hijackthis log nogen som vil kigge på den

har du ikke glemt logfilen?

uuups...sir vist lidt om mig..sorry

her er den : Logfile of HijackThis v1.97.7
Scan saved at 22:35:49, on 20-05-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Documents and Settings\Tonni\Skrivebord\installs\Nvc\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NJEEVES.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nvcoas.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nipsvc.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\ZLH.EXE
C:\documents and settings\tonni\lokale indstillinger\temp\0BFSuWbL.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NYMSE.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\cclaw.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NIP.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\npfmsg2.exe
C:\WINDOWS\System32\pnhupnpd.exe
C:\WINDOWS\System32\riverqueryd.exe
c:\May17_loader.exe
C:\WINDOWS\System32\dp-him.exe
C:\WINDOWS\System32\IEHost.exe
C:\Programmer\Save\Save.exe
C:\Programmer\ClockSync\Sync.exe
C:\Documents and Settings\Tonni\Application Data\wbap.exe
C:\WINDOWS\System32\wtstr.exe
C:\WINDOWS\System32\cidaemon.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NVCOD.EXE
C:\Documents and Settings\Tonni\Skrivebord\installs\hijackthis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spil.tv2.dk/whist/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [0BFSuWbL.exe] C:\documents and settings\tonni\lokale indstillinger\temp\0BFSuWbL.exe
O4 - HKLM\..\Run: [pnhupnpd] C:\WINDOWS\System32\pnhupnpd.exe
O4 - HKLM\..\Run: [riverqueryd] C:\WINDOWS\System32\riverqueryd.exe
O4 - HKLM\..\Run: [5H7X8GL3H3T@C6] C:\WINDOWS\System32\Bdka1zS9.exe
O4 - HKLM\..\Run: [AutoLoaderAproposClient] "c:\May17_loader.exe" /HideUninstall /PC="AM.WILD" /ShowLegalNote=nonbranded
O4 - HKLM\..\Run: [Bakra] C:\WINDOWS\System32\IEHost.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [WhenUSave] C:\Programmer\Save\Save.exe
O4 - HKCU\..\Run: [Isao] C:\Documents and Settings\Tonni\Application Data\wbap.exe
O4 - HKCU\..\Run: [ClockSync] C:\Programmer\ClockSync\Sync.exe /q
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtstr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra 'Tools' menuitem: MaxSpeed (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/dk/games3.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37899.5549768519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Nu skal jeg kigge på loggen.

tak

Slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Herunder er der nogle filer, som du skal fixe. Sæt en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned.

Fix disse med HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" –osboot
O4 - HKLM\..\Run: [0BFSuWbL.exe] C:\documents and settings\tonni\lokale indstillinger\temp\0BFSuWbL.exe
O4 - HKLM\..\Run: [pnhupnpd] C:\WINDOWS\System32\pnhupnpd.exe
O4 - HKLM\..\Run: [riverqueryd] C:\WINDOWS\System32\riverqueryd.exe
O4 - HKLM\..\Run: [5H7X8GL3H3T@C6] C:\WINDOWS\System32\Bdka1zS9.exe
O4 - HKLM\..\Run: [AutoLoaderAproposClient] "c:\May17_loader.exe" /HideUninstall /PC="AM.WILD" /ShowLegalNote=nonbranded
O4 - HKLM\..\Run: [Bakra] C:\WINDOWS\System32\IEHost.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [WhenUSave] C:\Programmer\Save\Save.exe
O4 - HKCU\..\Run: [Isao] C:\Documents and Settings\Tonni\Application Data\wbap.exe
O4 - HKCU\..\Run: [ClockSync] C:\Programmer\ClockSync\Sync.exe /q
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtstr.exe

----
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
----

Genstart i fejlsikret tilstand (F8 i opstart).  Find og slet:

C:\WINDOWS\System32\SearchBar.htm >>>> filen SearchBar.htm
C:\documents and settings\tonni\lokale indstillinger\temp\0BFSuWbL.exe >>>> filen 0BFSuWbL.exe
C:\WINDOWS\System32\pnhupnpd.exe >>>> filen pnhupnpd.exe
C:\WINDOWS\System32\riverqueryd.exe >>>> filen riverqueryd.exe
C:\WINDOWS\System32\Bdka1zS9.exe >>>> filen Bdka1zS9.exe
c:\May17_loader.exe >>>> filen
C:\WINDOWS\System32\IEHost.exe >>>> filen IEHost.exe
C:\WINDOWS\System32\dp-him.exe >>>> filen dp-him.exe
C:\Programmer\Save\Save.exe >>>> mappen Save
C:\Documents and Settings\Tonni\Application Data\wbap.exe >>>> filen wbap.exe
C:\Programmer\ClockSync\Sync.exe >>>> mappen ClockSync
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtstr.exe >>>> filen wtstr.exe


Genstart almindeligt og send en ny log herind til tjek

Du mangler også at få opdateret Windows og IE med SP1 m.m.: http://v4.windowsupdate.microsoft.com/da/default.asp

puuuh, en ordentlig mundfuld. forsøger.
mit windows er en kopi (hvordan får jeg sp1)..hvad er 'IE'
når jeg genstarter i fejlsikret...hvordan finder jeg så dem jeg skal slette (er ny i dette game..) ?

men går i gang om lidt :-)

+ min norman antivirus har fundet en reklame (sat i karantæne)..når jeg klikker den væk kommer den igen...? hvodden lukker jeg den.

Hvis din Windows er en kopi, kan jeg henvise til http://www.edbpriser.dk Her kan du få en lovlig version af XP inklusiv mus for omkring 700 kroner.

ok, tak for link til edbpriser.

kom langt om længe igennem det. dog et par probs...kan ikke finde filerne : OBFSuWbL.exe og Bdka1zS9.exe

forstod heller ikke : 04-hkcu\.\run\[wapi] c...osv....men fandt filen med søgefunktionen og slettede den...var det godt nok ?

sidst...jeg fandt en fil der hedder 'terrabyte'...den har samme 'ikon' som de fleste af dem jeg slettede har...( i øvrigt den eneste i system32 der ser sådan ud)...er den ven eller fjende ??


og her er den nye log : Logfile of HijackThis v1.97.7
Scan saved at 00:35:00, on 21-05-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\ZLH.EXE
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Documents and Settings\Tonni\Skrivebord\installs\Nvc\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NYMSE.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NIP.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\npfmsg2.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nipsvc.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nvcoas.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NJEEVES.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NVCSCHED.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\cclaw.exe
C:\Documents and Settings\Tonni\Skrivebord\installs\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spil.tv2.dk/whist/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra 'Tools' menuitem: MaxSpeed (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/dk/games3.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37899.5549768519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

håber det ser fornuftigt ud nu......kan jeg i øvrigt selv gøre noget for sikkerheden her og nu....

hmmm der kom vist ikke mere...siger tak for hjælpen

Velbekomme!

De filer, du ikke kan finde og slette, kan være forsvundet sammen med fixet. Brug eventuelt Start > Søg.

Din log ser ren ud, og du må slå systemgendannelse til igen og sætte mappeindstillinger tilbage til oprindelige indstillinger.

Hent og installer programmet Ad-Aware. Opdater det straks efter installationen - inden du kører en scanning. Fjern alt hvad programmet finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware

Her er et par links til sikker surfing:
http://www.eksperten.dk/artikler/144
http://experten.dk/artikler/254

nååå der kom mere....go fin...
havde spyware og spy bots s&d, har yderligere hentet og indstalleret : ie-spyad, spywareguard, spywareblaster,ie-privacy keeper....tiden skulle jo allivel gå med noget. Der har heller ikke foregået underlige ting på 'puteren' siden.

ang mappeindstillinger : er det lige meget om de er 'visuelle' eller bedst om de er skjulte ?.

ellers siger jeg mange tak igen :-)

ad-aware spyware even.

Angående skjulte filer og mapper:
Du kan skjule filer og mapper igen for ikke ved et ”uheld” at komme til at slette noget forkert, men det er selvfølgelig op til dig selv, hvad du gør ;-)

nååå...ok.

forresten jeg kørte ad-aware spyware 4 gange i træk i går, førstegang fandt den meget, anden gang fandt den lidt (8), de to sidste gange intet....hvodden kan det være den ikke fandt alt i et forsøg ?

Det burde den vist også have gjort. Måske har du surfet rundt, mens den scannede?

nej....

nå pyt...vi lukker den her....ses nok snart igen :-)