Hijak Log

Hent lige en nyere version af HiJackThis her og kom med en ny log:
http://www.spywarefri.dk/vaerktoj.htm

tonnybrandt > http://www.eksperten.dk/spm/580438

janny> victor-1 ER i gang her: http://www.eksperten.dk/spm/580438 - luk venligst dette :)

Janny > Victor-1 er allerede igang med at hjælpe dig i et andet spm, så læg selv et svar her og accepter det efterfølgende for at lukke spørgsmålet.

Så sev den vist ind ;)

Det tror jeg også *s*

Ha ha ha  ;-)

Den Victor-1 er i gang med, er min storebrors computer, denne vedrører min egen. Dette skulle kunne ses ved at nærlæse de 2 logfiler. Ved godt det kan virke forvirrende, men den er altså god nok.

JH

Ok, sorry.
Så står mit første indlæg ved magt og du må gerne lige lægge en ny log ind fra den nyeste HiJackThis. http://www.spywarefri.dk/vaerktoj.htm

Ved første øjekast ser denne log ren ud, men man kan ikke se alt i denne gamle version og derfor skal vi se en ny log.

Helt i orden ;-)

Jeg henter sidste nye version af HijakThis, og smider en ny log i aften.

JH

janny beklager det lille "mix-up" ;)

Her er så en ny log:



Logfile of HijackThis v1.99.0
Scan saved at 16:23:13, on 17-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\McAfee\McAfee VirusScan\VsStat.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\McAfee\McAfee VirusScan\Vshwin32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programmer\McAfee\McAfee VirusScan\Webscanx.exe
C:\Programmer\McAfee\McAfee Firewall\CPD.EXE
C:\Programmer\McAfee\McAfee VirusScan\alogserv.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmer\McAfee\McAfee Firewall\CPD.EXE
C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmer\Fælles filer\Network Associates\McShield\Mcshield.exe
C:\Programmer\Microsoft Hardware\Keyboard\type32.exe
C:\Programmer\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jan\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spywarefri.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Control Popups in Internet Explorer - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Alogserv] C:\Programmer\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [IntelliType] "C:\Programmer\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Opware12] "C:\Programmer\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [Stone's TimeTool] "C:\Programmer\TimeTool\TimeTool.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Programmer\FreeRAM XP Pro\FreeRAM XP Pro 1.22.exe" -win
O4 - HKCU\..\Run: [Wallpapers] C:\Programmer\W.P.A 4.x\WPA4.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PopupPopper Kontrol Panel - {3E94F358-9537-4BBA-8D12-D7F8A0136973} - C:\Programmer\PopupPopper\SiteList.exe
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: NordicBet Poker - {E6073F93-9541-4be4-9800-109D378EB99B} - C:\Programmer\nordicbetMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: AVSync Manager - Networks Associates Technologies, Inc. - C:\Programmer\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: McAfee Firewall - Network Associates, Inc. - C:\Programmer\McAfee\McAfee Firewall\CPD.EXE
O23 - Service: McShield - Unknown - C:\Programmer\Fælles filer\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hej janny
tonnybrandt er ikke online i øjeblikket, så jeg kigger lige på loggen for dig og vender tilbage.

Download og gem (ikke køre endnu) denne "engangs" virus-scanner på dit skrivebord - den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe

Udfør følgende:

Åbn en mappe, (lige gyldigt hvilken) klik i menuen øverst oppe på Funktioner > Mappeindstillinger > Vis
Fjern flueben ved "Skjul beskyttede operativsystemfiler" (bare klik <Ok> til en eventuel advarsel)
Fjern flueben ved "Skjul filtypenavne for kendte filtyper"
Sæt prik i "Vis skjulte filer og mapper", tryk Ok og luk mappen.

Så genstarter du i fejlsikker tilstand (tryk på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows) og kører programmet HijackThis.
Sæt flueben ud for linierne listet herunder. Når du har gjort det så lukker du alle andre vinduer ned (også mappen du åbnede for at køre HijackThis). Det er meget vigtigt, at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue (din Internet browser) når du har markeret filerne. Nu må du fixe > Klik på <Fix cheked>.

Her er linierne du skal fixe. HUSK at dobbelttjekke så ALT kommer med:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime


Hvis denne er en du kender og har tiltro til, kan du beholde den - ellers fix.
O4 - HKCU\..\Run: [Wallpapers] C:\Programmer\W.P.A 4.x\WPA4.exe


O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

Nedenstående skal du KUN gøre hvis du fixede denne linie - "O4 - HKCU\..\Run: [Wallpapers] C:\Programmer\W.P.A 4.x\WPA4.exe" - ellers genstarter du blot endnu en gang i fejlsikret tilstand og går videre til det sidste afsnit (Kaspersky)

Derefter genstarter du i fejlsikker tilstand - finder og sletter det herunder listede:
Brug evt. Start > Søg > Alle filer og mapper > Under "Flere avancerede indstillinger" skal der være flueben i de tre øverste > Indsæt derefter det listede i feltet og tryk på søg. Slet alle de forekomster den finder.

C:\Programmer\W.P.A 4.x <<< MAPPEN

Kør nu virus-scanneren fra Kaspersky som du hentede i starten (måske skal du også trykke på knappen <Kør> i en "åbn-fil advarsel" fra Windows) og klik derefter på knappen <Unzip>. Nu pakker programmet sig ud til C:\Kaspersky og du skal klikke på knappen <Ok> når det er udpakket, hvorefter programmet starter.
Sæt flueben i følgende:
<Memory>, <Starup Folders>, <Drive>, <Registry>, <System Folders> og <Services>
Sæt prik i følgende:
<All Local Drives> og <Scan All Files>
Klik nu på knappen <Scan Clean>

Derefter genstarter du normalt, scanner med HijackThis, gemmer loggen og kopierer indholdet af den herind *S*

victor-1 > Kør den blot helt færdig. Jeg var jo ikke begyndt på den endnu *s*

Ok tonnybrandt - det gør jeg så *S*

tonnybrandt må gerne ta' over her igen, hvis der altså sker mere.

Fik du kørt proceduren igennem ?

haaalooooo???

læg et svar, så lukker jeg spm.

Lægger et i den anden tråd også.

Takker. *S*