Søg
Avatar billede oskar Nybegynder
16. september 2004 - 23:39 Der er 14 kommentarer og
1 løsning

Snavs i hijackthis log

Der er vist snavs i min server. Gider nogen kigge den igennem. Måske kan det løse et problem med en services.exe der ofte tager al cpu-tid fra maskinen.



Logfile of HijackThis v1.98.2
Scan saved at 22:59:36, on 09/16/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\Documents and Settings\Administrator.OSKAR\WINDOWS\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\System32\termsrv.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\WINNT\System32\svchost.exe
E:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
E:\WINNT\System32\locator.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\System32\dns.exe
E:\WINNT\System32\inetsrv\inetinfo.exe
E:\WINNT\System32\ismserv.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\Explorer.EXE
E:\WINNT\system32\khooker.exe
E:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
E:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
E:\Program Files\Skype\Phone\Skype.exe
E:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
E:\Program Files\Avaya_Wireless\Client Manager\CmAVA.exe
E:\Program Files\Trillian\trillian.exe
E:\WINNT\system32\taskmgr.exe
E:\WINNT\system32\rundll32.exe
E:\WINNT\system32\ssflwbox.scr
E:\WINNT\system32\rundll32.exe
C:\Downloads\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Startside.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=E:\WINNT\system32\userinit.exe,
O2 - BHO: Watch for Browser Events - {516E2306-7ADF-47EC-AEA8-ACB6B51899F1} - E:\PROGRA~1\MACROE~1\iCapture.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\WINNT\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [SiS KHooker] E:\WINNT\system32\khooker.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Trillian.lnk = E:\Program Files\Trillian\trillian.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Avaya Wireless Client Manager.lnk = E:\Program Files\Avaya_Wireless\Client Manager\CmAVA.exe
O4 - Global Startup: Macro Express 3.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Define - file://E:\Documents and Settings\Administrator.OSKAR\WINDOWS\WEBster.htm
O8 - Extra context menu item: &Google Search - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - E:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Backward &Links - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://E:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Encyclopedia &Lookup - file://E:\Documents and Settings\Administrator.OSKAR\WINDOWS\WEBEncyc.htm
O8 - Extra context menu item: Gem &formularer &[ - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Si&milar Pages - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O8 - Extra context menu item: Tilpas RF menu - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Udfyld formularer &] - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Yahoo! Dictionary - file:///E:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///E:\Program Files\Yahoo!\Common/ycsrch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra button: Udfyld - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Udfyld formularer &] - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Gem - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Gem &formularer &[ - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Program Files\ICQ\ICQ.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF værktøjslinie &2 - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - E:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O10 - Broken Internet access because of LSP provider 'e:\documents and settings\administrator.oskar\windows\system32\rnr20.dll' missing
O12 - Plugin for .bcf: E:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O12 - Plugin for .pdf: E:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nag.kauv.dk
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nag.kauv.dk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = nag.kauv.dk
Avatar billede andersenph Nybegynder
17. september 2004 - 08:13 #1
Jeg kigger den lige igennem for dig :O)
Avatar billede andersenph Nybegynder
17. september 2004 - 08:22 #2
I tilfælde af at internetforbindelsen forsvinder skal du hente et program, der hedder LSPFix, for du kan risikere at din Internetforbindelse forsvinder. Brug kun programmet, hvis Internetforbindelsen forsvinder: http://www.cexx.org/lspfix.htm
direkte link http://www.cexx.org/lspfix.zip

Anden version: http://danborg.org/spy/Newnet/winsockxpfix.exe (i tilfælde af, at LSPFix ikke virker).

Download begge til skrivebordet, så de er klar til brug, hvis forbindelsen forsvinder!

Hvis LSPFix skal bruges, så følg denne anvisning:
Pak filen ud, kør programmet, sæt flueben i "I know what I am doing" klik på finish.
Brug kun programmet, hvis Internetforbindelsen forsvinder

Du åbner først Hijackthis.
Tryk scan.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.
Click på Fix checked.

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
(Disse skal kun fixes, hvis du ikke selv har sat restriktioner på dit internet)


O10 - Broken Internet access because of LSP provider 'e:\documents and settings\administrator.oskar\windows\system32\rnr20.dll' missing

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab


Hent denne scanner:
http://www.mwti.net/antivirus/free_utilities.asp
Det er ligegyldigt hvilken af de 7 mirrors du bruger. Programmet er det samme.
Inde i opsætningen sætter du den til at scanne alt.
Kør scan/clean.


Derefter genstarter du og sender en ny log ind til check
Avatar billede serverservice Praktikant
17. september 2004 - 10:12 #3
->Andersenph- jeg forsøger at hjælpe ham i et andet spm. om services.exe som kører i højt cpu. imellem tiden renser du loggen, men læg mærke til at det er en windows 2000 server.
Avatar billede andersenph Nybegynder
17. september 2004 - 10:25 #4
Hej Oskar

Dannyboyd og jeg at snakket lidt "bag om ryggen" på dig ;O)

Vi er kommet frem til, at det nok er en god ide under alle omstændigheder at køre Winsockfix.

Prøv det og vend tilbage med om det hjælper dig.
Avatar billede oskar Nybegynder
17. september 2004 - 22:09 #5
Det hjalp desværre ikke med winsockfix. Og jeg får desværre ikke mulighed for at prøve de øvrige forslag før tidligst i morgen engang.

Nogen gange kan det åbenbart være rart at nogen snakker "bag om ryggen" på en. ;)
Avatar billede andersenph Nybegynder
18. september 2004 - 00:06 #6
Det er i hvert fald ikke i ond tro at vi gør det. Men vi holder et vågent øje med dig, og du er velkommen til at fortælle hvordan det går.
Avatar billede oskar Nybegynder
18. september 2004 - 13:54 #7
Det hjalp desværre ikke det mindste.

På dette screendump fra scanningen http://saxa.dk/dump.jpg ses først normal aktivitet ved virusscanning, ca midtpå går Kaspersky amok og nærmer sig de hundrede %, imens går scanningen næsten helt i stå. Til sidst er der services.exe der får den helt op på 100 % og al scanning går i stå i 20-40 sekunder. Dette var den eneste gang hvor de to kom lige i hælene på hindanden, indtil da havde de pænt skiftedes til at gå amok.

Nu ser min hijacklog sådan ud:

Logfile of HijackThis v1.98.2
Scan saved at 13:30:26, on 09/18/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\Documents and Settings\Administrator.OSKAR\WINDOWS\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\System32\termsrv.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\WINNT\System32\svchost.exe
E:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
E:\WINNT\System32\locator.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\System32\dns.exe
E:\WINNT\System32\inetsrv\inetinfo.exe
E:\WINNT\System32\ismserv.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\Explorer.EXE
E:\WINNT\system32\khooker.exe
E:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
E:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
E:\Program Files\Skype\Phone\Skype.exe
E:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
E:\Program Files\Avaya_Wireless\Client Manager\CmAVA.exe
E:\Program Files\Trillian\trillian.exe
E:\WINNT\system32\rundll32.exe
E:\WINNT\system32\ssflwbox.scr
E:\WINNT\system32\rundll32.exe
E:\WINNT\system32\taskmgr.exe
C:\Downloads\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Startside.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=E:\WINNT\system32\userinit.exe,
O2 - BHO: Watch for Browser Events - {516E2306-7ADF-47EC-AEA8-ACB6B51899F1} - E:\PROGRA~1\MACROE~1\iCapture.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\WINNT\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [SiS KHooker] E:\WINNT\system32\khooker.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Trillian.lnk = E:\Program Files\Trillian\trillian.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Avaya Wireless Client Manager.lnk = E:\Program Files\Avaya_Wireless\Client Manager\CmAVA.exe
O4 - Global Startup: Macro Express 3.lnk.disabled
O8 - Extra context menu item: &Define - file://E:\Documents and Settings\Administrator.OSKAR\WINDOWS\WEBster.htm
O8 - Extra context menu item: &Google Search - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - E:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Backward &Links - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://E:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Encyclopedia &Lookup - file://E:\Documents and Settings\Administrator.OSKAR\WINDOWS\WEBEncyc.htm
O8 - Extra context menu item: Gem &formularer &[ - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Si&milar Pages - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O8 - Extra context menu item: Tilpas RF menu - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Udfyld formularer &] - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Yahoo! Dictionary - file:///E:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///E:\Program Files\Yahoo!\Common/ycsrch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra button: Udfyld - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Udfyld formularer &] - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Gem - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Gem &formularer &[ - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Program Files\ICQ\ICQ.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF værktøjslinie &2 - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - E:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O10 - Broken Internet access because of LSP provider 'e:\documents and settings\administrator.oskar\windows\system32\rnr20.dll' missing
O12 - Plugin for .bcf: E:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O12 - Plugin for .pdf: E:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nag.kauv.dk
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nag.kauv.dk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = nag.kauv.dk
Avatar billede serverservice Praktikant
18. september 2004 - 14:07 #8
Ågn Lspfix - klik "In know what i´m doing" klik finish-
Hvad siger dev til ay vælge ny standard internet side i IE?

Ny log
Avatar billede oskar Nybegynder
18. september 2004 - 16:49 #9
lspfix viser følgende i Keep:
rnr20.dll  Tcpcip
winrnr.dll  NTDS
msafd.dll  (Protocol handler)
rsvpsp.dll  (Protocol handler)

Intet i remove

Repair complete siger 0 namespace ... 4 gange.

Hvad skulle fordelen være ved at vælge en anden startside? Jeg har gjort det for denne log, men har tænkt mig at vende tilbage til min egen.

Logfile of HijackThis v1.98.2
Scan saved at 16:48:07, on 09/18/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\Documents and Settings\Administrator.OSKAR\WINDOWS\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\System32\termsrv.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\WINNT\System32\svchost.exe
E:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
E:\WINNT\System32\locator.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\System32\dns.exe
E:\WINNT\System32\inetsrv\inetinfo.exe
E:\WINNT\System32\ismserv.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\Explorer.EXE
E:\WINNT\system32\khooker.exe
E:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
E:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
E:\Program Files\Skype\Phone\Skype.exe
E:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
E:\Program Files\Avaya_Wireless\Client Manager\CmAVA.exe
E:\Program Files\Trillian\trillian.exe
E:\Program Files\Avant Browser\iexplore.exe
E:\WINNT\system32\taskmgr.exe
C:\Downloads\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alltheweb.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=E:\WINNT\system32\userinit.exe,
O2 - BHO: Watch for Browser Events - {516E2306-7ADF-47EC-AEA8-ACB6B51899F1} - E:\PROGRA~1\MACROE~1\iCapture.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\WINNT\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [SiS KHooker] E:\WINNT\system32\khooker.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Trillian.lnk = E:\Program Files\Trillian\trillian.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Avaya Wireless Client Manager.lnk = E:\Program Files\Avaya_Wireless\Client Manager\CmAVA.exe
O4 - Global Startup: Macro Express 3.lnk.disabled
O8 - Extra context menu item: &Define - file://E:\Documents and Settings\Administrator.OSKAR\WINDOWS\WEBster.htm
O8 - Extra context menu item: &Google Search - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - E:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Add to AD Black List - E:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Backward &Links - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Block All Images from the Same Server - E:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://E:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Encyclopedia &Lookup - file://E:\Documents and Settings\Administrator.OSKAR\WINDOWS\WEBEncyc.htm
O8 - Extra context menu item: Gem &formularer &[ - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Highlight - E:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: Open All Links in This Page... - E:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Search - E:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Si&milar Pages - res://E:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O8 - Extra context menu item: Tilpas RF menu - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Udfyld formularer &] - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Yahoo! Dictionary - file:///E:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///E:\Program Files\Yahoo!\Common/ycsrch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra button: Udfyld - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Udfyld formularer &] - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Gem - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Gem &formularer &[ - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Program Files\ICQ\ICQ.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF værktøjslinie &2 - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - E:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O10 - Broken Internet access because of LSP provider 'e:\documents and settings\administrator.oskar\windows\system32\rnr20.dll' missing
O12 - Plugin for .bcf: E:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O12 - Plugin for .pdf: E:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nag.kauv.dk
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nag.kauv.dk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = nag.kauv.dk
Avatar billede serverservice Praktikant
18. september 2004 - 17:52 #10
Hej oskar .

Vi skal pøve at se på de processer som kører under Services.exe: her er de -
:  Alerter,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanm
anserver,lanmanworkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,

Prøv f.x at stoppe messengerservicen med dette program- http://grc.com/stm/shootthemessenger.htm
Dernæst se i din eventlog efter mulige netværkskonflikter og send source og id herind. hvis den er fyldt op med events så tøm den bagefter.

har du ellers nogle problemer med netværk, eller dhcp på serveren?
Avatar billede serverservice Praktikant
18. september 2004 - 17:52 #11
er serveren bag en firewall?
Avatar billede serverservice Praktikant
18. september 2004 - 17:55 #12
prøv også at disable plug & play servicen.
Avatar billede oskar Nybegynder
19. september 2004 - 14:31 #13
Så er synderen endelig fundet.

Det tog lidt tid at gå gennem de enkelte services. Efter at have slået en service fra skulle jeg lige vente til services.exe gik amok igen for at kunne konstatere at det heller ikke var den service der var problemet. Nu har serveren kørt i ½ time uden problemer så jeg vover pelsen og konstaterer at det var DHCP client der var synderen.

Normalt kører dhcp client jo ikke på en server, men denne server er lidt speciel. Det er en test- og udviklingsserver installeret på en bærbar. Da jeg i forbindelse med arbejdet bruger den på flere forskellige netværk må jeg vel til at køre med flere forskellige fate ip-adresser..

1000 tak for hjælpen til jer begge!

:) Oskar

PS Læg lige et svar, please.
Avatar billede serverservice Praktikant
19. september 2004 - 19:19 #14
ok det var godt at den endelig blev fundet- var ellers vd at løbe tør for tips.
Avatar billede andersenph Nybegynder
19. september 2004 - 19:27 #15
Jeg springer over :O)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 10:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
06/0419:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
06/0417:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
06/0413:13 Batch OCR Af KurtG i Billedbehandling
06/0410:42 AI integreret i Access Af per2edb i Access
White papers
Flere white papers »