Søg
Avatar billede candino Nybegynder
11. juli 2004 - 05:27 Der er 16 kommentarer og
1 løsning

Hijackthis log - orm?

Hej.

Er der en (der har helt tjek på hvordan man gør) som vil være rar at tjekke min log?
Mens jeg var på nettet fortæller min Norman mig pludselig, at den har fundet en orm og at den ikke kan fjerne den.
Der var ingen oplysninger om hvad slags orm der skulle være tale om.

Jeg har efterfølgende scannet hele pc'en med Norman og onlinescannet med Housecall og Panda, uden at finde noget.
Jeg er bare ikke overbevist.

Håber der er nogen der vil hjælpe.
På forhånd tak.
Avatar billede candino Nybegynder
11. juli 2004 - 05:29 #1
Jeg glemte vist log'en. :-)

Logfile of HijackThis v1.97.7
Scan saved at 05:05:06, on 11-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRAMMER\Nvc\BIN\ZLH.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmer\Dell AIO Printer A940\dlbabmgr.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\Dell AIO Printer A940\dlbabmon.exe
C:\Programmer\BitGuard\Firewall\Firewall.Exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\PROGRA~1\BitGuard\Firewall\FireSvc.Exe
C:\Programmer\Nvc\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMMER\Nvc\BIN\NYMSE.EXE
C:\PROGRAMMER\Nvc\BIN\NIP.EXE
C:\PROGRAMMER\Nvc\BIN\nipsvc.exe
C:\PROGRAMMER\Nvc\BIN\NJEEVES.EXE
C:\PROGRAMMER\Nvc\BIN\NVCSCHED.EXE
C:\PROGRAMMER\Nvc\BIN\nvcoas.exe
C:\PROGRAMMER\Nvc\BIN\cclaw.exe
C:\Programmer\HighjackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Qwik-Fix] "C:\Programmer\PivX Qwik-Fix\QwikFix.exe" splash
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMMER\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell AIO Printer A940] "C:\Programmer\Dell AIO Printer A940\dlbabmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - Startup: SpywareGuard.lnk = ?
O4 - Global Startup: BitGuard Personal Firewall.lnk = C:\Programmer\BitGuard\Firewall\Firewall.Exe
O4 - Global Startup: Microsoft Office.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PopupPopper Control Panel (HKLM)
O9 - Extra button: Opslag (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} (TurnTool Scene) - http://www.turntool.com/ViewerInstall.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38079.410474537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup145.cab
Avatar billede andersenph Nybegynder
11. juli 2004 - 08:03 #2
Så vidt jeg kan se har du ingen orm liggende i den log der.
Avatar billede candino Nybegynder
11. juli 2004 - 14:46 #3
Er der en eller to mere der vil kigge den efter?

andersenph > Det er ikke fordi jeg ikke har tillid til dig. Det lyder bare ikke som om du er helt sikker - det skal jeg jo helst være. :-)

Når jeg ikke kan forstå hvis der ikke er noget, er det fordi jeg aldrig tidl. har været ude for at min Norman tager fejl - og fordi det skete, da jeg lige var et smut inde på "en af de sider". Dér er jo netop meget skidt!
Avatar billede candino Nybegynder
11. juli 2004 - 15:29 #4
Nu har jeg selv kigget den igennem. Jeg kender de fleste af filerne. Dem jeg ikke kender, har jeg søgt på via Google.
For mig ser det heller ikke ud som om der er noget snavs i den.

Jeg vil dog stadig blive glad, hvis der er en mere der har bedre forstand på det end jeg, der vil kigge den igennem.
Avatar billede andersenph Nybegynder
11. juli 2004 - 16:05 #5
Der er et par filer du godt kan fixe, men det er ikke orme eller vira.
Du får lige standardsmøren her:
Først opretter du en mappe kun til hijackthis og lægger programmet derover. Så har vi nemlig styr på backup filerne.
Kommer du til at slette noget forkert, kan vi altid komme tilbage og lave en restore. Derfor skal Hijack have sin egen mappe.

Første vigtige punkt er at slå systemgendannelsen fra. Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.
Ellers genskabes alt hvad vi fjerner.

Derefter skal du åbne hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.
Klik på Fix checkede.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer:
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe <<<- slet hele mappen

Derefter genstarter du og sender en ny log ind til check
Avatar billede candino Nybegynder
11. juli 2004 - 16:46 #6
Ok, det ordner jeg lige.

Jeg er også godt træt af de to update-fiduser fra QuickTime og RealPlayer. Selv om man fjerner dem fra start, kommer de altid tilbage igen.
Avatar billede candino Nybegynder
11. juli 2004 - 17:06 #7
Jeg forstår ikke det sidste.

Hvad er det jeg skal slette? "Fælles filer"? Der er da ikke noget i Programmer der hedder fælles filer.
Avatar billede candino Nybegynder
11. juli 2004 - 17:07 #8
Behøver jeg slette det/den?
Avatar billede andersenph Nybegynder
11. juli 2004 - 17:10 #9
Ja det må du selv om :O)

Real mappen indeholder spyware...
Det er ikke virus eller noget andet der ødelægger din pc, men du kan gøre det at du går i start -> søg -> søg efter fil eller mappe -> skriv realsched.exe og tryk søg.
Slet den og så er du ikke overvåget mere...
Avatar billede candino Nybegynder
11. juli 2004 - 17:15 #10
Okay, hvordan ser det ud?

Logfile of HijackThis v1.97.7
Scan saved at 17:17:20, on 11-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRAMMER\Nvc\BIN\ZLH.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmer\Dell AIO Printer A940\dlbabmgr.exe
C:\Programmer\BitGuard\Firewall\Firewall.Exe
C:\Programmer\Dell AIO Printer A940\dlbabmon.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\PROGRA~1\BitGuard\Firewall\FireSvc.Exe
C:\Programmer\Nvc\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMMER\Nvc\BIN\NYMSE.EXE
C:\PROGRAMMER\Nvc\BIN\NIP.EXE
C:\PROGRAMMER\Nvc\BIN\nvcoas.exe
C:\PROGRAMMER\Nvc\BIN\NVCSCHED.EXE
C:\PROGRAMMER\Nvc\BIN\nipsvc.exe
C:\PROGRAMMER\Nvc\BIN\NJEEVES.EXE
C:\PROGRAMMER\Nvc\BIN\cclaw.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\HighjackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Qwik-Fix] "C:\Programmer\PivX Qwik-Fix\QwikFix.exe" splash
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMMER\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell AIO Printer A940] "C:\Programmer\Dell AIO Printer A940\dlbabmgr.exe"
O4 - Startup: SpywareGuard.lnk = ?
O4 - Global Startup: BitGuard Personal Firewall.lnk = C:\Programmer\BitGuard\Firewall\Firewall.Exe
O4 - Global Startup: Microsoft Office.lnk = ?
O9 - Extra button: PopupPopper Control Panel (HKLM)
O9 - Extra button: Opslag (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} (TurnTool Scene) - http://www.turntool.com/ViewerInstall.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38079.410474537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup145.cab
Avatar billede andersenph Nybegynder
11. juli 2004 - 17:18 #11
Nydeligt. Loggen er ren og du kan godt slå systemgendannelsen til igen.
http://www.eksperten.dk/artikler/144
Her er lidt læsning om sikker surfing på nettet.

:O)
Avatar billede candino Nybegynder
11. juli 2004 - 17:22 #12
Ups!
Jeg havde slået Systemgendannelse til lige før jeg slettede sidstnævnte fil (realsched.exe). Betyder det at den kommer igen?
Avatar billede andersenph Nybegynder
11. juli 2004 - 17:23 #13
Ja det gør det...
Men når den dukker op ved du jo hvordan den skal slettes nu :O)
Avatar billede candino Nybegynder
11. juli 2004 - 17:36 #14
Ok.

Jeg kan stadig ikke lide det med den melding om den orm. Men er der ingen orm, er der jo ingen orm.
Det genere mig bare, at jeg ikke har fundet en forklaring - ved hvad der skete.
Men ok, sådan er der jo så meget underligt, når man har sådan en maskine...

Jeg siger tak for hjælpen.

M.v.h.
Candino
Avatar billede andersenph Nybegynder
11. juli 2004 - 17:40 #15
Næste gang den dukker op, så skriv ned hvad det er for een...
Så kontakter du os og så kigger vi på det :O)
Takker for point.
Og det var så lidt da ;O)
Avatar billede candino Nybegynder
11. juli 2004 - 17:53 #16
Desværre fortalte Norman mig intet om den. Hverken navn eller placering. Fik bare at vide, at der var "fundet en orm".
Avatar billede andersenph Nybegynder
11. juli 2004 - 18:13 #17
Det kan have været det man kalder for en falsk positiv.
Det sker somme tider...
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 23:24 Google sheets beregning udfra dato Af rickiegrayholm i Office & Kontorpakker
I går 18:09 Outlook Classic, lukker ikke Af mort1 i E-mail programmer
13/0520:48 Bred buet skærm vs. 2 skærme Af Nanarsi i Skærme
13/0518:07 Tilslut printer til netværk med WPS - hvis WPS slukkes på Router mistes forbindelse. Af Uvanga i Wifi
11/0521:05 Questyle M15i lydforstærker Af valby i Diverse
White papers
Flere white papers »