Søg
Avatar billede dudesicko Novice
24. november 2004 - 16:24 Der er 12 kommentarer og
1 løsning

Server, og HijackThis, mister internet hastighed!

Hej, jeg har 3 computer på min 2048/512 forbindelse som jeg har hos Tele2.

De sidste 2 dage har jeg totalt mistet farten på min forbindelse, jeg kan normalt DL med over 200k i sec, nu ryger den ned på 5-120k, den svinger heletiden.

Jeg har prøvet at kigge efter spyware, og andre skumle ting, men kan ikke lige finde noget, så er det jo godt man har jer her.

Er det en måde jeg ellers kan se om jeg skulle have nogle gæster jeg ikke ønsker?

Såsnart jeg tager serveren ned, så fejler nettet ikke noget, så jeg er sikker på det er serveren der laver ged i det, HJÆÆÆÆLP :)


Jeg har selv fjernet en masse som jeg ikke vidste hvad var, men dette er hvad der er tilbage nu:

Logfile of HijackThis v1.98.2
Scan saved at 16:11:02, on 24-11-2004
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
c:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\Program Files\ViRobot NT\vrmonsvc.exe
C:\Program Files\ViRobot NT\vrupsvr.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\Explorer.EXE
C:\mysql\bin\winmysqladmin.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\data\Beskyttelse\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxxxxxxxx.dk/
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab


Jeg har også prøvet med Panda online scanner, samt mwav og installerede ligeledes en trail version af ViRobot fra HAURI, ingen af dem finder noget, men noget må der da være galt!

Og nej vi har ikke lavet om på noget på serveren, og har heller ikke fået mere trafik på siden vi har.
Avatar billede victor-1 Nybegynder
24. november 2004 - 17:32 #1
Er bange for du ikke selv skulle ha' begyndt at fixe selv - der mangler tilsyneladende en masse i den log.

Har du overblik over hvor meget du har fjernet - hvilke linier ?

Der står Unknown Windows ? - hvilket styresystem er der tale om ?
Avatar billede kenp Novice
24. november 2004 - 18:38 #2
victor-1 -> når der står Unknown Windows, så er det en windows 2003 server.
Avatar billede victor-1 Nybegynder
24. november 2004 - 20:07 #3
*LOL*
Takker kenp - det vidste jeg da egentlig godt nu du siger det. Havde glemt det i farten. Jeg har i løbet af de sidste par år fået rigtig go'e benmuskler - det er fordi, at hva' jeg ikke ka' ha' i hovedet, må jeg nødvendigvis ha' i benene ;-)

Nå men til det alvorlige. Jeg ville rigtig gerne lige høre fra opretter om de (tilsyneladende) manglende linier.
Avatar billede dudesicko Novice
24. november 2004 - 23:22 #4
Ok her er så en efter jeg har restored med hijack, jeg har restored alt jeg har haft fjernet med hijack.

Logfile of HijackThis v1.98.2
Scan saved at 23:20:21, on 24-11-2004
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\Program Files\ViRobot NT\vrmonsvc.exe
C:\Program Files\ViRobot NT\vrupsvr.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\dumprep.exe
C:\mysql\bin\winmysqladmin.exe
C:\WINDOWS\system32\dwwin.exe
C:\data\Beskyttelse\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxxxxxx.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
Avatar billede victor-1 Nybegynder
24. november 2004 - 23:46 #5
Jeg kigger på den og vender tilbage med en procedure.
Avatar billede victor-1 Nybegynder
25. november 2004 - 00:05 #6
Download denne engangsscanner til dit skrivebord - den skal du bruge senere - tryk på gem.
http://www.spywareinfo.dk/download/mwav.exe

Du skal nu i gang med at fixe, men først skal du lige gøre følgende:

Åbn en mappe, klik i menuen på Funktioner > Mappeindstillinger > Vis
Fjern flueben ved "Skjul beskyttede operativsystemfiler"
Fjern flueben ved "Skjul filtypenavne for kendte filtyper"
Sæt prik i "Vis skjulte filer og mapper"

Så genstarter du til fejlsikker tilstand (tryk på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows) og kører programmet HijackThis.
Du får herunder nogle filer som du skal fixe og det du skal gøre er, at sætte vinge ud for alle disse filer. Når du har gjort det så lukker du alle andre vinduer ned. Det er meget vigtigt, at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue (din Internet browser) når du har markeret filerne. Nu må du fixe. Klik på <Fix cheked>.

Her er de filer, du skal fixe. HUSK at dobbelttjekke så ALT kommer med:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxxxxxx.dk/ >>>> Også denne medmindre det er dig selv som har "sløret" den
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
------------------------------------------------------------------------------------------------------------------------

Genstart (stadig i fejlsikker tilstand) og kør nu engangs-antivirusscanneren fra Kaspersky som du hentede i starten. Programmet pakker sig selv ud og starter med det samme - sæt flueben i følgende:
<Memory>, <Starup Folders>, <Drive>, <Registry>, <System Folders> og <Services>
Sæt prik i følgende: <All Local Drives> og <Scan All Files>
Klik nu på knappen <Scan>

Derefter genstarter du normalt, scanner med HijackThis, gemmer loggen og kopierer indholdet af den herind *S*
Avatar billede dudesicko Novice
25. november 2004 - 11:50 #7
Ikke noget som du kan se herunder, hmm men hvorfor er den så langsom ?

Thu Nov 25 11:41:02 2004 => Total Number of Files Scanned: 41134
Thu Nov 25 11:41:02 2004 => Total Number of Virus(es) Found: 0
Thu Nov 25 11:41:02 2004 => Total Number of Disinfected Files: 0
Thu Nov 25 11:41:02 2004 => Total Number of Files Renamed: 0
Thu Nov 25 11:41:02 2004 => Total Number of Deleted Files: 0
Thu Nov 25 11:41:02 2004 => Total Number of Errors: 2
Thu Nov 25 11:41:02 2004 => Time Elapsed: 01:28:53
Thu Nov 25 11:41:02 2004 => Virus Database Date: 2004/11/18
Thu Nov 25 11:41:02 2004 => Virus Database Count: 109772

Thu Nov 25 11:41:02 2004 => Scan Completed.


Logfile of HijackThis v1.98.2
Scan saved at 11:48:51, on 25-11-2004
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\Program Files\ViRobot NT\vrmonsvc.exe
C:\Program Files\ViRobot NT\vrupsvr.exe
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\mysql\bin\winmysqladmin.exe
C:\data\Beskyttelse\hijackthis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ShutdownEventCheck] %systemroot%\system32\dumprep 0 -s
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Avatar billede tonnybrandt Nybegynder
25. november 2004 - 17:51 #8
Der er et par stykker tilbage som du kan fixe:

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ShutdownEventCheck] %systemroot%\system32\dumprep 0 -s

Men det har intet med din server at gøre.
Jeg vil foreslå at du lige prøver at montere et nyt netkort i din server. For mig lyder det som om der muligvis er fejl på netkortet så det står og støjer, og får de andre til at retransmittere, hvilket jo vil vise sig som nedsat hastighed.
Avatar billede dudesicko Novice
26. november 2004 - 12:41 #9
Victor smider du lige et svar, jeg har godtnok ikke lige fået prøvet med andet netkort endnu.

Hvis jeg skifter Netkort, så skal jeg rette serveren til igen ik, så siden kører igen, eller kan man bare smide nyt netkort i og så gensterte og serveren/siden virker stadig ?
Avatar billede tonnybrandt Nybegynder
26. november 2004 - 12:51 #10
Du skal deaktivere det gamle netkort og sætte den gamle ipaddresse ind på det nye netkort og så burde det virke igen med det samme.
Avatar billede victor-1 Nybegynder
26. november 2004 - 16:06 #11
Jeg smider gerne et svar, men er mere end villig til at dele med tonnybrandt *S*
Så smid du også et svar Hr. Brandt *S*

Og til dig dudesicko vil jeg sige, at du bare skal vende tilbage hertil, hvis du løber ind i problemer *S*
Avatar billede tonnybrandt Nybegynder
26. november 2004 - 16:34 #12
Ellers tak, ikke for de par linier. Jeg springer over :)
Avatar billede victor-1 Nybegynder
28. november 2004 - 23:26 #13
Takker for point :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
07/0514:15 PHP Html Af Asky i Programmeringsværktøjer
07/0511:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
06/0516:53 HTML Af Asky i Programmeringsværktøjer
06/0510:01 Mister internettet efter slumre, Af valby i Windows
05/0513:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
White papers
Flere white papers »