Søg
Avatar billede botha Nybegynder
14. januar 2005 - 15:32 Der er 16 kommentarer og
1 løsning

HijackThis log - hvem kan tjekke?

Logfile of HijackThis v1.99.0
Scan saved at 15:27:59, on 14-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\winyi.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Documents and Settings\Per\Dokumenter\hj\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jubii.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
F1 - win.ini: run=msinfo.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {7DD79282-4F68-5C42-8508-A678BFEE9427} - C:\WINDOWS\system32\d3rw.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [sysua.exe] C:\WINDOWS\system32\sysua.exe
O4 - HKLM\..\Run: [winup.exe] C:\WINDOWS\system32\winup.exe
O4 - HKLM\..\Run: [msph32.exe] C:\WINDOWS\system32\msph32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Netm] C:\Documents and Settings\Per\Application Data\p?b?.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O15 - Trusted IP range:  (HKLM)
O16 - DPF: {0B7BA9DB-7B5A-4CE9-920A-579C7FDE5939} - http://82.179.166.72/1/gdnDK208.exe
O16 - DPF: {18C45027-8376-676F-B2AD-7C003CB2C40B} - http://82.179.166.72/1/gdnDK208.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100619091605
O16 - DPF: {699CFAAB-EC0E-3220-C92D-7A820C42A09A} - http://82.179.166.72/1/rdgDK208.exe
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O21 - SSODL: System - {15C74195-C6B9-41A0-9BD9-D6990A1ED68E} - C:\WINDOWS\system32\system32.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-tjeneste - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\winyi.exe
Avatar billede cookie_ll Nybegynder
14. januar 2005 - 16:30 #1
Hej botha. Jeg skal nok kigge på den. Vender tilbage med et løsningsforslag til dig.

//Cookie_ll
Avatar billede tonnybrandt Nybegynder
14. januar 2005 - 16:36 #2
Kigger lige med på sidelinien :)
Avatar billede botha Nybegynder
14. januar 2005 - 16:37 #3
dejligt :-)
Systemet kører ad H til :-(
Avatar billede cookie_ll Nybegynder
14. januar 2005 - 16:40 #4
tonnybrandt >>
OK, stoler du ikke på mig ;-p?.... Men læg lige mærke til, at jeg huskede at "reservere", ikk' :o)?

*Nåh, renser videre*...
Avatar billede tonnybrandt Nybegynder
14. januar 2005 - 16:46 #5
cookie_|| > Det var egentligt blot af høflighed, idet jeg blot kunne have sendt en tom kommentar, så ville jeg alligevel få mail hvergang spørgsmålet blev opdateret.
Jeps, så godt du "reserverede", og det er helt fint :)
Avatar billede cookie_ll Nybegynder
14. januar 2005 - 17:19 #6
Hold ud, botha .... undskyld, men loggen var lidt mere snavset end jeg troede. Fandt lige noget CWS infektion og orme i den, så det tager lidt tid :o/..... Men er snart færdig :o).

//Cookie_ll
Avatar billede cookie_ll Nybegynder
14. januar 2005 - 17:29 #7
Hej botha.

Undskyld ventetiden. Den var som sagt lidt værre, end jeg først havde troet, men ikke værre end at det sagtens kan fjernes. Vi går i gang :o).

Hent disse værktøjer:

Kaspersky engangsscanner
http://www.spywareinfo.dk/download/mwav.exe

AboutBuster
http://downloads.subratam.org/AboutBuster.zip

CWShredder
http://www.mdegn.dk/download/CWShredder.exe

Installer og opdater AboutBuster og CWShredder, men vent med at køre dem.

Deaktivere systemgendannelse.
(Højreklik på "Denne Computer" på skrivebordet, vælg egenskaber og fanebladet "Systemgendannelse" og sæt flueben i "Deaktiver systemgendannelse". Klik OK.)

Genstart PC i fejlsikret tilstand og kør Kaspersky scanneren (klik på mwavscan.com i C:\Kaspersky\)

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Og prik i følgende:
All local drives og Scan all files. Klik på scan.

Når scanneren er færdig. Scan og fix med CWShredder.

Som det sidste kører du AboutBuster. Programmet vil gennemføre 2 scanninger. Gem loggen.

Kør så en ny scanning med HJT og sæt flueben ved disse (nogle af linierne vil sikkert allerede være forsvundet):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ygrvr.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jubii.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080
R3 - Default URLSearchHook is missing
F1 - win.ini: run=msinfo.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {7DD79282-4F68-5C42-8508-A678BFEE9427} - C:\WINDOWS\system32\d3rw.dll
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [sysua.exe] C:\WINDOWS\system32\sysua.exe
O4 - HKLM\..\Run: [winup.exe] C:\WINDOWS\system32\winup.exe
O4 - HKLM\..\Run: [msph32.exe] C:\WINDOWS\system32\msph32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Netm] C:\Documents and Settings\Per\Application Data\p?b?.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O15 - Trusted IP range:  (HKLM)
O16 - DPF: {0B7BA9DB-7B5A-4CE9-920A-579C7FDE5939} - http://82.179.166.72/1/gdnDK208.exe
O16 - DPF: {18C45027-8376-676F-B2AD-7C003CB2C40B} - http://82.179.166.72/1/gdnDK208.exe
O16 - DPF: {699CFAAB-EC0E-3220-C92D-7A820C42A09A} - http://82.179.166.72/1/rdgDK208.exe
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O21 - SSODL: System - {15C74195-C6B9-41A0-9BD9-D6990A1ED68E} - C:\WINDOWS\system32\system32.dll
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\winyi.exe

Luk alle øvrige programvinduer så kun HJT er åben. Klik på ”Fix checked”.

Luk programmet og søg og slet nedenstående filer/mapper, hvis de stadig er der. Husk at ændre mappeindstillinger så du kan se skjulte filer samt systemfiler.
(Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".)

C:\WINDOWS\winyi.exe
C:\WINDOWS\ygrvr.dll
C:\WINDOWS\System32\services\msxmidi.exe
C:\WINDOWS\system32\d3rw.dll
C:\Program Files\Windows AdTools\
C:\WINDOWS\system32\sysua.exe
C:\WINDOWS\system32\winup.exe
C:\WINDOWS\system32\msph32.exe
C:\Documents and Settings\Per\Application Data\p?b?.exe
msinfo.exe (denne vil sandsynligvis også befinde sig i System32 mappen)
C:\WINDOWS\system32\system32.dll

Ændr derefter mappeindstillinger tilbage til ikke at vise skjulte filer og skjulte systemfiler.

Tøm Papirkurven.

Genstart normalt og kør en ny scanning med HJT og smid loggen herind til kontrol. Du må også gerne poste loggen fra AboutBuster.

//Cookie_ll
Avatar billede cookie_ll Nybegynder
14. januar 2005 - 17:49 #8
tonnybrandt >> Jeg er glad for, at du (og de andre eksperter) kigger med på sidelinien. Det er yderst betryggende for brugeren - men ikke mindst også for os, "nybegyndere", at vide, at I vil gribe ind, hvis vi foreslår noget helt hen i vejret, så tak :o)!

//Cookie_ll
Avatar billede botha Nybegynder
15. januar 2005 - 10:32 #9
1000 tak for hjælpen, det kører en del bedre nu :-)
Svar venligst, og modtag dine velfortjente point
Avatar billede cookie_ll Nybegynder
15. januar 2005 - 10:40 #10
Det glæder mig at høre, botha, men hvis du orker det, må du som sagt meget gerne poste en ny HJT log og evt. også den fra AboutBuster, så vi kan sikre os, at det hele er væk. Håber du orker det, for ville være ærgerligt kun at rense den halvt.

//Cookie_ll

P.S. Tak, sødt af dig at tænke på det med point :o).
Avatar billede cookie_ll Nybegynder
15. januar 2005 - 13:25 #11
botha, hvis du gerne vil afslutte sagen her - uden en kontrollog - så aktiver systemgendannelsen nu.

//Cookie_ll
Avatar billede kalp Novice
28. januar 2005 - 15:58 #12
hey cookie_II:) Du ville måske finde dette spørgsmål interessant
http://www.eksperten.dk/spm/585171
Avatar billede cookie_ll Nybegynder
28. januar 2005 - 16:07 #13
Hej Kalp >> Havde set det - og overvejede FLERE GANGE at bede om din email, så jeg lige kunne maile et par "advarsler" til dig *GG*, men tænkte så, at jeg nok hellere måtte blande mig uden om ;-p.
Avatar billede ejvindh Ekspert
28. januar 2005 - 16:09 #14
Det er nu ikke den samme log :-) Der er ikke sp1 på i den anden tråd...
Avatar billede cookie_ll Nybegynder
28. januar 2005 - 16:19 #15
Ejvindh >> I know :o). Det var heller ikke det, mine "bekymringer" gik på. Trådens ejermand havde da også pænt slukket og lukket efter sig, så jeg vil da ikke klage :o). Det var mere viljen til at færdiggøre sin rensning 100%, jeg var lidt "bekymret" over ;o).

Sorry til trådens ejermand for disse off-topic-bemærkninger :o).
Avatar billede kalp Novice
28. januar 2005 - 16:32 #16
Jeg beklager også lige for endnu et indlæg:)
Du velkommen til, at advare mig jeg har en milliard email adresser, men denne skulle fungere fint:o) bilwac@lyngbyes.dk og ellers har jeg en msn som også fungere fint.
Avatar billede cookie_ll Nybegynder
28. januar 2005 - 16:52 #17
Kalp >> Takker. Jeg mailer lige til dig, så du også har min til en anden god gang :o).

>>>>> Og så lige for at runde dette O/T af:
"Advare" skal altså ikke tages bogstaveligt eller negativt. Jeg har INTET at udsætte på trådens ejermand :o)! Vedkommende har som sagt lukket og slukket pænt efter sig, så min "bekymring" gik udelukkende på PCens ve og vel og ikke på brugerens personlighed.

Så tak for lån af tråden :o)!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
04/0409:43 AI google.com Af Peter Olsen i Andre onlineløsninger
31/0310:22 Makro der gemmer vedhæftet fil fra Msg og omdøber filen Af lokesa i Excel
30/0313:45 Kablet forbindelse mellem android telefon og windows 11 pc Af 1Dorte i Android
30/0312:04 Elementtype vises - og ikke billedet? Af hkprofil i Billedbehandling
29/0312:08 Problemer med replay af købte kursusvideoer Af annam i Browsere
White papers
Flere white papers »