Søg
Avatar billede sunefr Nybegynder
04. maj 2004 - 18:32 Der er 31 kommentarer og
2 løsninger

Har jeg Sasser

Hej, jeg har i min jobliste en proces kørende (SYSTEM) der hedder LSASS.EXE er du den berygtede Sasser orm eller hvad? Hvordan kan jeg finde ud af om det er den og hvordan fjerner jeg den?
Jeg har Norton Anti Virus på min computer og jeg kører ofte liveUpdate så mine virus definitioner kan være up to date, men nu har jeg lige set atr der i programmet står at de ikke er opdaterede siden August 2003... det forstår jeg ikke - når jeg køre liveupdate siger den hver gang at de er helt up to date...

Manger tak for hjælpen!
Avatar billede fbisen Nybegynder
04. maj 2004 - 18:33 #1
Lsass.exe er noget Windows har i sig selv. Jeg har altid haft den, så jeg håber da ikke det er Sasser ;)
Avatar billede strych9 Praktikant
04. maj 2004 - 18:34 #2
nej, ikke nødvendigvis. Kør hijackthis på og hvis du har en linje i den her stil så har du sasser:
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
LSASS.exe er bare den process der holder styr på logins i windows
Avatar billede sunefr Nybegynder
04. maj 2004 - 18:35 #3
Det var godt! Mit virusprogram skrev bare et eller andet om et script der var blevet ændret og så synes jeg at internettet begyndte at opføre sig sjovt, så jeg blev helt nervøs for at der var noget galt
Avatar billede no_doubt Nybegynder
04. maj 2004 - 18:35 #4
sad selv og var igang med at lede. Har lånt en bærbar men den laver hele tiden blå skærm og genstarter. Xp
Avatar billede strych9 Praktikant
04. maj 2004 - 18:36 #5
i skal installere sikkerhedspatch 04-11 fra microsoft. Besøg windows update.
Avatar billede fbisen Nybegynder
04. maj 2004 - 18:38 #6
Sasser har da godt nok gjort endel på nettet - og i det "virkelige" liv.
Det er helt vildt, at verdenen er så skrøblig!
Avatar billede arlet Juniormester
04. maj 2004 - 18:39 #7
Gå i start og skriv shutdown -a
så skulle den stoppe med at genstarte

Hent denne patch : http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

Fjern ormen med stinger: http://www.arlet.dk/special.htm

Til sidst henter du alle opdateringerne på microsoft update, så det ikke sker igen..
Avatar billede no_doubt Nybegynder
04. maj 2004 - 18:41 #8
lyder det som sasser
Avatar billede arlet Juniormester
04. maj 2004 - 18:43 #9
Nej, tror ikke det er den.

Men følg vejledningen, så har du ikke sasser bagefter i hvert fald
Avatar billede sunefr Nybegynder
04. maj 2004 - 18:43 #10
Heldigvis tror jeg ikke at jeg har den alligevel!!! Men mange tak for hjælpen! Jeg fik ellers lige renset min computer for spyware for et par uger siden, men nu tror jeg måske det driller igen... Er der nogen der har meget styr på log-filer??? Den ser sådan her ud:
Logfile of HijackThis v1.97.7
Scan saved at 18:42:22, on 04-05-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Access Remote PC 4\rpcsetup.exe
C:\Programmer\Access Remote PC 4\rpcsetup.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\Winamp\Winampa.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\PROGRA~1\CASTFL~1\LIST LOG.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Programmer\Alset\HelpExpress\Sune Frandsen\HXIUL.EXE
C:\Programmer\Alset\HelpExpress\Sune Frandsen\Client\HelpExp.exe
C:\Programmer\AdsGone\adsgone.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\WINDOWS\emsw.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmer\Winamp\Winamp.exe
C:\Programmer\Microsoft Office\Office\WINWORD.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Fælles filer\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Sune Frandsen\Skrivebord\kun til det\HijackThis.exe
C:\Programmer\Messenger\msmsgs.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 207.36.196.189 auto.search.msn.com
O1 - Hosts: 207.36.196.189 search.netscape.com
O1 - Hosts: 207.36.196.189 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [emsw.exe] C:\WINDOWS\emsw.exe
O4 - HKLM\..\Run: [longtick] C:\PROGRA~1\CASTFL~1\LIST LOG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - HKCU\..\Run: [HXIUL.EXE] C:\Programmer\Alset\HelpExpress\Sune Frandsen\HXIUL.EXE
O4 - HKCU\..\Run: [HELPEXP.EXE] C:\Programmer\Alset\HelpExpress\Sune Frandsen\Client\HelpExp.exe
O4 - HKCU\..\Run: [emsw.exe] C:\WINDOWS\emsw.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: AdsGone 2003.lnk = C:\Programmer\AdsGone\adsgone.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Coupons - file://C:\Programmer\couponsandoffers\System\Temp\couponsandoffers_script0.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede sunefr Nybegynder
04. maj 2004 - 18:45 #11
Håber ikke det er for meget at forlange, men hvis nogen kan hjælpe skal I nok få point!
Avatar billede arlet Juniormester
04. maj 2004 - 18:48 #12
Du har ikke sasser, men noget andet snavs.

Flyt først filen Hijackthis til en mappe oprettet kun til den.

Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.


O4 - HKLM\..\Run: [emsw.exe] C:\WINDOWS\emsw.exe
O4 - HKCU\..\Run: [emsw.exe] C:\WINDOWS\emsw.exe


Find og slet i fejlsikret(f8 ved opstart):

C:\WINDOWS\emsw.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.
Avatar billede ra__mus Nybegynder
04. maj 2004 - 18:50 #13
jeg har sasser, men hvor ser jeg hvilken Windows XP version jeg har ??
Avatar billede sunefr Nybegynder
04. maj 2004 - 18:51 #14
Arlet> Mange tak for hjælpen! Bliver desværre nødt til at smutte til golf min jeg kigger på det senere i aften! Skal nok smide en log fil der!
Avatar billede sunefr Nybegynder
04. maj 2004 - 18:54 #15
Ra__mus> Du skal højreklikke på denne computer og vælge egenskaber - så står det unde fanebladet "generelt"
Avatar billede ra__mus Nybegynder
04. maj 2004 - 18:58 #16
jeg har microsoft windows xp professional version 2002, men hvad svarer det til på denne side ?? :  http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
Avatar billede strych9 Praktikant
04. maj 2004 - 19:11 #17
Du skal downloade
Microsoft Windows XP and Microsoft Windows XP Service Pack 1 – Download the update

Men husk at denne update ikke kurerer dig for Sasser. Den forebygger blot, og egentlig skulle du have haft den på allerede den 13. April. Der vil komme andre orme som sasser så begynd at besøge windows update jævnligt. Den anden tirsdag i hver måned udgiver MS programrettelser. I sidste omgang var det 20 sikkerhedsbrister der blev patchet, så potentielt ligger der 19 andre orme og venter, og de vil være mindst ligeså skadelige fordi folk ikke kan få fingeren ud og opdatere i tide =(
Avatar billede ra__mus Nybegynder
04. maj 2004 - 19:13 #18
okay men hvordan får jeg så fjernet skidtet ??
Avatar billede strych9 Praktikant
04. maj 2004 - 19:16 #19
Jeg citerer arlet:
Gå i start og skriv shutdown -a
så skulle den stoppe med at genstarte

Hent denne patch : http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

Fjern ormen med stinger: http://www.arlet.dk/special.htm

Til sidst henter du alle opdateringerne på microsoft update, så det ikke sker igen..
Avatar billede ra__mus Nybegynder
04. maj 2004 - 19:19 #20
Hent denne patch : http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
er det det samme som denne ??:
Microsoft Windows XP and Microsoft Windows XP Service Pack 1 – Download the update
Avatar billede ra__mus Nybegynder
04. maj 2004 - 19:21 #21
og fanebladet systemgendannelse er væk i denne computer ??
Avatar billede arlet Juniormester
04. maj 2004 - 19:27 #22
ra__mus -> Nej, det er ikke den samme.. den 04-11 er så der ikke kommer sasser mere.

Hvis du henter sp1, så undgår du blaster og gaobot
Avatar billede strych9 Praktikant
04. maj 2004 - 19:28 #23
ra__mus, tag en dyb indånding og slap så helt af. Så er det meget nemmere at læse indenad :)
JA det er den patch. Det er 2 spørgsmål i træk som allerede er blevet besvaret i selv samme tråd :)
Avatar billede strych9 Praktikant
04. maj 2004 - 19:30 #24
og arlet, du forvirrer ham nu. Det han paster er om det er det download link han skal bruge i http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

og ja, det er det link.
Avatar billede ra__mus Nybegynder
04. maj 2004 - 19:49 #25
okay men når jeg vil installerer den så stopper den efter få sek., ??
Avatar billede sunefr Nybegynder
04. maj 2004 - 21:59 #26
Så har jeg fået fjernet emsw.exe og de to linjer fra Hijackthis!

Den nye log fil ser således ud:
Logfile of HijackThis v1.97.7
Scan saved at 21:58:05, on 04-05-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Access Remote PC 4\rpcsetup.exe
C:\Programmer\Access Remote PC 4\rpcsetup.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\Winamp\Winampa.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\PROGRA~1\CASTFL~1\LIST LOG.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Programmer\Alset\HelpExpress\Sune Frandsen\HXIUL.EXE
C:\Programmer\Alset\HelpExpress\Sune Frandsen\Client\HelpExp.exe
C:\Programmer\AdsGone\adsgone.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\emsw.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Sune Frandsen\Skrivebord\kun til det\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 207.36.196.189 auto.search.msn.com
O1 - Hosts: 207.36.196.189 search.netscape.com
O1 - Hosts: 207.36.196.189 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [longtick] C:\PROGRA~1\CASTFL~1\LIST LOG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - HKCU\..\Run: [HXIUL.EXE] C:\Programmer\Alset\HelpExpress\Sune Frandsen\HXIUL.EXE
O4 - HKCU\..\Run: [HELPEXP.EXE] C:\Programmer\Alset\HelpExpress\Sune Frandsen\Client\HelpExp.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: AdsGone 2003.lnk = C:\Programmer\AdsGone\adsgone.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Coupons - file://C:\Programmer\couponsandoffers\System\Temp\couponsandoffers_script0.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
04. maj 2004 - 22:06 #27
Hent og kør CWSHredder herfra: http://www.arlet.dk/special.htm
genstart og ny hijackthis log
Avatar billede sunefr Nybegynder
05. maj 2004 - 02:55 #28
Så er det også gjort... Nu ser loggen således ud:

Logfile of HijackThis v1.97.7
Scan saved at 02:52:21, on 05-05-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Access Remote PC 4\rpcsetup.exe
C:\Programmer\Access Remote PC 4\rpcsetup.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\Winamp\Winampa.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\PROGRA~1\CASTFL~1\LIST LOG.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Programmer\Alset\HelpExpress\Sune Frandsen\HXIUL.EXE
C:\Programmer\Alset\HelpExpress\Sune Frandsen\Client\HelpExp.exe
C:\Programmer\AdsGone\adsgone.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\WINDOWS\emsw.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Sune Frandsen\Skrivebord\kun til det\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 207.36.196.189 ieautosearch
O1 - Hosts: ds.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [longtick] C:\PROGRA~1\CASTFL~1\LIST LOG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - HKCU\..\Run: [HXIUL.EXE] C:\Programmer\Alset\HelpExpress\Sune Frandsen\HXIUL.EXE
O4 - HKCU\..\Run: [HELPEXP.EXE] C:\Programmer\Alset\HelpExpress\Sune Frandsen\Client\HelpExp.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: AdsGone 2003.lnk = C:\Programmer\AdsGone\adsgone.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Coupons - file://C:\Programmer\couponsandoffers\System\Temp\couponsandoffers_script0.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
05. maj 2004 - 08:04 #29
Fix i hijackthis:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O1 - Hosts: 207.36.196.189 ieautosearch
O1 - Hosts: ds.com

genstart og ny log
Avatar billede sunefr Nybegynder
05. maj 2004 - 15:57 #30
Så er det gjort - Den nye log!

Logfile of HijackThis v1.97.7
Scan saved at 15:56:47, on 05-05-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Access Remote PC 4\rpcsetup.exe
C:\Programmer\Access Remote PC 4\rpcsetup.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Winamp\Winampa.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\PROGRA~1\CASTFL~1\LIST LOG.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Programmer\Alset\HelpExpress\Sune Frandsen\HXIUL.EXE
C:\Programmer\Alset\HelpExpress\Sune Frandsen\Client\HelpExp.exe
C:\Programmer\AdsGone\adsgone.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\WINDOWS\emsw.exe
C:\Programmer\Winamp\Winamp.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Sune Frandsen\Skrivebord\kun til det\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [longtick] C:\PROGRA~1\CASTFL~1\LIST LOG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - HKCU\..\Run: [HXIUL.EXE] C:\Programmer\Alset\HelpExpress\Sune Frandsen\HXIUL.EXE
O4 - HKCU\..\Run: [HELPEXP.EXE] C:\Programmer\Alset\HelpExpress\Sune Frandsen\Client\HelpExp.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: AdsGone 2003.lnk = C:\Programmer\AdsGone\adsgone.exe
O8 - Extra context menu item: Coupons - file://C:\Programmer\couponsandoffers\System\Temp\couponsandoffers_script0.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
05. maj 2004 - 17:38 #31
Så er du ren og kan aktiver din systemgendannelse igen

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm
Avatar billede sunefr Nybegynder
05. maj 2004 - 18:08 #32
Er der et sted hvor jeg kan læse hvad de forskellige processer betyder?
Jeg forstår de fleste, men ved ikke lige hvad disse er:'
Faktisk alle dem fra SYSTEM32 mappen
C:\PROGRA~1\CASTFL~1\LIST LOG.exe - ikke et program jeg kender (tror jeg da ikke!!!)
C:\Programmer\Alset\HelpExpress\Sune Frandsen\HXIUL.EXE
C:\Programmer\Alset\HelpExpress\Sune Frandsen\Client\HelpExp.exe
C:\WINDOWS\emsw.exe (den burde være slettet eller hvad????!)

O4 - HKLM\..\Run: [longtick] C:\PROGRA~1\CASTFL~1\LIST LOG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [HXIUL.EXE] C:\Programmer\Alset\HelpExpress\Sune Frandsen\HXIUL.EXE
O4 - HKCU\..\Run: [HELPEXP.EXE] C:\Programmer\Alset\HelpExpress\Sune Frandsen\Client\HelpExp.exe
O8 - Extra context menu item: Coupons - file://C:\Programmer\couponsandoffers\System\Temp\couponsandoffers_script0.htm
(Kan jeg bare fixe den? Den vil jeg godt af med...)

Forstår godt hvis du ikke har tålmodighed til at forklare det! Men under alle omstændigheder mange tak for hjælpen!!!!
Avatar billede arlet Juniormester
05. maj 2004 - 18:12 #33
Den 08 fixer du bare.

Læs om de fleste her:http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 16:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
I går 14:50 Hvilket fabrikat af Mesh systemer virker? Af fkj i Wifi
15/0513:45 AJAX kode -javascript Af Asky i Programmeringsværktøjer
15/0511:50 Vælg indstilling - blå skærm med med flere muligheder for fejlretning Af Uvanga i Windows
14/0523:24 Google sheets beregning udfra dato Af rickiegrayholm i Office & Kontorpakker
White papers
Flere white papers »