Søg
Avatar billede snutling Nybegynder
26. oktober 2004 - 15:55 Der er 26 kommentarer og
1 løsning

Startsiden ændret...her er en log fra hijack

Hmm nu er start-siden blevet ændret igen.
Har kørt spybot og her er en log
Kan nogle fortælle mig hvad jeg skal fjerne??

Logfile of HijackThis v1.98.2
Scan saved at 15:50:50, on 26-10-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\Programmer\Fælles filer\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
c:\KeXpbEqr.exe
C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
C:\WINDOWS\toolbar.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\____1.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\pernille\Skrivebord\Hijackt\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [WinUpdate] WinUpdate.exe
O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe
O4 - HKLM\..\Run: [135916DE] C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /M "Stylus C44"
O4 - HKCU\..\Run: [LDM] C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [msSPms] C:\WINDOWS\system32\msSPms.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [135916DE] C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe


På forhånd tak

/snutling
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 16:02 #1
Undskyld - men hvorfor har du ikke opdateret Windows til eneten SP1 eller SP2
Uden minimum SP2 vil du ret hurtigt få problemer igen. Også selv om vi renser din pc nu.
Men jeg kigger lige på loggen og vender tilbage med svar.
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 16:04 #2
En skam man ikke ken redigere sine indlæg her *S*
Der skulle ha' stået "Uden minimum SP1 vil du ret hurtigt....."
Avatar billede snutling Nybegynder
26. oktober 2004 - 16:07 #3
ok.
hvor kan jeg finde sådan en opdatering henne??
Avatar billede freehelp Praktikant
26. oktober 2004 - 16:10 #4
Prøv windows update :D
Avatar billede freehelp Praktikant
26. oktober 2004 - 16:10 #5
http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx?ln=da
Avatar billede snutling Nybegynder
26. oktober 2004 - 16:11 #6
Skal jeg vente med at opdatere til efter pc'en er blevet renset eller kan jeg gøre det nu?
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 16:12 #7
Ja - vent med at opdatere til efter rensning.
Avatar billede freehelp Praktikant
26. oktober 2004 - 16:14 #8
Hvad angår SP2 ville jeg kun  instattere på en ren installering
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 16:19 #9
Download denne engangsscanner - den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe

Hent CWShredder - Opret en mappe KUN til den og kør den derfra - slet ALT hvad programmet finder. HUSK at lukke alle andre ruder inden du kører programmet.
http://www.softpedia.com/public/cat/10/17/10-17-150.shtml
---------------------------------------------------------------------------------------------------------------------------------------

Du skal nu i gang med at fixe, men først skal du lige arbejde lidt - gør følgende:

Opret en mappe KUN til HijackThis - programmet skal køres derinde fra fordi det under fix, danner nogle backupfiler.

Åbn en mappe, klik i menuen på Funktioner => Mappeindstillinger => Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Deaktiver systemgendannelse. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle - derefter skal du åbne hijackthis.

Du får herunder nogle filer som du skal fixe og det du skal gøre er, at sætte vinge ud for alle disse filer. Når du har gjort det så lukker du alle andre vinduer ned. Det er meget vigtigt, at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue (din Internet browser) når du har markeret filerne. Nu må du fixe. Klik på <Fix cheked>.
---------------------------------------------------------------------------------------------------------------------------------------

Her er de filer, du skal fixe :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [WinUpdate] WinUpdate.exe
O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe
O4 - HKLM\..\Run: [135916DE] C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe

O4 - HKCU\..\Run: [LDM] C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [msSPms] C:\WINDOWS\system32\msSPms.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [135916DE] C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

---------------------------------------------------------------------------------------------------------------------------------------

Derefter genstarter du i fejlsikker tilstand (fejlsikret tilstand kommer du i, ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows) - finder og sletter følgende filer.

C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe << denne
c:\KeXpbEqr.exe << denne
C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe << denne
C:\WINDOWS\toolbar.exe << denne
C:\WINDOWS\System32\systime.exe << denne
C:\WINDOWS\System32\____1.exe << denne

Derefter Genstarter du i fejlsikret tilstand og kører engangsscanneren du downloadede i starten. Aktiver ALT i opsætningen og lad den arbejde helt færdig. Det kan godt ta' lang tid.

Derefter genstarter du normalt og sender en frisk log herind så vi kan konstatere, om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktivere din systemgendannelse igen.
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 16:29 #10
Disse skulle ha' været med under de filer du skal fixe i fejlsikker tilstand:

C:\WINDOWS\System32\msrexe.exe << denne
C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe << denne

Klik på Start > Søg > Søg efter filer og mapper og indsæt nedestående en af gangen.
Find dem og slet alle forekomster af dem.

WinUpdate.exe
msrexe.exe
50lykzz61nni.exe

Tøm mappen TEMP - du finder den her:
C:\DOCUME~1\pernille\LOKALE~1\Temp

Undskyld jeg glemte dem i første omgang :-(
Avatar billede snutling Nybegynder
26. oktober 2004 - 16:32 #11
er det en god ide at slette denne: C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
Tror den hører sammen med mit tastatur
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 16:35 #12
Nej :-(
Den skal du IKKE slette fysisk, men KUN fixe linien med HijackThis.
Undskyld igen. - Det er da godt du er vågen, når jeg ikke selv er det.
Avatar billede snutling Nybegynder
26. oktober 2004 - 17:01 #13
jeg kan ikke finde de filer jeg skal slette inde i fejlsikkeret tilstand og kan ikke få lov til at slette dem i alm. tilstand.

Kan heller ikke finde den skanner jeg downloaded i fejlsikkeret tilstand.
Avatar billede snutling Nybegynder
26. oktober 2004 - 17:11 #14
Her er disse filer jeg ikke må slette:
c:\KeXpbEqr.exe
C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
C:\WINDOWS\toolbar.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\____1.exe

Jeg kan ikke finde denne:
C:\WINDOWS\System32\msrexe.exe
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 17:22 #15
Genstart i fejlsikker og brug søgefunktionen i windows - find og slet alle forekomster af følgende:

KeXpbEqr.exe
toolbar.exe
systime.exe
____1.exe
msrexe.exe

Tøm mappen her - C:\DOCUME~1\pernille\LOKALE~1\Temp << Tøm mappen

Din scanner finder du i roden af dit C-drev. Det vil sige direkte på C-drevet i sin egen mappe.
Find mappen > Åbn den > find filen "mwavscan" og dobb.klik på den. Aktiver ALT i opsætningen og lad den arbejde helt færdig. Det kan godt ta' lang tid.
Avatar billede snutling Nybegynder
26. oktober 2004 - 18:14 #16
ok.
Har været inde og søge i fejlsikret tilstand.
Disse to kunne den ikke finde:
KeXpbEqr.exe
msrexe.exe

Skannede efterfølgende med engangsscanneren.

Startsiden bliver stadig ændret tilbage hele tiden.
Og der er virus på de side så det er et helvede hvergang jeg starter internettet op igen.

Tror ikke den er ren:
Her er en log:

Logfile of HijackThis v1.98.2
Scan saved at 18:14:36, on 26-10-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\Programmer\Fælles filer\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\pernille\Skrivebord\Hijackt\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=hc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=hc
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=hc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=hc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - {C8B55411-36B6-5635-561A-97C1246C10ED} - C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [135916DE] C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /M "Stylus C44"
O4 - HKCU\..\Run: [syor] C:\WINDOWS\system32\syor.exe
O4 - HKCU\..\Run: [8CA7264B] C:\DOCUME~1\pernille\LOKALE~1\Temp\ul1k.exe
O4 - HKCU\..\Run: [135916DE] C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 18:33 #17
Den er ikke ren - vi prøver lige samme tur igen, men denne gang fra fejlsikker og husk at dobb. tjekke så alt kommer med.

Fjern stikket til din Internetadgang og fix nedenstående med HijackThis, men prøv denne gang fra fejlsikker tilstand:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=hc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=hc
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=hc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=hc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

R3 - URLSearchHook: (no name) - {C8B55411-36B6-5635-561A-97C1246C10ED} - C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [135916DE] C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
O4 - HKCU\..\Run: [syor] C:\WINDOWS\system32\syor.exe
O4 - HKCU\..\Run: [8CA7264B] C:\DOCUME~1\pernille\LOKALE~1\Temp\ul1k.exe
O4 - HKCU\..\Run: [135916DE] C:\DOCUME~1\pernille\LOKALE~1\Temp\50lykzz61nni.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe

Find mappen TEMP og slet ALT der er i den:
C:\DOCUME~1\pernille\LOKALE~1\Temp << TØMMES

Klik på Start > Søg > Søg efter filer og mapper og indsæt nedestående en af gangen.
Find dem og slet alle forekomster af dem.

50lykzz61nni.exe
syor.exe
ul1k.exe
systime.exe

Genstart almindeligt > Ny log tak.
Avatar billede fromsej Praktikant
26. oktober 2004 - 18:57 #18
Du skal finde og slette:
C:\windows\downloaded program files\RDGDK10.exe fra fejlsikret.
Måske skal du søge på RDGDK10 for at være sikker.

(Tillykke Fromsej, du er nu den stolte indehaver af en CWS infektion, så sig ikke at vi ikke undersøger tingene til bunds)
Avatar billede snutling Nybegynder
26. oktober 2004 - 19:16 #19
Her er så ny log.
Nu virker det som om at den er helt ren.

Jeg har ikke fjernet denne linje det er med vilje da jeg bruger dette program..
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe


Ellers så er loggen her:


Logfile of HijackThis v1.98.2
Scan saved at 19:11:46, on 26-10-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\Programmer\Fælles filer\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\pernille\Skrivebord\Hijackt\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.komogvind.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /M "Stylus C44"
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 19:22 #20
Loggen er ren nu, men det er den ikke ret længe hvis du ikke hurtigst muligt får udført nedenstående.

Opdater din XP med Servicepack 1:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Hent alle tilgængelige hotfixes hos microsoft.
Hent og kør Dcombobulator:
http://www.spywarefri.dk/tipsogtricks.htm#DCom

Derudover vil jeg MEGET anbefale generelt brug af firewall, antivirus, samt nedenstående:

Antispyware - http://www.spywarefri.dk/vaerktoj.htm#spybot
http://www.spywarefri.dk/vaerktoj.htm#spywareguard
http://www.spywarefri.dk/vaerktoj.htm#spywareblaster
http://www.spywarefri.dk/vaerktoj.htm#iespyad

Med de programmer er du så godt som usårlig, hvis de holdes opdaterede og bruges rigtigt *S*

Et par virkelig gode artikler om emnet:
http://www.eksperten.dk/artikler/254
http://www.eksperten.dk/artikler/144

Held og lykke fremover *S*
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 19:25 #21
Kan i øvrigt oplyse dig om, at fix af nedenstående linie i HijackThis ikke sletter programmet, men blot gør at det ikke starter op sammen med Windows og på den måde bruger unødvendige systemkræfter.

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
Avatar billede snutling Nybegynder
26. oktober 2004 - 19:43 #22
nåå ok men jeg bruger det ALTID
så det må gerne starte op.
Takker for hjælpen

/snutling
Avatar billede snutling Nybegynder
26. oktober 2004 - 19:47 #23
PS.
kan fortælle dig at min firewall i qx er aktiveret, jeg bruger spywareblaster og antivirus programet avast..
Jeg kører spybot næsten hver gang inden jeg lukker pc'en ned ( det kan være en enkelt gang jeg har travlt og ikke får det gjort)

Men det har ikke hjulpet ret meget så jeg opdatere windows nu
Avatar billede fromsej Praktikant
26. oktober 2004 - 20:33 #24
Fandt du den RDGDK10.exe fil?
Avatar billede victor-1 Nybegynder
26. oktober 2004 - 22:29 #25
Hej igen snutling *S*

Jeg har været væk hjemmefra og kommer derfor først tilbage nu. Jeg takker mange gange for pointene.

Derudover bør du installere både SpywareGuard og IE-Spayd som begge er en stor del af sikkerheden, med hensyn til sikker surf, men vigtigst af alt - se at få opdateret Windows ;-)

Lige som fromsej er jeg også særdeles interesseret i at vide, om du fandt og slettede RDGDK10.exe-filen ?
Avatar billede snutling Nybegynder
27. oktober 2004 - 15:07 #26
Selv hej..

Tror jeg fandt den.
Fandt en der hed RDGDK10 i midligertidige internet-filer.
Prøvede at åbne den mappe den lå i, men så brokkede virus-programmet sig.
Slettet den uden problemer.


Jeg takker for hjælpen

/Snutling
Avatar billede victor-1 Nybegynder
27. oktober 2004 - 16:17 #27
Perfekt - tak for din tilbagemelding *S*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 17:11 Har glemt navn på min ene konto på eksperten! Af ErikHg i Fri debat
I dag 15:00 RIP af DVD med MakeMKV Af dcedata1977 i Servere
I dag 10:08 slet windows Af jajoh i Windows
07/0514:15 PHP Html Af Asky i Programmeringsværktøjer
07/0511:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
White papers
Flere white papers »