HijackThis log

Jeg glemte og skrive at det drejer sig om denne

O4 - HKLM\..\Run: [inetmgr] C:\PROGRA~1\INTERN~2\inetmgr.exe

Den dukker op så snart den er slettet

Jeg kigger lige på sagerne :O)

Har du prøvet at fixe:
O4 - HKLM\..\Run: [inetmgr] C:\PROGRA~1\INTERN~2\inetmgr.exe
?

Ja og den kommer hele tiden igen. Også hvis jeg "håndsletter" den i regedit.
Men nu har jeg lige slettet den i fejlsikret tilstand og nu virker det som om at den forbliver væk.
Det vil jeg lige undesøge nærmere.

Det var nemlig mit næste træk :O)

http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
For at du ikke skal få den igen eller noget andet snavs synes jeg det ville være en god ide at opdatere til SP4.
Du er sårbar uden windows opdateringer.
Hent SP4 på ovenstående link. Når du har installeret den hopper du på windows update og scanner for opdateringer. Installer dem du får anbefalet....

Jeg har tideligere haft en ligende problem, denne løsning hjalp på problemmet, og det tror jeg også at det vil gøre for dig.

1] Slå systemgendannelse fra (Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart)

......................................

2] Start med at skanne for spyware med Spybot: http://download.com.com/3000-8022-10289035.html?tag=lst-0-2

Installer og kør spybot, tryk opdater, og hent opdateringerne. Derefter trykker du scan. Alle røde filer skal makeres og tryk "afhjælp valgte problemer" og afslut og genstart

.....................................

3] Hent dernæst CWShredder her: http://www.spywareinfo.com/~merijn/files/CWShredder.exe

Kør programmet, tjek for updates, luk alle vinduer, undtagen CWShredder, klik på Fix. Programmet scanner nu. Når det er færdigt, så klik på Next, Exit og Genstart.

.....................................

Og se så lige at få opdateret Windows her: http://windowsupdate.microsoft.com/


Genstart og kom derefter med en ny hijackthislog.

Ha-ha

Den er væk.
Men det værste er at noget har ligget og kørt i baggrunden og sikret sig at den blev genskabt. Så nu er jeg i tvivl om der ikke er noget som kommer igen.

Jeg slettede noget som hed Wistler Wether Report på denne maskine for nogle måneder siden. Og det lå her igen idag.

Men her HJT reporten

Logfile of HijackThis v1.97.7
Scan saved at 13:35:47, on 10-06-2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\LogWatNT.exe
C:\Programmer\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
C:\OfficeScan NT\ntrtscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\TNGRCO\RCManClient.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wm.exe
C:\WINNT\system32\svchost.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\WINNT\system32\ICO.EXE
C:\WINNT\system32\Pelmiced.exe
C:\OfficeScan NT\pccntmon.exe
C:\Programmer\Real\RealPlayer\RealPlay.exe
C:\WINNT\system32\NWTRAY.EXE
C:\Programmer\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINNT\system32\internat.exe
C:\Programmer\Citrix\PNAgent\pnagent.exe
C:\WINNT\system32\wuauclt.exe
C:\Hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://Portalen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [RealTray] C:\Programmer\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmer\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Citrix Program Neighborhood Agent.lnk = C:\Programmer\Citrix\PNAgent\PNAgentStarter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} - http://download.microsoft.com/download/vizact2000/Install/10/WIN98Me/EN-US/msorun.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

du kan også se mit spm, der er flere løsninger

http://www.eksperten.dk/spm/505015

ok det var da meget fedt

Der er altså ikke systemgendannelse i Win2k!!!!!

Din log er ren :O)

Man skal ikke køre cwshredder med mindre man har fået hijacket sin startside af coolweb.
Så det er ikke nødvendigt her.....

Her er lidt tips til at beskytte sig mod spyware:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254

Jeg bruger selv ad-aware, spywareguard, spybot, AVG-antivirus og Zonealarm. Det er ganske effektivt.

andersenph> Tak for svarene som altid. Da Ekspertens server gik ned manglede du at få nogle point http://www.eksperten.dk/spm/499717
Du må gerne svare så er der point.

Mht SP4 bliver det ikke til noget for afdelingen får spritnye maskiner om kort tid, så opdateringerne er vist blevet sat på standby. Men du kender det nok når der går politik i det.

Jo jeg kender det alt for godt :O)
Takker for point i det andet spørgsmål