Søg
Avatar billede comment Nybegynder
15. august 2004 - 11:26 Der er 34 kommentarer og
1 løsning

Router lægges ned/spærres

Hej :)

Jeg har en ven, der lige har fået sig en ny PC. Vi satte maskinen op, men da vi ville gå på nettet blev vi meget hurtigt smidt af. Hos CyberCity kunne de se, at der er en unormal stor aktivitet fra computeren til routeren, og de mente, at det er denne store aktivitet der lægger routeren ned/spærrer, så vi ikke kan gå på nettet eller bliver smidt af meget hurtigt. Deres forslag var at tjekke maskinen for Blaster, men det gav ikke noget resultat - det nyeste Blaster Removal Tool fandt ingen orme på maskinen.

Jeg har så kørt lidt forskellige testprogrammer på maskinen, herunder også PestPatrole og den identificerede iexplore.exe som en bagdør og fandt i øvrigt nogle cookies. Jeg har slettet de cookies som programmet fandt, men efter at have været en tur på nettet, for at tjekke op på iexplore.exe, er jeg i tvivl om hvorvidt det er forsvarligt at slette iexplore.exe. Det skal siges at den ligger i system32 mappen og at jeg ikke selv har en lignende fil liggende i den mappe på min egen maskine...

Nogen der har en idé om, hvad det er, der lægger routeren ned?

Hvis det kan være til nogen hjælp, så har Jeg også kørt HijackThis på maskinen, med følgende resultat:

Logfile of HijackThis v1.97.7
Scan saved at 17:34:38, on 14-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
E:\quick time\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ati2vid.exe
C:\WINDOWS\System32\Winregs32.exe
C:\WINDOWS\System32\soundblaster.exe
C:\WINDOWS\System32\IEXPLORE.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\WinZip\WZQKPICK.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
I:\Antivirus, Firewalls & Removal Tools\HijackThis 1.97.7\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pandasoftware.com/activescan/com/activescan_principal.htm

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

O4 - HKLM\..\Run: [imekrmig7.0] "C:\Program Files\Common Files\Microsoft Shared\IME\IMKR7\IMEKRMIG.EXE"

O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload

O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync

O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync

O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\quick time\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\iyjtijv.exe

O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\Run: [Micr Update] soundblaster.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe

O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe

O4 - HKLM\..\RunServices: [Micr Update] soundblaster.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [Micr Update] soundblaster.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = E:\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38210.3847337963

Jeg er på det rene med at det ikke er den seneste udgave af HijackThis jeg har kørt, men jeg sidder ved min egen maskine lige nu, så jeg har ikke umiddelbart mulighed for at lave en genkørsel med version 1.98.2 (der er en halv times kørsel hen til min ven). Men bliver det nødvendigt, så må jeg selvfølgelig af sted...

Jeg håber, der er nogen af jeg experter herinde der kan hjælpe os lidt med det her meget irriterende problem.

Mvh

comment
Avatar billede forevernewbie Nybegynder
15. august 2004 - 11:47 #1
Jep, der er noget med den iexplorer, tygger lige loggen igennem
Avatar billede comment Nybegynder
15. august 2004 - 11:59 #2
Lyder godt forevernewbie :)

/comment
Avatar billede forevernewbie Nybegynder
15. august 2004 - 12:07 #3
Der vil være bedst hvis det her kan gøres inden vi fixer. Har du mulighed for det?

Slå systemgendannelse fra, fjern internetforbindelsen fra din computer ved at tage stikket ud,luk dit antivirus.

Prøv lige at hente, og køre denne scanner. Sæt flueben ved alle options, og scan/clean.
http://www.mwti.net/antivirus/free_utilities.asp

Genstart, og lad os lige se hvad en ny log siger.

Ny HJT her

http://www.spywareinfo.com/downloads/tools/HijackThis.exe


http://danborg.org/spy/HJT/hijackthis.exe
Avatar billede forevernewbie Nybegynder
15. august 2004 - 12:08 #4
Btw, det er sådan en her, eller en variant http://www.sophos.com/virusinfo/analyses/w32lovgatead.html
Avatar billede forevernewbie Nybegynder
15. august 2004 - 12:20 #5
DCOM skal også lukkes, ellers bliver det bare ved. DcomBobulator her http://grc.com/freepopular.htm
Avatar billede comment Nybegynder
15. august 2004 - 12:32 #6
Nice work forevernewbie :)

Det er sq da en bister djævel han har fået på sin maskine!

Jeg tager op til min ven nu, kører den nyeste HJT og sammenligner med den gamle log. Hvis der noget nyt i den nye log poster jeg den her og ellers, så følger jeg dine anvisninger mht at fjerne den orm.

Foreløbig mange tak for hjælpen :)

/comment
Avatar billede forevernewbie Nybegynder
15. august 2004 - 12:43 #7
Du kan sådan set godt vente med den nye log til du har scannet :-)
Avatar billede comment Nybegynder
15. august 2004 - 12:47 #8
Oki!

/comment
Avatar billede forevernewbie Nybegynder
15. august 2004 - 13:34 #9
Og genstartet self :-)
Avatar billede comment Nybegynder
15. august 2004 - 14:40 #10
Så er jeg tilbage igen :)

Her er resultaterne:

Først eScan Virus Log Info:
File C:\WINDOWS\System32\muamgrd.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\ati2vid.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\Winregs32.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\IEXPLORE.EXE infected by "Backdoor.Rbot.j" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\soundblaster.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\Jlidni32.dll infected by "Backdoor.Padodor.v" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\iyjtijv.exe infected by "Worm.Win32.Padobot.m" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\bdfqtk.exe infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\Cnckmbfd.exe infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\Fmmjjdjd.exe infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File to be deleted on reboot.
File C:\WINDOWS\System32\ftpupd.exe infected by "Worm.Win32.Padobot.m" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\Gedaki32.dll infected by "Backdoor.Padodor.v" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\kpykqr.exe infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\phdxem.exe infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\phqghu.exe infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\vowrai.exe infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\winhlpp32.exe infected by "Backdoor.Agobot.qf" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\NN\Local Settings\Temporary Internet Files\Content.IE5\7CV7LA4M\kk[1].gif infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\NN\Local Settings\Temporary Internet Files\Content.IE5\7CV7LA4M\kk[2].gif infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\NN\Local Settings\Temporary Internet Files\Content.IE5\7CV7LA4M\kk[3].gif infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\NN\Local Settings\Temporary Internet Files\Content.IE5\9K88L7CX\kk[1].gif infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\7CV7LA4M\kk[1].gif infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\7CV7LA4M\x[1].exe infected by "Worm.Win32.Padobot.m" Virus. Action Taken: File Deleted.

Efter et reboot fik jeg følgende log fra HJT:

Logfile of HijackThis v1.98.2
Scan saved at 13:57:41, on 15-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
E:\quick time\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
E:\WinZip\WZQKPICK.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
I:\Antivirus, Firewalls & Removal Tools\HijackThis 1.98.2\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pandasoftware.com/activescan/com/activescan_principal.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [imekrmig7.0] "C:\Program Files\Common Files\Microsoft Shared\IME\IMKR7\IMEKRMIG.EXE"
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync
O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [Micr Update] soundblaster.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = E:\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE


Vi har endnu ikke forsøgt at gå på nettet (er bange for at der stadig ligger noget "phone home ware" på maskinen) , men jeg håber vi er blevet problemet kvit.

Hvis der er noget i de to logs jeg ikke bryder mig så meget om er det at der stadig findes en soundblaster.exe reference under run, men kan vi ikke bare fjerne den, enten i regedit eller med regcleaner? Men hvad siger du ellers til de to log filer forevernewbie?

Mvh

comment
Avatar billede comment Nybegynder
15. august 2004 - 14:43 #11
Btw: Kørte selfølgelig også DCOMbobulator, og deaktiverede DCOM, inden vi rebootede :-)
Avatar billede forevernewbie Nybegynder
15. august 2004 - 14:48 #12
Tak for kaffe, der blev sq da lige ryddet op! Der er mere i loggen, og det kan være at det, som du siger, ryger med en regcleaner. Men jeg gumler lige loggen igennem igen, og så fixer vi det først. Vender til bage om lidt
Avatar billede comment Nybegynder
15. august 2004 - 15:31 #13
Ja, jeg skal love for at der blev taget fat - eScan er et utroligt effektivt lille program. Ser frem til at høre, hvad du ellers mener om situationen :)

/comment
Avatar billede forevernewbie Nybegynder
15. august 2004 - 16:38 #14
Slå systemgendannelse fra, luk alle andre vinduer end Hijack This. Flueben ved disse:

O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe

O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe

O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE

O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDO





Disse fixes også, og forsvinder med fordel fra "run"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\quick time\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

Klik "fix checked"



Vi skal kunne se skjulte filer og mapper

Gå i> Kontrolpanel> udseende og temaer> mappeindstillinger> fanebladet "vis"> prik i "vis skjulte filer og mapper" og fjern flueben ved "skjul beskyttede operativsystemfiler"


Disse filer slettes i fejlsikret tilstand (Tryk f8 flere gange når genstarten påbegyndes)

ati2vid.exe

Winregs32.exe

(de er måske væk)

Prøv at checke iexplorer.exe > højreklik>egenskaber


genstart, og en ny log til check, tak.


Btw, Spyhunter kan ikke anbefales
Avatar billede forevernewbie Nybegynder
15. august 2004 - 16:51 #15
Fixes også, smutter sorry :-)

O4 - HKCU\..\Run: [Micr Update] soundblaster.exe
Avatar billede forevernewbie Nybegynder
15. august 2004 - 16:57 #16
Btw, de to filer jeg nævnte er jo "renamed", og dermed "døde". Hvis du vil, kan prøve at finde E-scans "renamed" filer og slette dem i fejlsikret, men det er ikke kritisk.
Avatar billede comment Nybegynder
15. august 2004 - 16:58 #17
Systemgendannelse slog jeg, som du opfordrede mig til, fra sidst.

Alle skjulte filer og mapper er synlige - ordnede jeg også sidst.

Jeg tager ud til ham igen med det samme og du får foreløbig rigtig mange tak for hjælpen :) Og tak for tippet om ikke at bruge Spyhunter.

Mvh

comment
Avatar billede comment Nybegynder
15. august 2004 - 16:59 #18
Du mener ati2vid.exe og Winregs32.exe - right?

/comment
Avatar billede forevernewbie Nybegynder
15. august 2004 - 17:02 #19
Den med systemgendannelse er en standard kommentar i forbindelse med hijackThis :-). Med hensyn til filer, så tjek min kommentar 15/08-2004 16:57:51
Avatar billede forevernewbie Nybegynder
15. august 2004 - 18:08 #20
Hent alle kritiske opdateringer på cd her http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da
og installer dem inden i går på nettet. Husk også at slå XP firewall til med det samme.
Et godt antivirus her http://www.free-av.com/ og så er det jo altid en god ide at tjekke her http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/144
Avatar billede forevernewbie Nybegynder
15. august 2004 - 18:13 #21
Det skulle jeg nok have lagt inden du tog afsted, sorry
Avatar billede comment Nybegynder
15. august 2004 - 18:32 #22
No prob forevernewbie - vi går først på nettet i morgen eftermiddag :)

Den seneste HJT log ser sådan ud:

Logfile of HijackThis v1.98.2
Scan saved at 18:00:59, on 15-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\System32\ctfmon.exe
E:\WinZip\WZQKPICK.EXE
I:\Antivirus, Firewalls & Removal Tools\Antivirus, Firewalls & Removal Tools New\HijackThis 1.98.2\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [imekrmig7.0] "C:\Program Files\Common Files\Microsoft Shared\IME\IMKR7\IMEKRMIG.EXE"
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync
O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = E:\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

Hvad siger du til den - er den "ren" eller er der mere vi skal have renset væk?

Tak for de mange links - jeg vil se på det med det samme. Vi er meget glade for det store arbejde du laver med at hjælpe os :)

Mvh

comment
Avatar billede forevernewbie Nybegynder
15. august 2004 - 19:24 #23
Ja, den er ren, men kør lige nogle scanninger med Ad-Aware, og Spybot, når i har fået installeret updates, antivirus osv. I kan også rydde op med den her

For at få ryddet helt op, så hent lige CCleaner her http://www.ccleaner.com/download112.php
. Brug standard indstillinger, klik "run cleaner". Derefter, fanebladet"issues",
>scan for issues, når den er færdig> fix selected issues, du får nu et tilbud om backup, det er ikke
nødvendigt, den tager ikke for meget. "issues" køres flere gange, til den ikke finder mere Genstart.

God fornøjelse :-)
Avatar billede forevernewbie Nybegynder
15. august 2004 - 19:26 #24
Btw, det vil være en god ide med en softwarefirewall.
Avatar billede comment Nybegynder
15. august 2004 - 22:04 #25
Okay forevernewbie, jeg vender tilbage i morgen eftermiddag, når jeg har været omkring min ven og ordne de sidste småting. Du får mange tak for hjælpen indtil videre.

Mvh

comment

PS: Hvordan tildeler man point for rigtige svar?
Avatar billede comment Nybegynder
15. august 2004 - 22:06 #26
Btw: Hvilken softwarefirewall vil du anbefale?

/comment
Avatar billede forevernewbie Nybegynder
15. august 2004 - 22:07 #27
Velbekommen :-)

Du markere bare mit brugernavn, bagefter "accepter" ;-)
Avatar billede comment Nybegynder
15. august 2004 - 22:11 #28
Oki, det må jeg så ser på i morgen, efter jeg har ordnet det sidste med hans maskine. Endnu engang tak!

/comment
Avatar billede forevernewbie Nybegynder
15. august 2004 - 22:12 #29
Deb gratis Sygate, helt sikkert, fremragende http://smb.sygate.com/download_buy.htm
Avatar billede comment Nybegynder
16. august 2004 - 17:41 #30
Så er vi på :)

Du har været en uvurderlig hjælp - rigtig mange tak! De 150 point falder selvfølgelig i din hat.

Btw: Firewallen stopper et Windows prog i at kontakte en bestemt url og spørgsmålet er om det er uskadeliget eller ej...?

Meldingen er:

Generic Host Process for Win32 Services (svchost.exe) is trying to broadcast to [239.255.255.250] using remote port 1900 (SSDP - Simple Service Discovery Protocol).

Når jeg tjekker url'en i google er den ikke tilgængelig. Ellers her jeg fundet ud af at der bag hver svchost.exe i task manageren gemmer sig en række services, men at der også er vira og trojansk heste der benytter det samme navn. Er det bare at køre en eScan for at være sikker på at der ikke er noget skummelt på færde? Eller er det vanskeligere end det? Er der evt. nogle services jeg skal være opmærksom på, hvis jeg kører en tasklist /svc i dos?

Mvh

comment
Avatar billede forevernewbie Nybegynder
16. august 2004 - 18:55 #31
Du har ret, svchost.exe er et yndet mål for alskens snavs. i dette tilfælde laver den en uskyldig forespørgsel her http://www.ripe.net/db/whois/whois.html og det gør den typisk når den har server rettigheder.

Generic Host Process for Win32 Services (svchost.exe) er en vigtig proces i XP, mere her
http://support.microsoft.com/default.aspx?scid=kb;en-us;314056

Og hvilke skadelige processer der kan udnytte den
http://www.sysinfo.org/startuplist.php?filter=svchost.exe&count=&type=

Jeg vil anbefale at i går ind i Sygate, og fjerner server rettigheder fra Generic Host Process for Win32 Services (svchost.exe), og så mange andre programmer som muligt. Generic Host Process for Win32 Services (svchost.exe) skal dog have ADGANG til nettet.
Visse programmer skal dog have server rettigheder som f.eks browseren og Messenger. Jeg kan ikke lige huske hvordan man gør det i Sygate, men det skulle være til at finde ud af. Måske ligger det i menuen, hvis man højreklikker på programmerne i Sygate.

Så der er ikke noget der tyder på mere snavs, men derfor kan du da godt køre en tur med e-scan, og evt. lægge en log til ind :-)
Avatar billede comment Nybegynder
16. august 2004 - 19:05 #32
Det kigger vi lige på en af de nærmeste dage...

du får endnu engang tak for hjælpen :)

Mvh

comment
Avatar billede forevernewbie Nybegynder
16. august 2004 - 19:06 #33
Velbekommen :-))
Avatar billede forevernewbie Nybegynder
16. august 2004 - 19:07 #34
Og tak for point :-)
Avatar billede comment Nybegynder
16. august 2004 - 19:12 #35
Det var da det mindste - keep up the good work!

/comment
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 10:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
06/0419:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
06/0417:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
06/0413:13 Batch OCR Af KurtG i Billedbehandling
06/0410:42 AI integreret i Access Af per2edb i Access
White papers
Flere white papers »