Søg
Avatar billede smash839 Nybegynder
05. februar 2005 - 10:28 Der er 18 kommentarer og
1 løsning

HijackThis - Log -

Hej eksperter.

Jeg har nogle problemer med en computer.
Der er kommet en masse virus og spyware på den.
Jeg har ikke kunne installere servicepack 2 fordi at den har problemer med at installere nogle opdateringer, hvor den siger installation mislykket.
Jeg har der for smidt en log her ind til jer, så i kan forhåbenlig kan hjælpe mig lidt med dette problem.

Log:

Logfile of HijackThis v1.99.0
Scan saved at 10:24:27, on 05-02-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\winpnp32.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\winmms32.exe
C:\WINDOWS\System32\rundlI32.exe
C:\WINDOWS\System32\winmedplay.exe
C:\WINDOWS\System32\MSNSRV32.exe
C:\WINDOWS\System32\navupdaterx.exe
C:\WINDOWS\System32\MsnMsgr.exe
C:\WINDOWS\system32\lc32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuvevent.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
c:\windows\ajjlk.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\79a2f7be2d597a3ccfe065327c097ea0\update\update.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Ejer\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arto.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKLM\..\Run: [kernel32dll] guardpc.exe
O4 - HKLM\..\Run: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] TASKMAN.EXE
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\zcbkcu.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Windows pack service] MsnMsgr.exe
O4 - HKLM\..\Run: [Windows Network Controller] winmms32.exe
O4 - HKLM\..\Run: [Windows TM] rundlI32.exe
O4 - HKLM\..\Run: [REGRUN] C:\WINDOWS\system32\lc32.exe
O4 - HKLM\..\Run: [77tP3pl] 3dvsvpia.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKLM\..\RunServices: [kernel32dll] guardpc.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] TASKMAN.EXE
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Windows pack service] MsnMsgr.exe
O4 - HKLM\..\RunServices: [Windows Network Controller] winmms32.exe
O4 - HKLM\..\RunServices: [Windows TM] rundlI32.exe
O4 - HKLM\..\RunOnce: [Windows Network Controller] winmms32.exe
O4 - HKLM\..\RunOnce: [Windows TM] rundlI32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKCU\..\Run: [kernel32dll] guardpc.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] TASKMAN.EXE
O4 - HKCU\..\Run: [NAV Auto Updates] navupdaterx.exe
O4 - HKCU\..\Run: [Windows Network Controller] winmms32.exe
O4 - HKCU\..\Run: [Windows TM] rundlI32.exe
O4 - HKCU\..\Run: [Mw2FRfJtj] wuvevent.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [Windows Network Controller] winmms32.exe
O4 - HKCU\..\RunOnce: [Windows TM] rundlI32.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107540108433
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Ggeahj32.dll
O21 - SSODL: mtklef - {A4DE73A3-0422-490F-44A5-30907B66871D} - C:\WINDOWS\System32\yykg32.dll
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Windows 32-bit PnP Driver - Unknown - C:\WINDOWS\System32\winpnp32.exe

Håber i kan hjælpe...
Avatar billede smash839 Nybegynder
05. februar 2005 - 11:00 #1
Update :

Jeg vil bare lige informere, at det nu er lykkedes mig at komme igang med installationen af service pack 2.
Avatar billede levich Nybegynder
05. februar 2005 - 11:45 #2
Jeg ser på loggen
Avatar billede smash839 Nybegynder
05. februar 2005 - 11:51 #3
okay mange tak -
Jeg har desværre ikke mulighed for at svare før om nogle timer.
Avatar billede levich Nybegynder
05. februar 2005 - 12:41 #4
Ok, det bliver en lang smøre at gå igennem.

(1)
Tag backup af vigtige dokumenter, emails o.lign.
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent http://www.spywarefri.dk/vaerktoj.htm#spybot (Spybot).
Start programmet, opdater og scan. Slet linjerne med rød tekst.
Genstart computeren.

(3)
Mistænker linjen C:\WINDOWS\System32\winmedplay.exe. Fjern programmet "Wild Tangent software" i tilføj/fjern programmer under kontrolpanelet. Noget med online gaming, som indeholder spyware.

(4)
Prøv at slå autostart af MSN Messenger under opstart fra, og genstart computeren. Hvis ikke linjerne:
O4 - HKLM\..\Run: [Windows pack service] MsnMsgr.exe
O4 - HKLM\..\RunServices: [Windows pack service] MsnMsgr.exe
forsvinder fra en ny log, skal de fixes.

(5)
Fix følgende linjer med HijackThis:
C:\WINDOWS\System32\winpnp32.exe
C:\WINDOWS\System32\winmms32.exe
C:\WINDOWS\System32\rundlI32.exe
C:\WINDOWS\System32\MsnMsgr.exe
C:\WINDOWS\System32\MSNSRV32.exe
C:\WINDOWS\System32\navupdaterx.exe
C:\WINDOWS\System32\wuvevent.exe
c:\windows\ajjlk.exe
O4 - HKLM\..\Run: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKLM\..\Run: [kernel32dll] guardpc.exe
O4 - HKLM\..\Run: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] TASKMAN.EXE
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\zcbkcu.exe (kender du programmet?)
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Windows Network Controller] winmms32.exe
O4 - HKLM\..\Run: [Windows TM] rundlI32.exe
O4 - HKLM\..\Run: [77tP3pl] 3dvsvpia.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKLM\..\RunServices: [kernel32dll] guardpc.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] TASKMAN.EXE
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Windows Network Controller] winmms32.exe
O4 - HKLM\..\RunServices: [Windows TM] rundlI32.exe
O4 - HKLM\..\RunOnce: [Windows Network Controller] winmms32.exe
O4 - HKLM\..\RunOnce: [Windows TM] rundlI32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKCU\..\Run: [kernel32dll] guardpc.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] TASKMAN.EXE
O4 - HKCU\..\Run: [NAV Auto Updates] navupdaterx.exe
O4 - HKCU\..\Run: [Windows Network Controller] winmms32.exe
O4 - HKCU\..\Run: [Windows TM] rundlI32.exe
O4 - HKCU\..\Run: [Mw2FRfJtj] wuvevent.exe
O4 - HKCU\..\RunOnce: [Windows Network Controller] winmms32.exe
O4 - HKCU\..\RunOnce: [Windows TM] rundlI32.exe
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Ggeahj32.dll
O21 - SSODL: mtklef - {A4DE73A3-0422-490F-44A5-30907B66871D} - C:\WINDOWS\System32\yykg32.dll
O23 - Service: Windows 32-bit PnP Driver - Unknown - C:\WINDOWS\System32\winpnp32.exe

(6)
Dette punkt gør du lige efter punkt (5).
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe, og kør den.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Og så trykker du på Scan Clean
Scanningen kan godt tage et par timer.

(7)
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet alle filerne, som er nævnt i de linjer du har fixed med HijackThis, ved at genstarte i fejlsikret tilstand (tryk F8 når Windows starter op), og så slette dem der.

Start -> programmer -> tilbehør -> systemværktøjer -> diskoprydning -> Slet Temporary internet files, papirkurv og midlertidige filer.

(8)
Og så er der to ting, som jeg er meget i tvivl om. Vent lidt med at gøre noget ved dem:
Mistænker linjerne C:\WINDOWS\system32\lc32.exe og O4 - HKLM\..\Run: [REGRUN] C:\WINDOWS\system32\lc32.exe. Siger det her dig noget "LANSA Client"? Er næsten sikker på at det er noget snavs.

Mistænker linjen C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\79a2f7be2d597a3ccfe065327c097ea0\update\update.exe.
Siger programmet Software Distribution dig noget.

(9)
Aktiver systemgendannelse igen, og gør det modsatte af ovenstående punkt (7) med skjulte filer.

*******************

Til de andre eksperter på www.eksperten.dk: Nogle kommentarer? Det var en lang smøre, men jeg har omhyggeligt skrevet punkt for punkt hvad der skal gøres.
Avatar billede tonnybrandt Nybegynder
05. februar 2005 - 13:18 #5
Kommentarer ? Kun en, pænt arbejde ! Jeg følger lige med på sidelinien, men blander mig ellers ikke. Sig til hvis du bliver i tvivl om noget, så skal jeg gerne hjælpe *s*
Avatar billede johnstigers Seniormester
05. februar 2005 - 14:06 #6
Jeg følger også med - ikke for at virke bitchy - dog undrer jeg mig over hvorfor 04 linierne med MsnMsgr.exe skal fixes????
Avatar billede levich Nybegynder
05. februar 2005 - 14:16 #7
john_stigers -> Det er pga. denne linje C:\WINDOWS\System32\MsnMsgr.exe. Denne fil er i den forkerte mappe.
Avatar billede smash839 Nybegynder
05. februar 2005 - 16:25 #8
Jeg vil bare lige meddele at jeg er gået igang med fix nu :)
Vender snarest tilbage ;)
Avatar billede smash839 Nybegynder
05. februar 2005 - 16:30 #9
Info:
Var desværre ikke muligt at finde:
"Wild Tangent software" i tilføj/fjern programmer
Avatar billede levich Nybegynder
05. februar 2005 - 16:33 #10
Ok, så fixer du bare linjen C:\WINDOWS\System32\winmedplay.exe med HijackThis og sletter filen bagefter.
Avatar billede smash839 Nybegynder
05. februar 2005 - 16:37 #11
Okay der vil jeg gøre så:
Den gik lige kold igen igen..
Så jeg vil lige høre om det ikke er muligt at slette med hijackthis og køre virus scan osv i fejsikret tilstand.. fordi den er virkelig ustabil
Det hjalp forresten ikke med det upstart af msn. Så må slette dem også
Avatar billede tonnybrandt Nybegynder
05. februar 2005 - 16:43 #12
Jo, gør det blot i fejlsikret tilstand.
Avatar billede smash839 Nybegynder
05. februar 2005 - 16:51 #13
okay.. er i fejsikret tilstand nu.
Det går meget hurtigere og er færdig med searh and destroy om lidt.
Avatar billede smash839 Nybegynder
05. februar 2005 - 17:06 #14
Jeg er nu gået igang med virus scan og vender tilbage når jeg er færdig med den
Tak for hjælpen indtil nu
Avatar billede smash839 Nybegynder
05. februar 2005 - 18:27 #15
Jeg fandt ikke disse filen ved søgning:
C:\WINDOWS\System32\winmms32.exe
O4 - HKLM\..\Run: [kernel32dll] guardpc.exe
og nogle få andre

Jeg kunne "ikk" slette denne fil:
c:\windows\ajjlk.exe

Jeg kender ikke noget til de programmet som du er i tvil om så dem kan jeg vel lige så godt slette ?
Avatar billede smash839 Nybegynder
05. februar 2005 - 18:52 #16
Jeg har nu fixet det hele og her er den endelige log:
Logfile of HijackThis v1.99.0
Scan saved at 18:49:56, on 05-02-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\Documents and Settings\Ejer\Skrivebord\Ny mappe\Ny mappe\hijackthis.exe
C:\WINDOWS\System32\imapi.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arto.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107540108433
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe

Jeg takker mange gange for din hjælp levich og du får dine fortjente point..
Avatar billede smash839 Nybegynder
05. februar 2005 - 18:53 #17
Ups ;) smid et svar..
Avatar billede levich Nybegynder
05. februar 2005 - 19:07 #18
Loggen ser fint ud nu.

Har du gjort som beskrevet i punkt (7) når du søger.

Den her c:\windows\ajjlk.exe ville være rar at få væk. Prøv at genstarte i fejlsikret tilstand, tryk ctrl+alt+del, vælg fanebladet "processer", find filen og afslut den. Nu kan du måske slette den.

Husk også lige at installere SP2 til windows xp.
Avatar billede smash839 Nybegynder
05. februar 2005 - 23:56 #19
Okay - det må jeg se at få tjekket her en af dagene men mange tak for din hjælp
Og her er dine point..
Jeg er godt igang med det service pack  2
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 13:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
03/0500:59 Mobilepay app virker ikke mere på Xiaomi Redmi Note 13 Pro Af henrixx i Apps til Android
02/0519:09 Download Win 11 - 25H2 Af ErikHg i Windows
30/0410:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
29/0419:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
White papers
Flere white papers »