Søg
Avatar billede enevold1 Nybegynder
02. marts 2004 - 15:42 Der er 48 kommentarer

Hijackthis og CWShredder logfiler - samme problem som forrige!

Samme spørgsmål som før - blot vil jeg gerne give flere point hvis der er nogen der vil hjælpe mig med at se disse logs igennem og finde ud af hvor problemet er og hvordan det kan løses!

Anders


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\rundll32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\SpeedFan\speedfan.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Anders Enevold\Lokale indstillinger\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://list2004.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://1-se.com/home.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\homepage.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://tdyitt.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [o029j5dngv] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [ggjxzie01y] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [ddc8xh08jc] C:\WINDOWS\skcye60m1e.exe
O4 - HKLM\..\Run: [4x42n5um5w] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [2u8659sxn9] C:\WINDOWS\skcye60m1e.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\winrar.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O13 - DefaultPrefix: http://list2004.com/p/
O13 - WWW Prefix: http://list2004.com/p/
O16 - DPF: IEToolbarCab - http://www.dailytoolbar.com/DailyToolbarAff.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
02. marts 2004 - 15:44 #1
genstart og kom med en ny log
Avatar billede arlet Juniormester
02. marts 2004 - 15:50 #2
for alle de R1 skulle cwshredder gerne have taget
Avatar billede fromsej Praktikant
02. marts 2004 - 16:52 #3
Med CWShredder skal du ikke klikke på Scan only, men på Fix i højre hjørne, ellers fjerner den ingenting.
Avatar billede fromsej Praktikant
02. marts 2004 - 16:53 #4
Først Check for updates, så Fix.
Avatar billede enevold1 Nybegynder
02. marts 2004 - 17:19 #5
CWShredder opdateres ikke - jeg får denne besked og efterfølgende påstår den at min computer er clean når jeg har trykket fix...
Unable to retrieve CWShredder update information. The server might be unavailable, try again later.

Og nu får jeg dette efter hijackthis:

Logfile of HijackThis v1.97.5
Scan saved at 17:18:22, on 02-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\rundll32.exe
C:\WINDOWS\System32\mshta.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
c:\mdmhelpv.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Anders Enevold\Lokale indstillinger\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.inf/?id=54
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.inf/?id=54
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [o029j5dngv] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [ggjxzie01y] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [ddc8xh08jc] C:\WINDOWS\skcye60m1e.exe
O4 - HKLM\..\Run: [4x42n5um5w] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [2u8659sxn9] C:\WINDOWS\skcye60m1e.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\winrar.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: IEToolbarCab - http://www.dailytoolbar.com/DailyToolbarAff.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
02. marts 2004 - 17:20 #6
ok, så tager jeg den derfra.

tjekker den lige igennem
Avatar billede arlet Juniormester
02. marts 2004 - 17:31 #7
Prøv lige cwshredder igen.

Tryk på linket og tryk Åbn. Som det første skal du lige trykke på check for update så skal du lukke alle åbne vinduer, fornær CWSHredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, til sidst klik på Exit.
Genstart og ny log
Avatar billede enevold1 Nybegynder
02. marts 2004 - 17:33 #8
Okay, nu er der et par af R1erne der forsvandt dennne gang... Jeg føler mig blot presset noget af alle de filer der vælter ind pt...!


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.inf/?id=54
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [o029j5dngv] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [ggjxzie01y] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [ddc8xh08jc] C:\WINDOWS\skcye60m1e.exe
O4 - HKLM\..\Run: [4x42n5um5w] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [2u8659sxn9] C:\WINDOWS\skcye60m1e.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\winrar.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: IEToolbarCab - http://www.dailytoolbar.com/DailyToolbarAff.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
02. marts 2004 - 17:44 #9
Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.



R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.inf/?id=54

O4 - HKLM\..\Run: [o029j5dngv] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [ggjxzie01y] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [ddc8xh08jc] C:\WINDOWS\skcye60m1e.exe
O4 - HKLM\..\Run: [4x42n5um5w] C:\WINDOWS\5ou969flzs.exe
O4 - HKLM\..\Run: [2u8659sxn9] C:\WINDOWS\skcye60m1e.exe
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\winrar.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: IEToolbarCab - http://www.dailytoolbar.com/DailyToolbarAff.CAB



--------------------------------------------------------------------

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

--------------------------------------------------------------------

Find og slet i fejlsikret(f8 ved opstart):


C:\WINDOWS\5ou969flzs.exe
C:\WINDOWS\skcye60m1e.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.
Avatar billede arlet Juniormester
02. marts 2004 - 17:46 #10
Du skal lige oprette en ny mappe og smide hijackthis derned og fix derfra
Avatar billede enevold1 Nybegynder
02. marts 2004 - 18:16 #11
Her er den nye logfile. Det her gav dog ingen mening for mig, så det er ikke udført... "Find og slet i fejlsikret(f8 ved opstart)": Skal jeg opstarte computeren i fejlsikret tilstand, og i så fald hvordan gøres det??

Logfile of HijackThis v1.97.5
Scan saved at 18:13:48, on 02-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\rundll32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Anders Enevold\Lokale indstillinger\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aifind.inf/?id=54
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede enevold1 Nybegynder
02. marts 2004 - 18:18 #12
Mens jer online rammes jeg hele tiden af nye virus og sikkert også nye 'R1 filer'...
Avatar billede enevold1 Nybegynder
02. marts 2004 - 18:19 #13
Så jeg er tvunget til at hive netstikket ud i ny og næ, så derfor kan jeg desværre ikke altid svare jer...!
Avatar billede arlet Juniormester
02. marts 2004 - 18:34 #14
skal fixes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aifind.inf/?id=54

genstart og ny log
Avatar billede enevold1 Nybegynder
02. marts 2004 - 21:46 #15
Her kommer den nye logfile
Anders

Logfile of HijackThis v1.97.5
Scan saved at 21:45:18, on 02-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\rundll32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Documents and Settings\Anders Enevold\Application Data\Microsoft\sr32\sr32.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Anders Enevold\Lokale indstillinger\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aifind.inf/?id=54
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [sr32] C:\Documents and Settings\Anders Enevold\Application Data\Microsoft\sr32\sr32.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
02. marts 2004 - 22:02 #16
Fix i hijackthis:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aifind.inf/?id=54

genstart og ny log
Avatar billede enevold1 Nybegynder
02. marts 2004 - 23:19 #17
Nu har jeg været konsekvent og eksekveret de fleste R1 og R0 fra min computer og også et par andre O4. Dette er hvad der er tilbage, men det vælter stadig ind med internet filer! Hvad gør jeg?

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
02. marts 2004 - 23:28 #18
Mangler lige toppen af loggen*S*
Avatar billede enevold1 Nybegynder
02. marts 2004 - 23:38 #19
voila...

Logfile of HijackThis v1.97.5
Scan saved at 23:17:29, on 02-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe

C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Anders Enevold\Lokale indstillinger\Temp\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede johnstigers Seniormester
02. marts 2004 - 23:40 #20
Du skal lige fixe rundll32.exe i hijackthis - rundll32.exe ligger i c:\windows\system32 - IKKE i c:\windows.

Den rundll32.exe er jeg rimeligt sikker på er skyld i dine problemer. Husk også at fixe den R0 arlet henviser til.
Avatar billede arlet Juniormester
02. marts 2004 - 23:40 #21
Hvilke internet filer vælter det ind med. Den er jeg ikke med på
Avatar billede johnstigers Seniormester
02. marts 2004 - 23:43 #22
enevold> hvis du har en rundll32.exe liggende i c:\windows skal den slettes.
Den hører ikke hjemme der.
Avatar billede enevold1 Nybegynder
02. marts 2004 - 23:54 #23
Jeg har fjernet rundll32.exe der lå i c:windows, men det vil sige at jeg fixer den rundll32.exe der nu ligger i c:windows\system32? (Den kan jeg bare ikke se når jeg er derinde...
Avatar billede enevold1 Nybegynder
03. marts 2004 - 00:18 #24
Rundll32.exe er nu fjernet, men det vælter stadig ind (dog i mindre tempi...) med smudsige internet filer og cookies til min temp int. fil mappe! Der ligger også en del underlige systemfiler på c-drevet heriblandt en stor en der hedder pagefile.sys og andre mærkelige ting (der er opstået en 'system volume information' mappe og en 'recycler' mappe...


Logfile of HijackThis v1.97.5
Scan saved at 00:12:29, on 03-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Anders Enevold\Lokale indstillinger\Temp\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede enevold1 Nybegynder
03. marts 2004 - 00:25 #25
Der ligger nu en rundll32.exe i c:windows\system32 som et 31 Kb program, men det er ikke hverken oprettet eller ændret siden jeg fik windows, så er den skadelig dér eller er det et vigtigt program når det ligger der...?
Avatar billede enevold1 Nybegynder
03. marts 2004 - 00:34 #26
Hvad med den O3, O16 og O4 - HKLM\..\Run: [nwiz] nwiz.exe /install ?? Kunne de ikke være skyld i noget?
Avatar billede arlet Juniormester
03. marts 2004 - 06:37 #27
Der er ikke mere i loggen, der er snavs...

den rundell32.exe der ligger i system32 mappen skal ligge der, da den er legal..

De mapper, du har fundet på c-drevet har altid været der, da det bl.a. er din systemgendannelse.

Prøv at indstaller disse 4 små programmer, de skulle beskytte dig mod snavs.
www.arlet.dk/pakke.htm

Når den pakke er indstalleret, så vend tilbage hvis der kommer mere ind og kom med nogle navne på de filer..
Avatar billede enevold1 Nybegynder
03. marts 2004 - 15:12 #28
Jeg vil installere dem så snart jeg kan i eftermiddag og vender så tilbage.
Den pakke du foreslår, indbefatter ikke 'Spybot'? - jeg har overvejet at installere den også sammen med de 4 andre programmer fra pakken, men er lidt i tvivl om Spybot kan bruges i kombination med adaware ellre blot er en bedre erstatning for adaware ? Nogen siger at de ikke kan køre på samme computer, andre at det kan de godt. Bør man afinstallere adaware (og helt holde op med at bruge adaware) hvis man 'går over til Spybot'??
Og hvad med IE private keeper? Er det i det hele taget bedre med så mange forskellige anti-spyware programmer som man kan overkomme, eller tager de blot ressourcer fra hinanden? (jeg tænker her på alle de fine 'værktøjer', der er anbefalet på spywarefri.dk)
Avatar billede arlet Juniormester
03. marts 2004 - 15:19 #29
Det var mange spørgsmål*S*
Jeg har ikke skrevet spybot fordi den plejer man at scanne med inden en hijackthis og derfor har man den. Spybot og adaware suppler hinanden meget godt. Hvad den ene ikke finder, finder den anden, så dem skal du have begge to.
IE private keeper er ikke et anti-spyware program. Det tømmer din Temp mappe og sletter dine cookies og gamle url´er, det samme gør EmptyTempFolders og de to programmer må ikke begge være på computeren samtidig. Alle disse programmer er små og tager ingen ressourcer overhoved, så de er rigtig gode og skulle være på enhver pc...

Spørg hvis der var noget du ikke forstod
Avatar billede enevold1 Nybegynder
03. marts 2004 - 17:28 #30
Tak, nu har jeg installeret og opdateret spybot, spywareblaster, spywareguard, IE guard og empty temp folders og kørt en ny log der ser sådan her ud:
Spybot fandt 8 røde filer som jeg slettede - de omhandlede alle at mit IE sikkerhed er dårlig og for let adgang til spyware etc..
Desværre vælter det stadig ind med GIF billeder, filer fra sider jeg ikke har været på, tekstprogrammer etc til min temp. internet filer. (Det slettes godt nok af empty temp folders hvert 5. min.). Der er placeret et program: MyRealPics under foretrukne, som jeg ikke kan slette manuelt. Jeg ved ikke hvad der ellers kan være galt? Sikkerheden på mit IE er mellem for standardniveau og mellemhøj for beskyttelse af personlige oplysninger...

Logfile of HijackThis v1.97.5
Scan saved at 17:21:04, on 03-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Anders Enevold\Lokale indstillinger\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede enevold1 Nybegynder
03. marts 2004 - 17:39 #31
Rundll32.exe er nu kommet tilbage igen jvf O4 NvCplDaemon linien! Hvorfor nu det? Jeg kan dog ikke se den i Windows mappen... Prøver at fixe den i hijackthis (igen...)
Avatar billede arlet Juniormester
03. marts 2004 - 17:43 #32
Nej det skal du ikke. Den må gerne være der:
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

Er igang med at nærtjekke samtlige ting i loggen
Avatar billede enevold1 Nybegynder
03. marts 2004 - 18:24 #33
Her lidt eksempler på internetadresser hvorfra filer, billeder og programmer dumper ind hos mig når blot jeg bevæger mig rundt på fx. www.eksperten.dk:
http://www.eksperten.dk/js/coolmenus/exp_menu.js
http://adserver.adtech.de/?adiframe|2.0|277|73011|1|16|target=_blank;
http://a1767.g.akamai.net/v/1767/2939/7d/imageserv.adtech.de/images/Default_Size_16_1x1.gif
http://server-dk.imrworldwide.com/a1.js
http://www.eksperten.dk/js/coolmenus/coolmenus4.js
http://www.eksperten.dk/css/default.css
Avatar billede enevold1 Nybegynder
03. marts 2004 - 18:48 #34
Jeg fik aldrig gjort dette du nævnte under fixing i starten (se 2.3.04 kl. 17.44 nederst), da jeg ikke vidste hvordan. Spiller det en rolle nu?

Find og slet i fejlsikret(f8 ved opstart):

C:\WINDOWS\5ou969flzs.exe
C:\WINDOWS\skcye60m1e.exe
Avatar billede johnstigers Seniormester
03. marts 2004 - 19:28 #35
et godt tip:
Hvis vi siger en fil ikke må ligge et sted men samtidig ligger et andet sted, så stol på at den vi nævner skal væk og den anden skal blive ;)
Avatar billede enevold1 Nybegynder
03. marts 2004 - 19:36 #36
Selvfølgelig, men skal disse stadig slettes og skal det ske i 'fejlsikret tilstand'?
C:\WINDOWS\5ou969flzs.exe
C:\WINDOWS\skcye60m1e.exe

IE har et par gange nu kommet med følgende meddelelse og spurgt om fejlrapporten skal indsendes eller ej:

Explorer.EXE har fundet en fejl og afsluttes. Vi beklager ulejligheden.
C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\WER72.tmp.dir00\appcompat.txt

Dette er lidt som kunne kopieres under tekniske detaljer:
AppName: explorer.exe    AppVer: 6.0.2800.1106    ModName: unknown
ModVer: 0.0.0.0    Offset: 10001b74
Avatar billede arlet Juniormester
03. marts 2004 - 20:50 #37
ja, start op i fejlsikret og slet disse 2 filer, hvis du kan finde dem
Avatar billede enevold1 Nybegynder
03. marts 2004 - 23:51 #38
Kan ikke finde dem ved at søge i filer og mapper. De ligger ej heller synlige i windows mappen. Bliver de først synlige i fejlsikret tilstand og hvordan startes op i fejlsikret tilstand?
Hvad med fejlfindingen i:
C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\WER72.tmp.dir00\appcompat.txt
- og hvordan fjernes programmet MyRealPics i foretrukne?
Avatar billede enevold1 Nybegynder
04. marts 2004 - 17:21 #39
Jeg oplever hver gang jeg åbner for IE eller outlook express, at få fejlmeldinger som disse:

Der er fundet en fejl og IE lukkes ned:
C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\WER1.tmp.dir00\msimn.exe.mdmp
C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\WER1.tmp.dir00\appcompat.txt

Hvad skal jeg gøre ved det? Og det er stadig ikke lykkedes at fjerne 'MyRealPics' i foretrukne. Jeg har taget denne nye hijackthis log hvis der stadig skulle være noget snavs:

Hvad med disse to fra loggen?:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
Sidstnævnte besked 'msmsgs.exe' fik jeg da jeg forsøgte at åbne outlook express hvorefter jeg måtte lukke IE ned.

Logfile of HijackThis v1.97.5
Scan saved at 17:15:14, on 04-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\SpeedFan\speedfan.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Documents and Settings\Anders Enevold\Lokale indstillinger\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: emprun.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
04. marts 2004 - 17:28 #40
Slet dine midlertidige internet filer-funktioner-internetindstillinger-generelt-slet filer, og i avanceret, sæt flueben i - slet mappen temporary osv

Denne kan fixes i hijackthis:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

den anden er til din messenger.

Jeg har læst i flere forums, men jeg er ikke stødt på nogle steder hvor de har fået slettet den  MyRealPics
Avatar billede arlet Juniormester
04. marts 2004 - 17:30 #41
Ellers så reindstaller din internet explorer: http://www.arlet.dk/index.htm?/reinstaller_ie.htm

Så skulle det gerne forsvinde
Avatar billede enevold1 Nybegynder
04. marts 2004 - 18:08 #42
O4 er fixet, men
- Internet filerne slettes allerede af programmet du anbefalede og i avanceret har jeg i lang tid haft slet mappen temp. aktiveret.

Jeg har nu aktiveret systemgendannelse igen og 'rettet' dette tilbage til normalen:
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

er det dumt?

Er det MyRealPics der er roden til de nuværende problemer? - altså hvordan kommer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
lige pludselig ud af ingenting? og IEs fejlmeldinger? Eller er det fordi jeg ikke har slette disse filer jeg ikke kan finde (fordi jeg stadig ikke ved hvordan man åbner i fejlsikret tilstand?)

Find og slet i fejlsikret(f8 ved opstart):

C:\WINDOWS\5ou969flzs.exe
C:\WINDOWS\skcye60m1e.exe
Avatar billede enevold1 Nybegynder
04. marts 2004 - 18:10 #43
Der ligger også et program ved navn 'choice' på 21 kb i Windows som blev 'oprettet' i går + der er 'ankommet' en række tekstdokumenter i windows her for et kvarter siden...
Avatar billede arlet Juniormester
04. marts 2004 - 18:12 #44
nej. Det er fint alt hvad du har lavet.

De filer er der ikke. du kan evt søge på dem, altså 5ou969flzs.exe og skcye60m1e.exe husk at søg i skjulte filer og mapper.
Avatar billede enevold1 Nybegynder
04. marts 2004 - 18:24 #45
Jeg har søgt efter filerne men uden held...
Skal jeg fjerne 'choice' programmet og tekstdokumenterne fra windows?

Hvis det er sidste udvej for at overkomme disse mærkelige små problemer at geninstallere IE, var det så værd evt. at gå over til en anden browser (morzilla, opera), eller kan en computerdum person som mig så risikere at få endnu større installations problemer?
Avatar billede enevold1 Nybegynder
04. marts 2004 - 18:52 #46
Når jeg får fejlmelding fra IE.exe om at de har fundet en fejl grundet flg. fil: fuC:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\WER60.tmp.dir00\appcompat.txt

- skal jeg så finde og slette den (det er samme fil der henvises til hver gang)?
Avatar billede arlet Juniormester
04. marts 2004 - 19:07 #47
ja, du skal slette hele den temp mappe, der ligger der i lokale indstillinger
Avatar billede enevold1 Nybegynder
04. marts 2004 - 19:27 #48
Aha! Ja, der lå mange filer i den mappe!
Den er jo kun synlig når man 'vis skjulte filer'.
Der er dog stadig 3 filer tilbage som ikke kan fjernes (en DAT-fil ved navn 'Perflib_Perfdata_714' og to tmp filer...) fordi 'filen bruges af et andet program'.
Der var dog ingen 'WER60.tmp.dir00\appcompat.txt' fil jf ovenstående IE fejlfinding...!?
MyRealPics er der dog stadig...
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 12:32 iPadOS 26.4.1 kan ikke opdatere Af claes57 i Apps til iOS
I går 10:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
06/0419:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
06/0417:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
06/0413:13 Batch OCR Af KurtG i Billedbehandling
White papers
Flere white papers »