ok
Fanebladet start

[MsmqIntCert] regsvr32 /s mqrt.dll
[NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
[NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

Lidt råd med på vejen frem til et mere sikkert liv på Internettet: http://www.spywarefri.dk/pakken.htm
Avatar billede chivalrous Nybegynder
07. januar 2004 - 21:01 #11
Mange tak for hjælpen...:)
Avatar billede aovergaard Nybegynder
08. januar 2004 - 13:01 #12
Velbekommen, tak for point:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
28 min siden Manglende kode Af Bent i Windows
I går 22:13 Outlook classic "hænger" når jeg vil åbne vedhæftede filer Af torzen i Office & Kontorpakker
I går 20:11 en word dotx fil stilles om til at blive gemt i skyen Af per2edb i Access
15/0410:54 password Af Malm i E-mail programmer
14/0417:59 Installation af Thunderbird mailprogram Af mort1 i E-mail programmer
White papers
Flere white papers »