CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede philip_og_frank Nybegynder
18. november 2004 - 15:27 Der er 19 kommentarer

HiJackThis log: spyware i min internet Explorer.

Jeg har en dum spyware ting i mit internet explorer. Hver gang jeg starter op kommer der en underlig "toolbar" i bunden af skærmen.
http://www.izenit.dk/bar.JPG
Jeg blev anbefalet at lave en HiJackThis log som jeg så sendte til jer. Og ja jeg har kørt Spyware Search & Destroy først.

LOG:

Logfile of HijackThis v1.98.2
Scan saved at 15:24:22, on 18-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apache\Apache.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\VetMsgNT.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Apache\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\WZCBDL Service\WZCBDLS.exe
C:\Programmer\Fælles filer\Real\Update_OB\evntsvc.exe
C:\PROGRA~1\ETRUST~1\ETRUST~1\VetTray.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\zqncws.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\D-Link\Air Utility\AirCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\eTrust EZ Armor\eTrust EZ Firewall\ca.exe
C:\Programmer\IC Media Corp\ICM532\Launchpad.exe
C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
C:\Programmer\Palm\HOTSYNC.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Philip Munksgaard\Skrivebord\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gceyoanpxckhzeoifgdlcda.com/ee1lEU2m9oM70xynuLo5d/MQmK1pwIRfjeFtd2/c013ESp_7_Y92myIKaJH3Gwq4.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {0A6F5B14-C0C5-B84B-9792-944848171EBB} - C:\DOCUME~1\SOPHIN~1\APPLIC~1\FORDJO~1\ThatSign.exe (file missing)
O2 - BHO: (no name) - {51ACAEB2-5D1B-BC13-C1AB-8FAE8CC28677} - C:\DOCUME~1\PHILIP~1\APPLIC~1\FORDJO~1\ThatSign.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmer\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] C:\Programmer\Fælles filer\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [FastCache] C:\Programmer\AnalogX\FastCache\fc.exe
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Internet Locks Option Balm] C:\Documents and Settings\All Users\Application Data\Interboldinternetlocks\DEBUG DUMB.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AimBoobInterGpl] C:\Documents and Settings\All Users\Application Data\EggsSpamAimBoob\Blue dash.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ewukzucpg] C:\WINDOWS\system32\zqncws.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programmer\D-Link\Air Utility\AirCFG.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe
O4 - HKCU\..\Run: [Samurize] "C:\Programmer\Samurize\Client.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Trust Axis] C:\DOCUME~1\PHILIP~1\APPLIC~1\BALMFL~1\PLAN JUGS.exe
O4 - Startup: HotSync Manager.lnk = C:\Programmer\Palm\HOTSYNC.EXE
O4 - Global Startup: EZ Firewall.lnk = C:\Programmer\eTrust EZ Armor\eTrust EZ Firewall\ca.exe
O4 - Global Startup: Launchpad.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.blizzard.com/support/includes/cabs/si.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw14fd.law14.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmer\Fælles filer\Microsoft Shared\Help\hxds.dll

Plz tjek den igennem for dumme ting!
Avatar billede victor-1 Nybegynder
18. november 2004 - 15:32 #1
Følg vejledningen her:
Gå ind her og hent Spybot, Ad-Aware og HijackThis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot og Ad-Aware, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker du HijackThis og smider filen i en mappe, oprettet KUN til den. Kør filen, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis - det kan skade mere end det gavner.

Manual for installering af HijackThis:
http://www.spywarefri.dk/hijackthis.man.htm
Avatar billede victor-1 Nybegynder
18. november 2004 - 15:32 #2
Sorry - kigger på den med den samme ;-)
Avatar billede deadmez Nybegynder
18. november 2004 - 15:32 #3
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gceyoanpxckhzeoifgdlcda.com/ee1lEU2m9oM70xynuLo5d/MQmK1pwIRfjeFtd2/c013ESp_7_Y92myIKaJH3Gwq4.php


Den her ser underlig ud..
Avatar billede victor-1 Nybegynder
18. november 2004 - 15:34 #4
Snupper du også resten deadmez? - ellers bør du ikke kommentere her, da det blot skaber forvirring!
Avatar billede philip_og_frank Nybegynder
18. november 2004 - 15:44 #5
Nope... Den var sikkert ikke særlig god, men den fjernede ikke toolbar'en...
Avatar billede philip_og_frank Nybegynder
18. november 2004 - 15:59 #6
Nu har jeg rodet lidt frem og tilbage, genstartet osv.
Det viser sig, at selv om jeg sletter den underlige registry key, så bliver den ved med at komme tilbage hver gang jeg åbner for Internettet. Det er ikke sikkert den kommer tilbage med samme ip, men hvis man åbner ip'en kommer man til præcis samme sted.
Avatar billede victor-1 Nybegynder
18. november 2004 - 16:04 #7
Download denne engangsscanner - den skal du bruge senere - tryk på gem.
http://www.spywareinfo.dk/download/mwav.exe
------------------------------------------------------------------------------------------------------------------------------------------

Du skal nu i gang med at fixe, men først skal du lige gøre følgende:

Opret en mappe KUN til HijackThis - programmet skal køres derinde fra fordi der under fix, dannes nogle backupfiler.

Åbn en mappe, klik i menuen på Funktioner > Mappeindstillinger > Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Hiv dit netværkskabel ud af netkortet, så der fysisk ingen forbindelse er.

Derefter genstarter du i fejlsikker tilstand (fejlsikret tilstand kommer du i, ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows) og kører programmet HijackThis:
Du får herunder nogle filer som du skal fixe og det du skal gøre er, at sætte vinge ud for alle disse filer. Når du har gjort det så lukker du alle andre vinduer ned. Det er meget vigtigt, at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue (din Internet browser) når du har markeret filerne. Nu må du fixe. Klik på <Fix cheked>.
------------------------------------------------------------------------------------------------------------------------------------------

Her er de filer, du skal fixe :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gceyoanpxckhzeoifgdlcda.com/ee1lEU2m9oM70xynuLo5d/MQmK1pwIRfjeFtd2/c013ESp_7_Y92myIKaJH3Gwq4.php

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {0A6F5B14-C0C5-B84B-9792-944848171EBB} - C:\DOCUME~1\SOPHIN~1\APPLIC~1\FORDJO~1\ThatSign.exe (file missing)
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)

O4 - HKLM\..\Run: [TkBellExe] C:\Programmer\Fælles filer\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ewukzucpg] C:\WINDOWS\system32\zqncws.exe
O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe

O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.blizzard.com/support/includes/cabs/si.cab


Linierne herunder kan jeg ikke finde oplysninger på - kender du dem ikke som noget du har fuldt tillid til, skal du også ta' dem med i fixet.

O2 - BHO: (no name) - {51ACAEB2-5D1B-BC13-C1AB-8FAE8CC28677} - C:\DOCUME~1\PHILIP~1\APPLIC~1\FORDJO~1\ThatSign.exe

O4 - HKLM\..\Run: [Internet Locks Option Balm] C:\Documents and Settings\All Users\Application Data\Interboldinternetlocks\DEBUG DUMB.exe
O4 - HKLM\..\Run: [AimBoobInterGpl] C:\Documents and Settings\All Users\Application Data\EggsSpamAimBoob\Blue dash.exe
O4 - HKLM\..\Run: [FastCache] C:\Programmer\AnalogX\FastCache\fc.exe
------------------------------------------------------------------------------------------------------------------------------------------

Derefter genstarter du (stadig i fejlsikker tilstand) - finder og sletter følgende mappe.

C:\WINDOWS\system32\zqncws.exe >>>> FILEN
C:\WINDOWS\System32\realupd.exe >>>> FILEN
------------------------------------------------------------------------------------------------------------------------------------------

Kør nu engangsscanneren du downloadede i starten. Aktiver ALT i opsætningen og lad den arbejde helt færdig. Det kan godt ta' lang tid.

Derefter genstarter du normalt og sender en ny, frisk log herind så vi kan konstatere, om vi har fået den helt ren.
Avatar billede deadmez Nybegynder
18. november 2004 - 17:59 #8
victor-1... du kan virkelig godt lide at score hurtige point...

http://www.eksperten.dk/spm/562676

læg mærke til at det er den samme tekst der bliver fyret af hver gang...

kan nogen sige skabelon ? :P
Avatar billede victor-1 Nybegynder
18. november 2004 - 18:17 #9
deadmez > du læner dig kraftigt op af en anmeldelse, hvis du ikke øjeblikkeligt holder op med, at lægge ligegyldige kommentarer og svar, i de tråde hvor jeg forsøger at hjælpe.

I øvrigt lægger jeg ikke et svar, for problemet er løst og din påstand er dermed hullet som en si.
Avatar billede philip_og_frank Nybegynder
18. november 2004 - 18:45 #10
Er det nok bare at slukke for mit trådløse internet? der er ligesom ikke noget stik jeg kan tage ud...?
Avatar billede victor-1 Nybegynder
18. november 2004 - 18:48 #11
Ja - det er ok *S*
Avatar billede philip_og_frank Nybegynder
19. november 2004 - 06:46 #12
Så har jeg gjort hvad du sagde... det tog godt nok det meste af natten. Men nu er toolbar'en der ikke mere.

Her er min log:

Logfile of HijackThis v1.98.2
Scan saved at 06:44:28, on 19-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apache\Apache.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Apache\Apache.exe
C:\WINDOWS\System32\VetMsgNT.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ETRUST~1\ETRUST~1\VetTray.exe
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\D-Link\Air Utility\AirCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\eTrust EZ Armor\eTrust EZ Firewall\ca.exe
C:\Programmer\IC Media Corp\ICM532\Launchpad.exe
C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
C:\Programmer\Palm\HOTSYNC.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijack\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.rgwauzwwmyieowih.uk/ee1lEU2m9oM70xynuLo5d/MQmK1pwIRfjeFtd2/c012q6h8kdcYGuCIKaJH3Gwq4.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmer\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programmer\D-Link\Air Utility\AirCFG.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe
O4 - HKCU\..\Run: [Samurize] "C:\Programmer\Samurize\Client.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Trust Axis] C:\DOCUME~1\PHILIP~1\APPLIC~1\BALMFL~1\PLAN JUGS.exe
O4 - Startup: HotSync Manager.lnk = C:\Programmer\Palm\HOTSYNC.EXE
O4 - Global Startup: EZ Firewall.lnk = C:\Programmer\eTrust EZ Armor\eTrust EZ Firewall\ca.exe
O4 - Global Startup: Launchpad.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw14fd.law14.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmer\Fælles filer\Microsoft Shared\Help\hxds.dll
Avatar billede victor-1 Nybegynder
19. november 2004 - 11:18 #13
Bemærkede du om scannneren fandt/slettede noget ?

Der er stadig lige lidt som skal væk *S*

Fix disse med HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.rgwauzwwmyieowih.uk/ee1lEU2m9oM70xynuLo5d/MQmK1pwIRfjeFtd2/c012q6h8kdcYGuCIKaJH3Gwq4.htm
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe

Genstart i fejlsikker - find og slet:
C:\WINDOWS\System32\realupd.exe >>>> FILEN

Genstart normalt - Scan med HijackThis - Ny log herind tak *S*
Avatar billede tonnybrandt Nybegynder
19. november 2004 - 11:27 #14
Fix også lige denne i HiJackThis:
O4 - HKCU\..\Run: [Trust Axis] C:\DOCUME~1\PHILIP~1\APPLIC~1\BALMFL~1\PLAN JUGS.exe

Og slet filen i fejlsikker tilstand:
C:\DOCUME~1\PHILIP~1\APPLIC~1\BALMFL~1\PLAN JUGS.exe
Avatar billede victor-1 Nybegynder
19. november 2004 - 12:37 #15
Tak tonnybrandt > den var gået mit øje forbi *S*
Avatar billede philip_og_frank Nybegynder
19. november 2004 - 13:59 #16
Her er så den nye log...

:

Logfile of HijackThis v1.98.2
Scan saved at 13:58:13, on 19-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\D-Link\Air Utility\AirCFG.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\IC Media Corp\ICM532\Launchpad.exe
C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
C:\Apache\Apache.exe
C:\Programmer\Palm\HOTSYNC.EXE
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Apache\Apache.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\WZCBDL Service\WZCBDLS.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijack\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmer\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programmer\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Samurize] "C:\Programmer\Samurize\Client.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programmer\Palm\HOTSYNC.EXE
O4 - Global Startup: Launchpad.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw14fd.law14.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmer\Fælles filer\Microsoft Shared\Help\hxds.dll
Avatar billede victor-1 Nybegynder
19. november 2004 - 14:41 #17
Det hjalp - loggen er ren *S*

Disse kan du med fordel deaktivere via Start > Kør > msconfig > Enter > Fanebladet Start.

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE

Efter genstart vil du blive mødt af en rude, hvori du blot sætter flueben og trykker Ok.

Efter sådan en tur skal der ryddes grundigt op - følg derfor nedenstående:

Sæt dine mappeindstillinger tilbage til standard:
Åbn en mappe, klik i menuen øverst oppe på Funktioner > Mappeindstillinger > Vis
Sæt flueben ved "Skjul beskyttede operativsystemfiler"
Sæt flueben ved "Skjul filtypenavne for kendte filtyper"
Fjern prik i "Vis skjulte filer og mapper"

Browser cachen skal også renses - gør følgende:
1. Klik i menuen øverst oppe på Funktioner > Internetindstillinger
2. Under midlertidige filer, klik på "Slet cookies"
3. Under midlertidige filer, klik på "Slet filer" – sæt flueben i "Slet alt offline indhold"
4. Under Oversigten, klik på "Ryd oversigten"
5. Klik på "Ok"

Slut af med, at tømme papirkurven.

Til sidst skal du deaktivere systemgendannelsen - (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer og aktiver systemgendannelsen igen.

Lidt råd med på vejen herfra skal du da også have:
For at sikre din pc fremover ville det være en god idé at bruge nogle af programmerne fra pakken som du kan se her - http://www.spywarefri.dk/pakken.htm

Jeg anbefaler:
Spybot/og eller Ad-Aware, SpywareBlaster, IE Privacy Keeper/eller EmtyTempFolders, IE-Spyad og SpywareGuard som minimum. De er alle gratis, fylder ikke meget, sløver ikke din pc og konflikter ikke med dine andre programmer.

Ønsker du ikke mange små programmer kan du i stedet købe et program som Spy Sweeper. Det ligger også i pakken, hvor du kan læse lidt mere om det. Der ligger også et link til en dansk manual. Jeg kan varmt anbefale programmet.
Avatar billede tonnybrandt Nybegynder
24. november 2004 - 21:18 #18
Kan spørgsmålet lukkes ..
Avatar billede victor-1 Nybegynder
10. december 2004 - 02:25 #19
Vi får måske en lukning her i Julegave *S*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Google ser ud til at være malware, lyder advarsel på alle vore mobiler! Af vbr i Virus 9 30/10/202312:12 15/12/202310:17
Jeg får en fejl på Enhedssikkerhed Af pouls i Virus 8 04/06/202321:28 05/06/202316:28
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:30 Finde gentagne Instruktioner i ASSEMBER-lister Af snestrup2000 i Andet software
I går 16:17 Dato opslag Af Klaus W i Excel
I går 15:37 Disable button efter 1. klik Af nemlig i JavaScript
I går 12:42 pc hakker og lagger Af Gabi i Windows
I går 09:22 Slet automatisk indehol i felt så det blivet tomt Af gylling i Excel
White papers
Flere white papers »


Premium
Teaser billede
Socialdemokratiet vil give massiv offentlig støtte til europæiske AI-virksomheder
Læs mere »
Interne mails afslører: Derfor besluttede Microsoft at investere milliarder i OpenAI i 2019
Jakob Høholdt fratræder som CEO for Sentia: Indsætter ny topchef fra Aeven
Åbner for en af Danmarks største it-konsulentaftaler til 2,3 milliarder kroner
Se alle »
Computerworld
Teaser billede
Apotekskæde lukker alle butikker efter "cybersikkerhedshændelse"
Læs mere »
Hypet browser bliver nu lanceret til Windows: Skal blive til et styresystem for internettet
Test: Disse små højttalere til 44.000 kroner per sæt vil blæse dig bagover - både visuelt og lydmæssigt
Test: Vi vil altså virkeligt gerne beholde HP's nye pc - men den koster 360.000 kroner
Se alle »
CIO
Teaser billede
Top-CIO Anne Nørklit færdig hos Tryg: “Jeg vil bruge sommeren på at overveje, hvad fremtiden skal bringe”
Læs mere »
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Her er Trygs nye CIO - afløser Anne Nørklit Lønborg
Tre måneder efter exit fra Scandiavian Tobacco: Top-CIO Kenneth Messerschmidt har landet nyt job
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Se alle »
White paper
Teaser billede
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Sådan høster du forretningsfordelene ved Internet of Things
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Se alle »

IT-JOB
Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »