Søg
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 21:33 Der er 38 kommentarer og
2 løsninger

Kikke en HijackThis log igennem

Hej...
Tror at jeg har virus på systemet :-(
Håber at I kan hjælpe

Logfile of HijackThis v1.97.7
Scan saved at 21:32:08, on 21-03-2004
Platform: Unknown Windows (WinNT 5.02.3718)
MSIE: Internet Explorer v6.00 SP1 (6.00.3718.0000)

Running processes:
C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\ismserv.exe
C:\mysql\bin\mysqld.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\FPAKUHS.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\mysql\bin\winmysqladmin.exe
C:\Documents and Settings\Administrator\Desktop\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hot-searches.com/search.php?v=6&aff=2759975
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hot-searches.com/index.php?v=6&aff=2759975
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hot-searches.com/index.php?v=6&aff=2759975
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_1_3.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts file is located at: C:\Documents and Settings\Administrator\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_1_3.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [FPAKUHS] C:\WINDOWS\FPAKUHS.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Options (HKLM)
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrator\windows\system32\mswsock.dll' missing
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38019.3179398148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.aspupload.com/xupload/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = server.nr7.dk
O17 - HKLM\Software\..\Telephony: DomainName = server.nr7.dk
O17 - HKLM\System\CCS\Services\Tcpip\..\{91442B86-D9DC-4C88-BA97-D5C09070A0EA}: NameServer = 62.61.157.249,62.61.157.248
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = server.nr7.dk
O17 - HKLM\System\CS1\Services\Tcpip\..\{91442B86-D9DC-4C88-BA97-D5C09070A0EA}: NameServer = 62.61.157.249,62.61.157.248
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = server.nr7.dk
O17 - HKLM\System\CS2\Services\Tcpip\..\{91442B86-D9DC-4C88-BA97-D5C09070A0EA}: NameServer = 62.61.157.249,62.61.157.248

På forhånd tak!
// Rene
Avatar billede arlet Juniormester
21. marts 2004 - 21:33 #1
løber den igennem
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 21:35 #2
ok...
Tak for det
Avatar billede arlet Juniormester
21. marts 2004 - 21:39 #3
Du skal hente og køre Lspfix http://www.cexx.org/LSPFix.exe , starte det, klik til fuld skærm, markere I know what I am doing og klikke på finish, genstart og gå videre i min vejledning


Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hot-searches.com/search.php?v=6&aff=2759975
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hot-searches.com/index.php?v=6&aff=2759975
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hot-searches.com/index.php?v=6&aff=2759975
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts file is located at: C:\Documents and Settings\Administrator\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com

O4 - HKLM\..\Run: [FPAKUHS] C:\WINDOWS\FPAKUHS.exe

O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrator\windows\system32\mswsock.dll' missing

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.aspupload.com/xupload/XUpload.ocx


Find og slet:



C:\WINDOWS\FPAKUHS.exe



Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 21:45 #4
ok... Men jeg kan ikke finde systemgendannelse.
Det er en win2003 server.

// Rene
Avatar billede arlet Juniormester
21. marts 2004 - 21:53 #5
Så er der ikke systemgendannelse på. Det glemmer du bare
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 22:04 #6
øhhh... Der er gået noget galt et sted.
Nu kan jeg ikke logge på serveren mere... Den logger mig bare af med det samme igen :-(

// Rene
Avatar billede arlet Juniormester
21. marts 2004 - 22:09 #7
Hvor langt var du i vejledningen
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 22:09 #8
Jeg har lige genstartet
Avatar billede arlet Juniormester
21. marts 2004 - 22:22 #9
kom med en ny log
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 22:24 #10
Det kan jeg jo ikke, da jeg ikke kan logge på serveren mere!
Den logger mig bare af med det samme igen :-(
Avatar billede arlet Juniormester
21. marts 2004 - 22:26 #11
Var det efter du kørte det lspfix??

eller efter du havde fixet dem i hijackthis??
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 22:27 #12
det var efter at jeg havde fixet dem i hijackthis
Avatar billede arlet Juniormester
21. marts 2004 - 22:28 #13
Så prøv at kør det lspfix igen
Avatar billede arlet Juniormester
21. marts 2004 - 22:29 #14
Hvis det ikke virker, så prøv dette:
kør dette program :
http://members.shaw.ca/techcd/WinsockXPFix.exe

klik på linket og åbn. tryk på fix og ja (reparer) og genstart..
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 22:29 #15
Jamen det kan jeg jo ikke!!!

For jeg kan IKKE komme på serveren længere :-(


Ved du hvad der kan være galt?
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 22:51 #16
er du der?
Avatar billede arlet Juniormester
21. marts 2004 - 22:53 #17
ja, leder efter noget der kan hjælpe.

Aner ikke hvad der er sket.

Der er ikke noget du har slettet der har gjort at du ikke kan komme på nu.

Kørte du det lspfix som det første inden du fixede??
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 22:57 #18
ja det gjordt jeg...
Jeg har fulgt din vejledning til punkt og prikke.

Ok... Hvad er det ca at du leder efter, for så kunne jeg også kikke efter det.
Avatar billede giraffenmingo Nybegynder
21. marts 2004 - 22:59 #19
Blander mig lige, kan tzaq.com ik brænde http://members.shaw.ca/techcd/WinsockXPFix.exe ned på en skiver, og derfra så kører den på maskinen uden net forbindelse???
Bare et spg.
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 23:00 #20
Det kan jeg ikke lige nu, da serveren står i København, og jeg sidder i Viborg :-)
Avatar billede arlet Juniormester
21. marts 2004 - 23:00 #21
Om der er andre der har haft sådanne problemer, men kan intet finde, desværre.

Jeg sender lige en besked til en på icq, der forhåbenlig kan hjælpe. Ved dog ikke hvornår han kommer på.

giraffenmingo -> Lyder som en rigtig god ide...

tzag.com-> prøv det
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 23:03 #22
Det vil jeg gøre :-)
Men det kan først blive i morgen
Avatar billede arlet Juniormester
21. marts 2004 - 23:04 #23
ok, du vender bare tilbage..
Avatar billede tzag_dk Nybegynder
21. marts 2004 - 23:05 #24
Det er i orden :-)
Avatar billede aovergaard Nybegynder
21. marts 2004 - 23:58 #25
Hej tzag.com

Jeg kan se at du har Hijackthis til at ligge på skrivebordet. Dermed skulle det også være muligt for dig at komme til at gendanne en af de filer der. Find denne backup her på skrivebordet, og gendan den hvis du kan komme afsted med det.
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Avatar billede tzag_dk Nybegynder
22. marts 2004 - 09:09 #26
aovergaard >> Ja, det har jeg. Men hvordan kan du se det?
Avatar billede arlet Juniormester
22. marts 2004 - 09:14 #27
tzag.com -> Du skrev her 21/03-2004 22:29:58 at du ikke kunne komme ind og gøre noget ved hijackthis.. Han du komme til den hijackthis, eller hvad???

Linjen, der afslør at du har hjt liggen på skrivebordet er denne:
C:\Documents and Settings\Administrator\Desktop\hjt.exe
Avatar billede tzag_dk Nybegynder
22. marts 2004 - 09:21 #28
ok... nej, jeg kan ikke komme på endnu.
Men jeg har en mand til at sidde foran den nu, og så må vi lige se om han kan komme på serveren via fejlsikret tilstand.
Avatar billede tzag_dk Nybegynder
22. marts 2004 - 09:22 #29
hvordan gendanner jeg den fil, hvis vi kommer på serveren?
Avatar billede arlet Juniormester
22. marts 2004 - 09:46 #30
Kør Hijackthis igen, klik på Config->Backups, marker linien og klik på Restore, genstart.
Avatar billede tzag_dk Nybegynder
22. marts 2004 - 09:58 #31
ok... så er jeg tilbage igen.
Den eneste måde vi kan kommme på serveren er med en komando promt.

Er der en måde at løse problemet via den?

// Rene
Avatar billede tzag_dk Nybegynder
22. marts 2004 - 10:21 #32
Jeg har kikket lidt på det her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=997&SearchTerms=gendan,userinit

Jeg vil tro at det er det jeg skal???
Avatar billede arlet Juniormester
22. marts 2004 - 10:47 #33
Nøjagtig samme problem, ja..

Ja, det syntes jeg at du skal prøve, hvis du ikke har nogen som helst mulighed for at komme på skrivebordet og gendanne den fil
Avatar billede tzag_dk Nybegynder
24. marts 2004 - 20:36 #34
Jeg har ikke glemt jer, men serveren er lige ved at blive geninstalleret :-(

// Rene
Avatar billede tzag_dk Nybegynder
26. marts 2004 - 20:40 #35
Hej igen :-)
Jeg har geninstalleret serveren, så nu virker det igen :-)
Hvis I vil ligge nogle svar, så deler jeg point ud...

// Rene
Avatar billede arlet Juniormester
26. marts 2004 - 20:54 #36
Det var godt det lykkes for dig*S*
Avatar billede kenp Novice
27. marts 2004 - 09:26 #37
jeg vil lige pointer overfor alle som kigger på hijackthis!

hvis det er en server man bruge programmet på må man ALDRIG fjerne Userinit.exe (den skal ikke være der på alm styresystem) så derfor kan det være en god idee at spørge om det er en server (win2k server, winnt server eller win2003 server) inden den bliver fixet.

Der er også en masse andre ting som er lovlige på en server, som ikke skal være på et alm. styresystem!
Avatar billede arlet Juniormester
27. marts 2004 - 19:22 #38
Ja, Det har jeg også lært i dag!!

Desværre for tzag.com på den hårde måde :-(
Avatar billede kenp Novice
27. marts 2004 - 19:37 #39
arlet ->så læs de processor som køre på denne server de er jo lovlige her ;) men ikke nødvendigvis på en workstation!
Avatar billede aovergaard Nybegynder
29. marts 2004 - 21:19 #40
takker for point:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 01:57 Tjek alle checkbox i form Af bsn i ASP
I går 21:35 Lidt simpel (håber jeg) Photoshop hjælp Af fcs i Billedbehandling
16/0516:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
16/0514:50 Hvilket fabrikat af Mesh systemer virker? Af fkj i Wifi
15/0513:45 AJAX kode -javascript Af Asky i Programmeringsværktøjer
White papers
Flere white papers »