Søg
Avatar billede mosealex Nybegynder
07. marts 2004 - 13:42 Der er 28 kommentarer og
1 løsning

hjælp til at fixe hijackthis-filer

Hej,
Jeg har samme problem som beskrevet i spm/449796, altså en proces svchost. der tager ca. 70 % af CPU-kapacitet. Har fulgt anvisningerne med Spybot og Hijackthis, og scannet systemet med begge. Nu er mit problem, at jeg ikke ved hvilke filer, der skal fixes i Hijackthis. Er der nogen, der kan hjælpe?
Her er filoversigten: 
Logfile of HijackThis v1.97.5
Scan saved at 12:51:45, on 07-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winupdate.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\System32\Zsoft32.exe
C:\WINDOWS\System32\Msoft32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\alexander hager\Lokale indstillinger\Temp\Midlertidig mappe 1 for hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dr.dk/skum/netradio/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinampAgent] c:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [Andware Defence] Zsoft32.exe
O4 - HKLM\..\Run: [Adware Defence] Msoft32.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [Andware Defence] Zsoft32.exe
O4 - HKLM\..\RunServices: [Adware Defence] Msoft32.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programmer\steam\steam.exe" -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.5236111111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
07. marts 2004 - 13:51 #1
løber den lige igennem
Avatar billede johnstigers Seniormester
07. marts 2004 - 13:52 #2
genstart i fejlsikker tilstand - slet disse 2:

C:\WINDOWS\System32\Zsoft32.exe
C:\WINDOWS\System32\Msoft32.exe

genstart - ny log herind.
Avatar billede mosealex Nybegynder
07. marts 2004 - 14:02 #3
er der nogen der kan hjælpe
Avatar billede mosealex Nybegynder
07. marts 2004 - 14:02 #4
øjeblik
Avatar billede arlet Juniormester
07. marts 2004 - 14:04 #5
Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.



O4 - HKLM\..\Run: [Andware Defence] Zsoft32.exe
O4 - HKLM\..\Run: [Adware Defence] Msoft32.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [Andware Defence] Zsoft32.exe
O4 - HKLM\..\RunServices: [Adware Defence] Msoft32.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000



--------------------------------------------------------------------

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

--------------------------------------------------------------------

Find og slet i fejlsikret(f8 ved opstart):



C:\WINDOWS\System32\winupdate.exe
C:\WINDOWS\System32\Zsoft32.exe
C:\WINDOWS\System32\Msoft32.exe


----------------

Hent Sp1 til Windows og IE samt alle kritiske opdateringer her:
http://v4.windowsupdate.microsoft.com/da/default.asp

----------------

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.
Avatar billede mosealex Nybegynder
07. marts 2004 - 14:04 #6
jeh kan ikke finde den
Avatar billede mosealex Nybegynder
07. marts 2004 - 14:04 #7
jeg har slået systemgendannelse fra
Avatar billede mosealex Nybegynder
07. marts 2004 - 14:06 #8
jeg kan ikke finde glbal setup
Avatar billede johnstigers Seniormester
07. marts 2004 - 14:09 #9
Kan ikke se glbal setup er nævnt nogen steder?
Avatar billede mosealex Nybegynder
07. marts 2004 - 14:12 #10
arlet der står at windows ikke vil fungere ordentligt hvis jeg fjerner flueben fra skjul beskyttede operativsystemfiler
Avatar billede mosealex Nybegynder
07. marts 2004 - 14:13 #11
Er der nogen der kan hjælpe mig !plzzz
Avatar billede arlet Juniormester
07. marts 2004 - 14:14 #12
Ja, men du sætter fluebenet tilbage bagefter, så det sker der ikke noget ved
Avatar billede mosealex Nybegynder
07. marts 2004 - 14:16 #13
okay!! jeg gør det nu Øjeblik
Avatar billede mosealex Nybegynder
07. marts 2004 - 15:17 #14
hvordan sikrer jeg mig for fremtidige angreb af denne virus
Avatar billede mosealex Nybegynder
07. marts 2004 - 15:19 #15
er der nogen
Avatar billede mosealex Nybegynder
07. marts 2004 - 15:21 #16
hallo
Avatar billede arlet Juniormester
07. marts 2004 - 15:28 #17
Rolig nu.

Har du indstalleret sp1??

Så skal jeg se en ny log??

til sidst fortæller jeg hvad du skal sikre dig med..
Avatar billede mosealex Nybegynder
07. marts 2004 - 16:02 #18
OK.
Her er seneste log:
Logfile of HijackThis v1.97.5
Scan saved at 15:59:02, on 07-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\alexander hager\Lokale indstillinger\Temp\Midlertidig mappe 1 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dr.dk/skum/netradio/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinampAgent] c:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [Andware Defence] Zsoft32.exe
O4 - HKLM\..\Run: [Adware Defence] Msoft32.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [Andware Defence] Zsoft32.exe
O4 - HKLM\..\RunServices: [Adware Defence] Msoft32.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programmer\steam\steam.exe" -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.5236111111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
07. marts 2004 - 16:05 #19
Fixes i hijackthis:
O4 - HKLM\..\Run: [Andware Defence] Zsoft32.exe
O4 - HKLM\..\Run: [Adware Defence] Msoft32.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [Andware Defence] Zsoft32.exe
O4 - HKLM\..\RunServices: [Adware Defence] Msoft32.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

genstart og ny log
Avatar billede mosealex Nybegynder
07. marts 2004 - 16:08 #20
skal jeg fixe dem
Avatar billede mosealex Nybegynder
07. marts 2004 - 16:10 #21
skal jeg báre lukke den og genstarte?
Avatar billede arlet Juniormester
07. marts 2004 - 16:11 #22
De skal fixes. så genstarter du og laver en ny log
Avatar billede mosealex Nybegynder
07. marts 2004 - 16:22 #23
du får loggen nu
Avatar billede mosealex Nybegynder
07. marts 2004 - 16:24 #24
Her er den.
Logfile of HijackThis v1.97.5
Scan saved at 16:24:13, on 07-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\alexander hager\Lokale indstillinger\Temp\Midlertidig mappe 3 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dr.dk/skum/netradio/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinampAgent] c:\Programmer\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programmer\steam\steam.exe" -silent
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.5236111111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
07. marts 2004 - 16:35 #25
Så er du ren og kan aktiver din systemgendannelse igen

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm
Avatar billede johnstigers Seniormester
07. marts 2004 - 16:38 #26
Giv point til arlet - din feedback kom aldrig.
Avatar billede mosealex Nybegynder
07. marts 2004 - 16:54 #27
er gjort nu.
Tusind Tak for hjælpen-du er en sveske.
Avatar billede mosealex Nybegynder
13. september 2004 - 19:51 #28
hvordan giver jeg point
Avatar billede johnstigers Seniormester
13. september 2004 - 19:53 #29
Du har givet point :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Windows kategorien

Titel Indlæg Oprettet Seneste aktivitet
Opstart af ny computer Af Bent i Windows 9 26/01/202619:26 27/01/202613:00
Problemer med borger.dk Af valby i Windows 7 25/01/202617:08 28/01/202621:13
Fejl Af buls i Windows 1 25/01/202614:19 25/01/202619:56
Tomt felt i Start Af ErikHg i Windows 9 20/01/202616:10 23/01/202615:30
Video ikoner Af Malm i Windows 11 17/01/202617:38 22/01/202613:33
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 13:08 Bruge PHP til at hente hjemmeside med fsockopen Af Strawberry i PHP
28/0113:36 godt råd søges Alternativ styresystem på Mac pc Af luffe1955 i Andre styresystemer
28/0111:32 Hjælp til kontrol af sygefravær Af Maja i Excel
27/0113:59 2 skærme til en stationær computer Af BIRGER i Skærme
26/0119:26 Opstart af ny computer Af Bent i Windows
White papers
Flere white papers »