Søg
Avatar billede kochkim Nybegynder
28. juli 2004 - 08:44 Der er 23 kommentarer og
1 løsning

Hjælp, har fået "Trojansk Hest"

God morgen

Endnu en af de uheldige som har fået udbudne gæster. "Den" har medført ændringer på mit skivebord og styrer mig over på nogle "kedelige" internetsider"
Jeg har læst lidt her i nyhedsgruppen og downloaded og kørt Spybot og Hijackthis. Jeg vedlægger loggen og håber meget at en venlig sjæl kan hjælpe lidt ?

Hilsen Kim Koch


Logfile of HijackThis v1.98.0
Scan saved at 15:44:33, on 27-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\NMSSvc.exe
c:\pavfn\platinum\Pavsrv51.exe
C:\WINDOWS\system32\slserv.exe
c:\pavfn\platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\pavfn\platinum\APVXDWIN.EXE
C:\pavfn\Remupd.exe
C:\WINDOWS\System32\hpnra.exe
C:\Programmer\Scansoft\PaperPort\pptd40nt.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kim.FARMACEUT\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://politiken.dk/VisArtikel.iasp?PageID=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [APVXDWIN] c:\pavfn\platinum\APVXDWIN.EXE
O4 - HKLM\..\Run: [Agente] c:\pavfn\Remupd.exe
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\System32\hpnra.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmer\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmer\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\RunServices: [PandaScheduler] c:\pavfn\platinum\Pavsched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.252/bonus.chm::/winpromo.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FARMACEUT.local
O17 - HKLM\Software\..\Telephony: DomainName = FARMACEUT.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A3F0962-F493-4656-88CE-C51DB244FB16}: NameServer = 10.0.0.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FARMACEUT.local
Avatar billede resist Nybegynder
28. juli 2004 - 08:51 #1
Nu skal jeg kigge loggen igennem.
Avatar billede tubber Juniormester
28. juli 2004 - 08:58 #2
Vil lige sige med det samme at jeg overhovedet ikke er inde i det, men følger med i disse her med hijacklog :) vil nemlig gerne lære det :)

Men kommer lige med et bud inden poerne kommer hehe

For mig ser den clean ud

Så nu er jeg kommet med et bud, ikke noget jeg vil ha points for, for den skal lige kigges efter af en der har styr på det :)
Avatar billede resist Nybegynder
28. juli 2004 - 09:02 #3
Opret en mappe kun til HijackThis. Placer HijackThis i denne mappe og kør programmet derfra.

Slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Herunder er der nogle filer, som du skal fixe. Sæt en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned.

Fix disse med HijackThis:

O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll (file missing)

O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.252/bonus.chm::/winpromo.exe


----
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
----

Genstart i fejlsikret tilstand (F8 i opstart).  Find og slet:

C:\Program Files\WindowsSA\omniscient.exe >>>> mappen WindowsSA


Genstart almindeligt.

Tag en tur med denne scanner: http://www.mwti.net/download/tools/mwav.exe

Derefter sender du en ny log fra HijackThis herind til tjek – tak.
Avatar billede tubber Juniormester
28. juli 2004 - 09:08 #4
hehe godt der er nogen der har styr på det......

resist: skal man simpelthen vide hvad der hører til i windows eller er der steder man kan læse om hvad der ikke hører til ?
Avatar billede resist Nybegynder
28. juli 2004 - 09:09 #5
Jeg var lidt for hurtig, jeg er nødt til at spørge om du kender dette program: C:\Program Files\WindowsSA\omniscient.exe
Der findes både en lovlig og ulovliv version?
Avatar billede resist Nybegynder
28. juli 2004 - 09:19 #6
Det kunne tyde på, at det er denne: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BLAZEFIND.A

Og så er den dårlig ;-) og skal væk.
Avatar billede kochkim Nybegynder
28. juli 2004 - 09:21 #7
Hej Resist

Nej, jeg kender ikke omniscient.exe; så den skal vel bare "fixes" ?
Avatar billede resist Nybegynder
28. juli 2004 - 09:23 #8
ja, hvis du ikke kender den, så følg min anvisning 28/07-2004 09:02:32
Avatar billede resist Nybegynder
28. juli 2004 - 09:32 #9
tubber >>>> Her er en side, hvor man kan læse om forskellige programmer – under Tasklist: http://www.answersthatwork.com/
Man kommer hurtigt til at kende en del programmer, ellers bruger jeg ofte Google ;-)
Avatar billede tubber Juniormester
28. juli 2004 - 09:41 #10
ok :)
prøvede lige på min egen der er 1 jeg er i tvivl om nemlig :)

Takker for linket :)
Avatar billede tubber Juniormester
28. juli 2004 - 09:44 #11
Danm cool link :)
Avatar billede kochkim Nybegynder
28. juli 2004 - 10:15 #12
Hej iegn Resist

Jeg har fulgt dine anvisninger og vedlægger en ny log fra Hijackthis :
Jeg har lige et par kommentarer:
Der lå ingen filer overhovedet i C:\Program Files\WindowsSA\; jeg søgte efterfølgende på omniscient.exe på c:\ uden held.

Mwav.exe gik ned med fejl med nåede at finde og slette 3 filer. Skal jeg forsøge at køre den igen ?

Logfile of HijackThis v1.98.0
Scan saved at 10:13:51, on 28-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\pavfn\platinum\Pavsrv51.exe
C:\WINDOWS\system32\slserv.exe
c:\pavfn\platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\pavfn\platinum\APVXDWIN.EXE
C:\pavfn\Remupd.exe
C:\WINDOWS\System32\hpnra.exe
C:\Programmer\Scansoft\PaperPort\pptd40nt.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://politiken.dk/VisArtikel.iasp?PageID=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [APVXDWIN] c:\pavfn\platinum\APVXDWIN.EXE
O4 - HKLM\..\Run: [Agente] c:\pavfn\Remupd.exe
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\System32\hpnra.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmer\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmer\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\RunServices: [PandaScheduler] c:\pavfn\platinum\Pavsched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FARMACEUT.local
O17 - HKLM\Software\..\Telephony: DomainName = FARMACEUT.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A3F0962-F493-4656-88CE-C51DB244FB16}: NameServer = 10.0.0.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FARMACEUT.local
Avatar billede resist Nybegynder
28. juli 2004 - 10:21 #13
Ja, forsøg lige en gang mere med den engangsscanner (Mwav.exe).

Du kan eventuelt også prøve en eller flere af disse onlinescannere:
Housecall: http://housecall.trendmicro.com/
Panda: http://www.pandasoftware.com/activescan/com/activescan_principal.htm
BitDefender: http://www.bitdefender.com/scan/license.php
Avatar billede resist Nybegynder
28. juli 2004 - 10:25 #14
Umiddelbart ser din nye log fra HijackThis ren ud, men lad mig høre hvad en onlinescanning finder - jeg vil anbefale Housecall og BitDefender.
Avatar billede kochkim Nybegynder
28. juli 2004 - 13:16 #15
Hej resist

Nu har jeg kørt Housecall og Bitdefender også Mwav.exe som "dør" igen.
Jeg vedlægger opdateret Hijacklthis. Er vi ved at være der hvor PC skal reformatteres eller....?

Hilsen Kim Koch

Logfile of HijackThis v1.98.0
Scan saved at 13:16:56, on 28-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\Source Engine\OSE.EXE
c:\pavfn\platinum\Pavsrv51.exe
C:\WINDOWS\system32\slserv.exe
c:\pavfn\platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
c:\pavfn\platinum\apvxdwin.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\pavfn\Remupd.exe
C:\WINDOWS\System32\hpnra.exe
C:\Programmer\Scansoft\PaperPort\pptd40nt.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\system32\userinit.exe
C:\Hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://politiken.dk/VisArtikel.iasp?PageID=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [APVXDWIN] c:\pavfn\platinum\APVXDWIN.EXE
O4 - HKLM\..\Run: [Agente] c:\pavfn\Remupd.exe
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\System32\hpnra.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmer\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmer\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\RunServices: [PandaScheduler] c:\pavfn\platinum\Pavsched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FARMACEUT.local
O17 - HKLM\Software\..\Telephony: DomainName = FARMACEUT.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A3F0962-F493-4656-88CE-C51DB244FB16}: NameServer = 10.0.0.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FARMACEUT.local
Avatar billede resist Nybegynder
28. juli 2004 - 14:52 #16
Loggen ser stadig ren ud.

Fandt Housecall og Bitdefender noget?

Hvilke problemer har du med computeren?

Prøv dette:
Indsæt din XP-cd i dit drev.
Gå i start
Kør
Skriv: sfc /scannow
(husk mellemrum mellem sfc og /scannow)
OK

Er der nogle systemfiler, som ikke har det så godt, så bliver de repareret og mangler der nogle, så bliver de gendannet.


Du kan også prøve at downloade dette program, som leder efter trojanske heste. Du kan på denne adresse få en 30 dages prøveversion: http://www.misec.net/trojanhunter/

Finder programmet noget?
Avatar billede kochkim Nybegynder
28. juli 2004 - 15:56 #17
Både Housecall og bitfender fandt noget som de fjernede med også noget som ikke kunne fjernes; øhhh desværre var jeg ikke så begavet at jeg skrev det ned,beklager. Skal jeg ikke lige køre dem igen?
Jeg forsøger også trojahunter; mens mine ca. 200.000 filer scannes finder jeg lige min XP cd.
Avatar billede resist Nybegynder
28. juli 2004 - 17:06 #18
Prøv eventuelt også at downloade mwav.exe igen: http://www.mwti.net/download/tools/mwav.exe

Genstart i fejlsikret tilstand og kør scanneren derfra.
Avatar billede kochkim Nybegynder
29. juli 2004 - 09:26 #19
Godmorgen igen !!

Så lykkedes det at køre mwav.exe i fejlsikret tilstand. Jeg vedlægger virus log.
Virussen eksisterer desværre stadigvæk i bedste velgående; den markerer alle ikoner på skrivebordet, ligeledes har den på skrivebordet "fastlimet" en hjemmeside "You are in danger" som fortæller mig at jeg skal beskytte mig !!!!!

File C:\Documents and Settings\Kim\Skrivebord\kntoplan.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Documents and Settings\Kim.FARMACEUT\Lokale indstillinger\Temporary Internet Files\Content.IE5\9V031KV5\523927[1] infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Kim.FARMACEUT\Lokale indstillinger\Temporary Internet Files\Content.IE5\WCV7HP8L\index[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Kim.FARMACEUT\Lokale indstillinger\Temporary Internet Files\Content.IE5\WPCVCR8R\bonus[1].chm infected by "TrojanDropper.Win32.Small.hu" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\Kim.FARMACEUT\Skrivebord\backups\backup-20040727-160326-602 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Kim.FARMACEUT\Skrivebord\kntoplan.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Hijackthis\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\IBMTOOLS\APPS\PCDRWIN\SETUP2.EX2 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\q.exe infected by "Trojan.Win32.Small.j" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{39EA62C9-EDEA-4256-AE2E-04031708E69E}\RP5\A0004661.exe infected by "Trojan.Win32.Small.j" Virus. Action Taken: File Deleted.
Avatar billede kochkim Nybegynder
29. juli 2004 - 09:42 #20
Og så lige en opdateret Hijackthis log efter at mwav.exe er kørt :

Logfile of HijackThis v1.98.0
Scan saved at 09:44:04, on 29-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\NMSSvc.exe
c:\pavfn\platinum\Pavsrv51.exe
C:\WINDOWS\system32\slserv.exe
c:\pavfn\platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\pavfn\Remupd.exe
C:\WINDOWS\System32\hpnra.exe
C:\Programmer\Scansoft\PaperPort\pptd40nt.exe
c:\pavfn\platinum\apvxdwin.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://politiken.dk/VisArtikel.iasp?PageID=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [APVXDWIN] c:\pavfn\platinum\APVXDWIN.EXE
O4 - HKLM\..\Run: [Agente] c:\pavfn\Remupd.exe
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\System32\hpnra.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmer\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmer\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.9\THGuard.exe"
O4 - HKLM\..\RunServices: [PandaScheduler] c:\pavfn\platinum\Pavsched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FARMACEUT.local
O17 - HKLM\Software\..\Telephony: DomainName = FARMACEUT.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A3F0962-F493-4656-88CE-C51DB244FB16}: NameServer = 10.0.0.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FARMACEUT.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = FARMACEUT.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = FARMACEUT.local
Avatar billede resist Nybegynder
29. juli 2004 - 09:58 #21
Du har slået systemgendannelse fra? Ellers gør det: http://www.spywarefri.dk/virusscannere.htm#alle

Du skal slette dine midlertidige filer – temp filer og midlertidige internetfiler. Du kan eventuelt få hjælp af dette program:
http://www.spywarefri.dk/vaerktoj.htm#emptytemp
Brugervejledning: http://www.spywarefri.dk/emptytempfolders.manual.htm

Angående den ”fastlimede” skrivebordsside, så prøv dette:

Kopier teksten mellem … ind i notesblok:



REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktop"=dword:00000001



Gem filen som noactd.reg, det gør du ved at vælge Gem som, og så i Filtype vælge alle filer.
Dobbeltklik så på noactd.reg og sig ja til at flette.

Genstart.
Avatar billede kochkim Nybegynder
29. juli 2004 - 10:43 #22
Bravo, så kom vi i mål. Nu ser mit skrivebord ud som det plejer.
Tak for en stor indsats.
Afslutningsvis vil jeg gerne lige spørge om hvorledes jeg kan få så meget skidt ind; burde Panda ikke blokkere ?

Hilsen

Kim Koch
Avatar billede resist Nybegynder
29. juli 2004 - 11:05 #23
Velbekomme ;-)

Du er selv kommet til at lægge og acceptere et svar, så nu kan jeg ikke svare og få point. Det er normal kutyme at give point til den person, som hjælper ;-)

Du kan eventuelt oprette et nyt spørgsmål med 200 point i viruskategorien og skrive point til resist med reference til dette spørgsmål.

Du må nu slå systemgendannelse til igen og sætte mappeindstillinger tilbage til oprindelige indstillinger.

Her er et par gode links til sikker surfing, så det er sværere at få skidt ind på computeren i fremtiden:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Avatar billede victor-1 Nybegynder
03. august 2004 - 12:42 #24
"resist" >> http://www.eksperten.dk/spm/525816
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Total AV Af Malm i Virus 10 16/01/202516:48 17/01/202520:47
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 22:24 Vise webcam fra pc til en Iphone Af lurup i Windows
I går 19:36 Bruger lang til inden start Af KurtG i PowerPoint
I går 16:01 Driver opdatering Af barth i Andet software
I går 14:32 Jeg kan ikke finde min vinkelmåler Af nu_igen i Apps til iOS
22/1122:04 Langsom Internet Af webnord i Andet software
White papers
Flere white papers »