Søg
Avatar billede satanic_raven Nybegynder
23. januar 2004 - 02:54 Der er 11 kommentarer og
1 løsning

HijackThis Log tjek

Har selv nogen viden indenfor spyware m.m., men kan ikke finde noget snavs i nedenstående log.

Problemet er, at efter en total skanning med Ad-Aware (nyeste version og definiations) fremkommer  der alligevel en popup en gang imellem (ca. hver 3. time). Popup'en bliver dog lukket ned med det samme af min popup-blocker, men alligevel vises skrivebordet, hvilket får nogle spil til at chrashe, hvilker et irriterende.

Her er loggen så:
Logfile of HijackThis v1.97.7
Scan saved at 02:50:05, on 23-01-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\NORTON~2\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Creative\SBLive\AudioHQ\AHQTBU.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Rathan_TUC\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = Cache-hors.stofanet.dk:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL;ctaud2k.sys
O4 - HKLM\..\Run: [openalReg] REGSVR32.EXE /S openal32.dll;haP16v2k.sys
O4 - HKLM\..\Run: [EAXAC3Reg] REGSVR32.EXE /S EAXAC3.DLL;haP16v2k.sys
O4 - HKLM\..\Run: [mmdrvReg] REGSVR32.EXE /S mmdrv.dll;ctaud2k.sys
O4 - HKLM\..\Run: [AudioHQU] C:\Programmer\Creative\SBLive\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [MXEPK] C:\WINDOWS\MXEPK.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Ad-aware] "C:\Programmer\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE"
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpywareBlaster.lnk = C:\Programmer\SpywareBlaster\spywareblaster.exe
O4 - Global Startup: GStartup.lnk = ?
O8 - Extra context menu item: Download All by FlashGet - C:\Programmer\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programmer\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1E69721D-9104-11D3-82D3-D06650C10000} (DafoloControl Class) - http://www.dafolo.dk/dafolo/kommuner/version3/Codebase/dafolo.CAB
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.blizzard.com/support/includes/cabs/si.cab
O16 - DPF: {85D6F6C3-97FE-11D1-86CC-080009B6ACE6} (JetForm Image Filter (TIF)) - http://www.dafolo.dk/dafolo/kommuner/version3/codebase/imagetif.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37594.2054050926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw11fd.law11.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab



Håber at der er nogen der vil hjælpe...
Avatar billede satanic_raven Nybegynder
23. januar 2004 - 02:56 #1
Tilføjer så lige, at jeg godt kunne tænke mig noget info om hvad den CTHELPER er, da den nogle gange sluger 100% CPU kraft...

S.R.
Avatar billede aovergaard Nybegynder
23. januar 2004 - 03:15 #2
hmm men du har da gator mm. liggende i den log der.

Som det første bør du afinstallere P2P Networking via tilføj fjern prg.

Vender tilbage til dig med svar på resten.
Avatar billede satanic_raven Nybegynder
23. januar 2004 - 03:18 #3
P2P networking blev slettet for ca. 2 uger siden, og findes ikke på listen under tilføj/fjern prg.

S.R.
Avatar billede aovergaard Nybegynder
23. januar 2004 - 03:40 #4
Ok, men den ligger i din log, jeg tager resterne af den nu.

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her:  http://spywarefri.dk/virusscannere.htm#alle
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: GStartup.lnk = ?

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.blizzard.com/support/includes/cabs/si.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab

Disse er unødvendige at have liggende I din opstart, da de alle kan nås via startprogrammer. De ligger bare og ”sluger” computerens kræfter.
Du kan Fjerne vingen til venstre for følgende programmer, hvis du ønsker det:
Start
Kør
Skriv: msconfig
Ok
Fanebladet start

[SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
[nwiz] nwiz.exe /install
[CloneCDElbyCDFL] "C:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
[WINDVDPatch] CTHELPER.EXE

Genstart og kom med en ny log til tjek. Nu skulle du meget gerne kunne mærke at der ikke bliver brugt alle din cpu kræfter. Noget af det er ikke egentlig snavs, men overflødige ting. Hvis du selv kan se de alle er væk, så behøver jeg ikke se ny log fra díg. Og nu vil jeg godt nok også se dyner. Godnat.
Avatar billede satanic_raven Nybegynder
23. januar 2004 - 03:56 #5
Takker for det, alle de nævnte er væk nu, men har lige et spm...

I mappen hvor HijackThis er placeret, er der nu en stor bunke filer som ikke var der før, alle sammen noget med backup. Kan jeg bare slette dem, eller er det bedst at lade dem ligge?

S.R.
Avatar billede fromsej Praktikant
23. januar 2004 - 07:11 #6
De backupfiler kan du roligt slette igen.
Avatar billede satanic_raven Nybegynder
23. januar 2004 - 12:05 #7
Ok... Takker for det...

S.R.
Avatar billede aovergaard Nybegynder
23. januar 2004 - 12:17 #8
Velbekommen, takker for Point:)
Avatar billede viciodk Praktikant
23. januar 2004 - 12:27 #9
aovergaard -> Håber det er okay jeg bryder ind :) Hvad er det som er så farligt ved

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

Den har jeg også liggende lige som at jeg OGSÅ har den her:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Umiddelbart ville jeg da tro at man både skal have et plugin til Flash-film lavet i Flash og et plugin til Flash-film lavet i Director. Jeg spurgte Arlet men fik dette rimelig mystiske svar tilbage

"Den bliver altid slettet, men den kommer igen.. Det er en ActiveX, og den kan være skadelig, derfor bliver den slettet"

Men det andet plugin er da også ActiveX (selv om det ikke står i pluginnets titel)?
Avatar billede aovergaard Nybegynder
23. januar 2004 - 16:30 #10
viciodk-> Vi har nogle samarbejdspartenere i USA, og prøver at køre en ens linje. De mener at denne O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab er lidt mere "farlig" end den anden, og vi er derfor enige om at vi fixer den allesammen. Alt i alt kunne man faktisk roligt fixe alle sine filer der ligger der, for hvis der er brug for dem, så kommer de automatisk igen. Det er lidt rart hvis spørgeren ikke bliver forvirret over at en fixer den, og en anden lader den være. Det er kun at gøre den stakkels spørger mere forvirret. *S*
Avatar billede viciodk Praktikant
23. januar 2004 - 17:09 #11
Anette: Det var i hvert fald et svar jeg kunne bruge til noget. Tak :)
Avatar billede aovergaard Nybegynder
24. januar 2004 - 05:48 #12
viciodk-> Velbekommen ;)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
54 min siden PLEX Media Server : Har Orange Trekanter Af Ikke-ekspert i Fri debat
I dag 16:33 OneDrive kan ikke tilgås Af Perba i Office & Kontorpakker
I dag 14:32 Træk data fra ny lokation ved måneds skift Af Hezo i Excel
I dag 13:54 Uønsket "tekst TV" på Denver 24" LED TV MPEG4 DVBT/C TV Af ole falsted i Fjernsyn & projektorer
I dag 10:54 PDF app til Android - Samsung Galaxy XCover 5 Af ErikHg i Andet software
White papers
Flere white papers »