mistanke om gemt spyware

jeg ser på det...

takker

Jeg kan ikke se noget underligt, bortset fra et loggen er meget kort. Du vel ikke kørt HijackThis i fejlsikret tilstand, vel?

Der er ikke installeret SP2 til windows xp endnu, kan jeg se. Der er en god sikkerhedsmæssig idé. Men nu skal vi lige have internettet tilbage først.

nej den er ikke kørt i fejlsikret tilstand, planen er også at få installeret sp2, men det er ikke så nemt at hænte den ;-)

Hent scannereren http://www.spywareinfo.dk/download/mwav.exe, og kør den.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Og så trykker du på Scan Clean
Scanningen kan godt tage et par timer.

Hvis det ikke løser problemet, så tag og installer et anti-virus og firewall program. Jeg vil anbefale disse to gratis programmer:
http://free.grisoft.com/freeweb.php/doc/2/
http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=staticcomp_za

jeg har kørt mwav.exe, men jeg køre den igen for en sikkerheds skyld

Prøv om denne fil kan hjælpe:
http://www.fbeej.dk/Programmer/iereg.zip
Pak den ud og kør iereg.bat. Genstart og se om det har hjulpet.

det virkede heller ikke, men jeg har fundet ud af at jeg godt kan pinge ip adresser på nettet, men det er også kun ipadresser ikke www adresser, så problemet må ligge i et eller andet med dns omsætningen, nogen ider ???

jeg har også prøvet at sætte et andet netkort i, men med samme resultat.

Ok, lad mig starte med at indrømme at vi nu bevæger os ud i kanten af mit vidensfelt. Men vi kan jo lige prøve at lave noget diagnostisering -- så må vi se bagefter om jeg kan hjælpe dig til at rette op på fejlen.
----------------------------------
Så vidt jeg kan se i din log, så har du ingen Software-firewall. Er der en Hardware-firewall tilknyttet din netforbindelse?
----------------------------------
Prøv at gå ind i kontrolpanel-Netværksforbindelser. Højreklik på den netforbindelse som du bruger til at komme på nettet med, og vælg egenskaber.
Marker "Internetprotokol (TCP/IP) og vælg egenskaber.
Meld tilbage hvilke indstillinger du finder under både fanebladet "Generelt" og "Alternativ Konfiguration"
Under fanebladet "Generelt" skal du også gå ind under "Avanceret" og fortælle om indstillingerne under fanebladet "DNS"
----------------------------------
Klik på Start-kør og tast CMD (return)
I det vindue der dukker op, skriver du
ipconfig /all
> her skal du aflæse din ipaddresse, din standard gateway og den første af dns-serverne.
> disse ipaddresser må du gerne melde tilbage med. De skal også bruges i det følgende.

Skriv herefter følgende:
ping <ipaddresse>
ping <Standard gateway>
ping <dns server>

> Svarede de alle ?

Fortsæt med:
ping 195.137.194.128
ping www.dr.dk

> Svarede de begge ?

Prøv dette, og meld tilbage hvad du finder ud af.
----------------------------------
Endelig vil jeg også gerne se din hosts-fil:
Kør Hijackthis. Klik på "Open the misc tools section"
Klik på "open hosts file manager". Klik på "open in notepad"
Hvis du har Spywareblaster eller IEspyad lagt ind, så vil der sandsynligvis være rigtig mange linier der starter med 127.0.0.1. Dem kan du som hovedregel lige skære ud af loggen, inden du lægger den herind. Dog skal du lige checke at der ikke er nogle af de navne der følger efter, der KUN består af www.
Læg denne log herind også

Hvis du kan kontakte ip-adresser men ikke www-adresser, så er der noget galt med den DNS-server du anvender.

Jeg regner med at du har ADSL, hvilket betyder at du har fået en vejledning fra din internetudbyder i hvordan du sætter internetindstillingerne op. Det der er vigtigt er, at indstillingerne under TCP/IP er korrekte, check dem.

Nogle ting kan også blive blokeret af en proxy-server, som du som bruger selv kan vælge at bruge. Har du valgt en proxy-server?

undskyld vente tiden, skulle lige hurtigt på arbejde.

der er en hardware firewall på internet forbindelsen
----------
tcp/ip -> generelt alle står til at hænte automatisk
tcp/ip -> alternertiv  står også til automatisk
tcp/ip -> generelt -> advanceret
------
ipconfig ->
ip = 192.168.1.37
subnet = 255.255.255.0
gateway = 192.168.1.1
dns1 = 194.239.134.83
dns2 = 193.162.153.164

-------

ping:
ip = ok
gateway = ok
dns = ok

-------
ping
195.137.194.128 = nej "100% tab"
www.dr.dk = nej "kan ikke finde værten"
-------
host filen er der står kun

127.0.0.1 = localhost

-------
har ikke installeret spywareblaster eller IEspyad

hov jeg så lige at en af linjeg kan misforståes :-)

tcp/ip -> generelt alle står til at hænte automatisk
der skal stå

tcp/ip -> generelt = alle står til at hænte automatisk

jeg prøver lige med en rep installation af win xp.....

Generelt set ser dine indstillinger fine ud. Pingerne til dr.dk afslører dog lidt. Du kunne måske lige prøve følgende fra IE:

Indtast først følgende: 195.137.194.128
(og se om dr's hjemmeside dukker op)

Prøv derefter at indtaste www.dr.dk

det har jeg prøvet, det virker heller ikke :-(
det er noget rigtigt shit....

Hvis begge dele ikke virker, så tror jeg ikke det er din DNS-server der er noget galt med. Ved at indtaste IP'en skal den jo ikke oversætte noget.

Prøv den repair så. En mulighed på et senere stadie kan også være at hente SP2 ned fra en anden computer, og så lægge den over på en cd, for herefter at installere på din pc. Det kan nogle gange hjælpe at få nogle nye systemfiler ind. Men inden du gør det, vil jeg gerne have foretaget nogle dybere analyser af maskinens virus-tilstand. Derfor først Repair. :-)

jeg har lagt sp2 ind (det satte jeg den til imens jeg var på arbejde) det hjalp ikke.
jeg har ikke problemer på de ander maskiner på netværket, som står til det samme og har samme ip info, på nær ip adressen.

Jeg har sat den igang, vender tilbage når den er færdig

det virkede ikke :-(

Jeg logger snart af nu, men lige et par råd, som du kan arbejde videre med. Så vender jeg tilbage hurtigst muligt. Det kan også være Levich har nyt input...

----------------------------------
Hvis du har mulighed for det (hvis du af din netudbyder er blevet tildelt flere IP-adresser), kunne du prøve om det hjælper at skifte IP-adresse:

Gå ind i kontrolpanel-Netværksforbindelser. Højreklik på den netforbindelse som du bruger til at komme på nettet med, og vælg egenskaber.
Marker "Internetprotokol (TCP/IP) og vælg egenskaber. Vælg fanebladet "Generelt"
Istedet for Automatisk IP, vælger du nu Brug følgende IP, og indtaster følgende
IPadresse: _______________ (den nye)
Undernet: 255.255.255.0
Standardgateway: 192.168.1.1

Foretrukken DNS: 194.239.134.83
Alternativ DNS: 193.162.153.164

Genstart og se om det har hjulpet på problemet. Ellers gå ind og ret tilbage til automatisk Conf
------------------------------------
Selvom der ikke var tegn i HJT-loggen på spyware, kunne det godt være der alligevel. Prøv derfor lige at køre disse 2 værktøjer, og se om de finder noget. Læg de 2 logs herind.

Hent disse programmer og pak dem ud til hver sin mappe:
http://members.blackbox.net/hp_links/21/nikolaus.rameis/_data/startdreck.zip
http://downloads.subratam.org/DllCompare.exe

Kør Startdreck.exe - tryk på "Config" - tryk "unmark all" - sæt et flueben i:
Registry -> Run Keys + Internet Explorer
System/drivers> Running processes + NT services
Tryk "Ok"
Tryk "Save" og gem log'en et sted, hvor du kan finde den igen. Læg log'en herind.

Kør DllCompare.exe og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind i dit næste svar.

takker jeg prøver,

Jeg stopper også snart, skal snart på arbejde igen.

den første link virker ikke
http://members.blackbox.net/hp_links/21/nikolaus.rameis/_data/startdreck.zip

Prøv her så:
http://www.niksoft.at/php/dl.php?f=startdreck.zip

den virkede

her er de

dllcompare:
--------------
*    DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found :)"
________________________________________________

1.336 items found:  1.336 files, 0 directories.
Total of file sizes:  293.380.912 bytes    279,79 M

Administrator Account =  True

--------------------End log---------------------

startdreck
--------------
StartDreck (build 2.1.7 public stable) - 2005-03-15 @ 16:35:21 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 2)
Internet Explorer: 6.0.2900.2180
Logged in as Thorsten Hansen at DECA_PC

»Registry
»Run Keys
  »Current User
  »Run
    *CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
  »RunOnce
  »Default User
  »Run
    *CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
    *NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
  »RunOnce
  »Local Machine
  »Run
    *QuickTime Task="C:\Programmer\QuickTime\qttask.exe" -atboottime
    *gcasServ="C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
    *SoundMan=SOUNDMAN.EXE
    *NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    *nwiz=nwiz.exe /install
    +OptionalComponents
    +MSFS
      *Installed=1
    +MAPI
      *NoChange=1
      *Installed=1
    +MAPI
      *NoChange=1
      *Installed=1
  »RunOnce
  »RunServices
  »RunServicesOnce
  »RunOnceEx
  »RunServicesOnceEx
»Internet Explorer
  »Current User
  *Local Page=C:\WINDOWS\system32\blank.htm
  *Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
  *Start Page=http://www.google.dk/
  +SearchUrl
    *provider=
  »Default User
  *Start Page=http://www.labtech.dk
  »Local Machine
  *Default_Page_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
  *Default_Search_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
  *Local Page=%SystemRoot%\system32\blank.htm
  *Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
  *Start Page=http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
  *CustomizeSearch=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
  *SearchAssistant=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
»Files
»System/Drivers
»Running Processes
  +0=<idle>
  +4=<system>
  +428=\SystemRoot\System32\smss.exe
  +480=\??\C:\WINDOWS\system32\csrss.exe
  +504=\??\C:\WINDOWS\system32\winlogon.exe
  +548=C:\WINDOWS\system32\services.exe
  +560=C:\WINDOWS\system32\lsass.exe
  +736=C:\WINDOWS\system32\svchost.exe
  +808=C:\WINDOWS\System32\svchost.exe
  +840=C:\WINDOWS\system32\svchost.exe
  +1116=C:\Programmer\Ahead\InCD\InCDsrv.exe
  +1180=C:\WINDOWS\system32\svchost.exe
  +1268=C:\WINDOWS\system32\svchost.exe
  +1368=C:\WINDOWS\system32\spoolsv.exe
  +1488=C:\WINDOWS\System32\nvsvc32.exe
  +1520=C:\WINDOWS\system32\svchost.exe
  +1948=C:\WINDOWS\System32\alg.exe
  +1664=C:\WINDOWS\system32\dllhost.exe
  +1324=C:\WINDOWS\System32\msdtc.exe
  +2700=C:\WINDOWS\Explorer.EXE
  +2736=C:\WINDOWS\system32\wscntfy.exe
  +2864=C:\Programmer\QuickTime\qttask.exe
  +2872=C:\Programmer\Microsoft AntiSpyware\gcasServ.exe
  +2888=C:\WINDOWS\SOUNDMAN.EXE
  +2936=C:\WINDOWS\system32\ctfmon.exe
  +2952=C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
  +3232=C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
  +1232=C:\WINDOWS\system32\wpabaln.exe
  +168=C:\Programmer\Internet Explorer\iexplore.exe
  +3984=C:\WINDOWS\system32\NOTEPAD.EXE
  +3992=C:\Documents and Settings\Thorsten Hansen\Skrivebord\spy\startdreck\StartDreck.exe
»NT Services
  *Alerter    Alerter    -    disabled
  *Gatewaytjeneste til programlaget    ALG    running    on demand
  *Programadministration    AppMgmt    -    on demand
  *ASP.NET State Service    aspnet_state    -    on demand
  *Windows Audio    AudioSrv    running    auto
  *Tjenesten Background Intelligent Transfer    BITS    -    on demand
  *Computerbrowser    Browser    running    auto
  *Indekseringstjeneste    CiSvc    -    on demand
  *Udklipsbog    ClipSrv    -    disabled
  *COM+-systemprogram    COMSysApp    running    on demand
  *Kryptografiske tjenester    CryptSvc    running    auto
  *Startprogram til DCOM Serverproces    DcomLaunch    running    auto
  *DHCP-klientprogram    Dhcp    running    auto
  *Logical Disk Manager Administrative Service    dmadmin    -    on demand
  *Logical Disk Manager    dmserver    -    on demand
  *DNS-klient    Dnscache    running    auto
  *Tjenesten Fejlrapportering    ERSvc    running    auto
  *Hændelseslog    Eventlog    running    auto
  *COM+-hændelsessystem    EventSystem    running    on demand
  *Hurtigt brugerskift-kompatibilitet    FastUserSwitchingCom    running    on demand
  *Hjælp og support    helpsvc    running    auto
  *Adgang til brugerstyrede inputenheder (HID)    HidServ    -    disabled
  *HTTP SSL    HTTPFilter    -    on demand
  *COM-tjenesten IMAPI cd-skrivning    ImapiService    -    on demand
  *InCD Helper (read only)    InCDsrvR    running    auto
  *iPod Service    iPodService    -    on demand
  *Server    lanmanserver    running    auto
  *Arbejdsstation    lanmanworkstation    running    auto
  *Tjenesten TCP/IP NetBIOS Helper    LmHosts    running    auto
  *Machine Debug Manager    MDM    -    disabled
  *Messenger    Messenger    -    disabled
  *NetMeeting - Deling af fjernskrivebord    mnmsrvc    -    on demand
  *DTC (Distributed Transaction Coordinator)    MSDTC    running    on demand
  *Windows Installer    MSIServer    -    on demand
  *Network DDE    NetDDE    -    disabled
  *Network DDE DSDM    NetDDEdsdm    -    disabled
  *Netlogon    Netlogon    -    on demand
  *Netværksforbindelser    Netman    running    on demand
  *Norman API-hooking helper    NipSvc    -    disabled
  *NLA (Network Location Awareness)    Nla    running    on demand
  *Norman NJeeves    Norman NJeeves    -    disabled
  *Norman Type-R    Norman Type-R    -    disabled
  *Norman ZANDA    Norman ZANDA    -    disabled
  *NT LM Security Support Provider    NtLmSsp    -    on demand
  *Flytbare lagermedier    NtmsSvc    -    on demand
  *Norman Virus Control on-access component    nvcoas    -    disabled
  *Norman Virus Control Scheduler    NVCScheduler    -    disabled
  *NVIDIA Display Driver Service    NVSvc    running    auto
  *Plug and Play    PlugPlay    running    auto
  *IPSEC Policy Agent    PolicyAgent    running    auto
  *Beskyttet lager    ProtectedStorage    running    auto
  *Remote Access Auto Connection Manager    RasAuto    -    on demand
  *Remote Access Connection Manager    RasMan    running    on demand
  *Hjælp til Sessionsstyring til Fjernskrivebord    RDSessMgr    -    on demand
  *Routing og Remote Access    RemoteAccess    -    disabled
  *Remote Procedure Call (RPC) Locator    RpcLocator    -    on demand
  *RPC (Remote Procedure Call )    RpcSs    running    auto
  *QoS RSVP    RSVP    -    on demand
  *SAM (Security Accounts Manager)    SamSs    running    auto
  *Chipkort    SCardSvr    -    on demand
  *Opgavestyring    Schedule    running    auto
  *Alternativt logon    seclogon    running    auto
  *System Event Notification    SENS    running    auto
  *Windows Firewall/Deling af Internetforbindelse    SharedAccess    running    auto
  *Hardwaregenkendelse på brugergrænsefladen    ShellHWDetection    running    auto
  *Print Spooler    Spooler    running    auto
  *Tjenesten Systemgendannelse    srservice    running    auto
  *SSDP-genkendelsestjeneste    SSDPSRV    running    on demand
  *Windows-billedscanning    stisvc    running    auto
  *MS Software Shadow Copy Provider    SwPrv    -    on demand
  *Performance Logs and Alerts    SysmonLog    -    on demand
  *Telekommunikation    TapiSrv    running    on demand
  *Terminal Services    TermService    running    on demand
  *Temaer    Themes    running    auto
  *Distributed Link Tracking Client    TrkWks    running    auto
  *Vært for Universal Plug and Play-enhed    upnphost    -    on demand
  *UPS (Uninterruptible Power Supply)    UPS    -    on demand
  *Øjebliksbillede af diskenhed    VSS    -    on demand
  *Windows Time    W32Time    running    auto
  *Webklient    WebClient    running    auto
  *Windows Management Instrumentation    winmgmt    running    auto
  *Portable Media Serial Number Service    WmdmPmSN    -    on demand
  *WMI-ydelseskort    WmiApSrv    -    on demand
  *Sikkerhedscenter    wscsvc    running    auto
  *Automatiske opdateringer    wuauserv    running    auto
  *Automatisk konfiguration af trådløse enheder    WZCSVC    running    auto
  *Tjenesten Netværksadgang    xmlprov    -    on demand
»Application specific

jeg stopper nu, så svar læses ikke før i morgen tidelig

De 2 logs er rene. Det tænkte jeg nok, men det skulle lige prøves. Mit sidste råd er derfor at du prøver IP-tricket ovenfor.

Hvis ikke det hjælper, må jeg nok desværre give op. Da jeg har googlet rundt i forbindelse med dit problem, er jeg stødt på tråde, hvor det har hjulpet at ny-installere helt fra bunden.

Jeg har ikke noget forslag.

Jeg lytter med på sidelinien.
Du skal ihvertfald lige prøve ejvindh's forslag med at sætte en fast ipaddresse.

det hjalp ikke med at skifte ip...  :-(
det ser ud til at der ikke er nogen vej uden om.

Du skal lige være opmærksom på, at når du har repairet din Windows installation, bliver den tilbageført til det sikkerhedsniveau der er på din CD. Du skal derfor sandsynligvis have lagt SP2 ind igen.

Det problem her irriterer mig. Når det kan fixes ved at geninstallere XP, så burde det også kunne fixes uden -- hvis bare man kunne finde fejlen. Det følgende er nogle strø-forslag, som du kan prøve. Vend gerne tilbage med info om det virker.
-----------------
Har du prøvet at højreklikke på den aktive netværksforbindelse og vælge "reparer"?
-----------------
Prøv også (samme sted) at deaktivere - vente lidt - aktivere.
-----------------
Klik på Start-kør. Skriv: Services.msc Tast OK.
Prøv med de nedenforstående services at gøre følgende (hvis de stadig kører): Højreklik - vælg stop - vent lidt - højreklik - vælg start

DNS-klient
Tjenesten TCP/IP NetBIOS Helper
Netværksforbindelser
NLA
Windows Firewall/Deling af Internetforbindelse
Webklient
-----------------
Du kan også (for at diagnosticere) prøve om du kan få forbindelse, hvis du kører udenom Firewallen.

Prøv lige at sætte den tilbage til automatisk at hente ipaddresser og dns-servere.
Check at du nu har fået en ny ipaddresse, der er forskellig fra den du selv satte ind.
Start en dosboks og kør disse kommandoer som skriver diverse oplysninger ud i filer som du så kan lægge herind:
-----
ipconfig /all > c:\ipconfig.txt
route print > c:\route.txt
ping 130.57.4.27 > c:\ping_ip.txt
ping www.novell.com > c:\ping_host.txt
nslookup www.novell.com > C:\nslookup_std.txt
nslookup www.novell.com 193.162.145.130 > c:\nslookup_ny.txt
pause
-----
Hint: Du kan blot markere alle linierne imellem de stiplede linier, højreklikke markeringen og vælge kopier. Så højreklikker du ovre i dosprompten og vælger sæt ind. Så køres det hele på en gang.

En sidste test som ikke kan foretages automatisk:
I dosbilledet skriver du:
telnet 130.57.4.27 80
og trykker enter. Hvis der er forbindelse får du nu et tomt skærmbillede op, og du taster nu bogstaverne
get
og trykker enter. (mens du taster kan du ikke se noget på skærmen, blot så du ved det)
Fløj der en masse tekst forbi ?

kopier de forskellige logs herind, så burde det være muligt at se hvad det er der går galt:
c:\ipconfig.txt
c:\route.txt
c:\ping_ip.txt
c:\ping_host.txt
c:\nslookup_std.txt
c:\nslookup_ny.txt

ejvindh ->
jeg ville også helst finde fejlen, så vi prøver lige et par forsøg til.
alle Services kører
prøvet at stoppe dem og starte dem igen (en efter en)
alle var ok, udover webclient den vil ikke stoppe (juhuuu  noget der kan ligne et problem).

tonnybrandt ->
er i gang med dit forslag.

tonnybrandt ->

webclient er stadig ikke stoppet så det kan være at den har indvikning på følgende resultat, men det kan jo være den der ikke svare fra starten af.....


*******************************
c:\ipconfig.txt




Windows IP-konfiguration



      Værtsnavn. . . . . . . . . . . . . . . . . . : DECA_PC

      Primært DNS-suffiks. . . . . . . . . . . . . :

      Nodetype . . . . . . . . . . . . . . . . . . : Peer-to-peer

      IP-routing aktiveret . . . . . . . . . . . . : Nej

      WINS-proxy aktiveret . . . . . . . . . . . . : Nej



Ethernet-netværkskort LAN-forbindelse:



      Forbindelsesspecifikt DNS-suffiks. . . . . . :

      Beskrivelse. . . . . . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC

      Fysisk adresse . . . . . . . . . . . . . . . : 00-0D-87-51-8F-78

      Dhcp aktiveret . . . . . . . . . . . . . . . : Ja

      Automatisk konfiguration aktiveret . . . . . : Ja

      IP-adresse . . . . . . . . . . . . . . . . . : 192.168.1.37

      Undernetmaske. . . . . . . . . . . . . . . . : 255.255.255.0

      Standardgateway. . . . . . . . . . . . . . . : 192.168.1.1

      DHCP-server. . . . . . . . . . . . . . . . . : 192.168.1.1

      DNS-servere. . . . . . . . . . . . . . . . . : 194.239.134.83

                                                    193.162.153.164

      Rettigheden opnået . . . . . . . . . . . . . : 16. marts 2005 12:20:50

      Rettigheden udløber. . . . . . . . . . . . . : 19. marts 2005 12:20:50



*******************************
c:\route.txt

===========================================================================
Liste over gr‘nseflader
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0d 87 51 8f 78 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - Miniport til Packet Scheduler
===========================================================================
===========================================================================
Aktive ruter:
Netv‘rksdestination        Netmaske          Gateway      Gr‘nseflade  Metrikv‘rdi
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.37      20
        127.0.0.0        255.0.0.0        127.0.0.1      127.0.0.1      1
      192.168.1.0    255.255.255.0    192.168.1.37    192.168.1.37      20
    192.168.1.37  255.255.255.255        127.0.0.1      127.0.0.1      20
    192.168.1.255  255.255.255.255    192.168.1.37    192.168.1.37      20
        224.0.0.0        240.0.0.0    192.168.1.37    192.168.1.37      20
  255.255.255.255  255.255.255.255    192.168.1.37    192.168.1.37      1
Standardgateway:      192.168.1.1
===========================================================================
Vedvarende ruter:
  Ingen



*******************************
c:\ping_ip.txt



Pinger 130.57.4.27 med 32 byte data:



Svar fra 130.57.4.27: byte=32 tid=154ms TTL=50

Svar fra 130.57.4.27: byte=32 tid=148ms TTL=50

Svar fra 130.57.4.27: byte=32 tid=149ms TTL=50

Svar fra 130.57.4.27: byte=32 tid=148ms TTL=50



Ping-statistikker for 130.57.4.27:

    Pakker: Sendt = 4, modtaget = 4, tabt = 0 (0% tab),

Beregnet tid for rundtur i millisekunder:

    Minimum = 148ms, Maksimum = 154ms, Gennemsnitlig = 149ms




*******************************
c:\ping_host.txt

Ping-anmodning kunne ikke finde v‘rten www.novell.com. Kontroller navnet, og pr›v igen.




*******************************
c:\nslookup_std.txt

Server:  UnKnown
Address:  194.239.134.83

*******************************
c:\nslookup_ny.txt

Server:  UnKnown
Address:  193.162.145.130

Ok, sidste ting jeg gerne vil vide er resultatet af denne test, som gemte sig imellem alt det andet i mit indlæg :

En sidste test som ikke kan foretages automatisk:
I dosbilledet skriver du:
telnet 130.57.4.27 80
og trykker enter. Hvis der er forbindelse får du nu et tomt skærmbillede op, og du taster nu bogstaverne
get
og trykker enter. (mens du taster kan du ikke se noget på skærmen, blot så du ved det)
Fløj der en masse tekst forbi ?

når jeg skriver telnet 130.57.4.27 80 skriver den
der kunne ikke oprettes forbindelse til værten, på port 80. forbindelsen blev ikke oprettet.

P.S tonnybrandt og ejvindh i skal nok få point begge, og 30 er for lidt

Ok, du skal lige prøve at højreklikke den webclient og vælge egenskaber. Sæt starttype til deaktiveret og klik anvend og ok og genstart.

Den kan godt drille åbenbart ud fra følgende info jeg fandt her:
http://www.michna.com/kb/WxNetwork.htm

Occasionally the WebClient service or the Background Intelligent Transfer Service gets in the way. Try to stop these services for a test. To stop the WebClient service for a test, right-click My Computer and select Manage, double-click Services and Applications, double-click Services, double-click on the WebClient service, click on the Stop button. If you want to disable it for good, change the startup type to Disabled. Finally click on OK.

Jeg skriver lige imens hvad jeg er kommet frem til ud fra de logs du har lagt.

så er den deaktiveret, det hjalp ikke på internet forbindelsen, jeg prøvede lige at starte den igen for at tjekke om den ville det, det ville den godt (inge internet), men jeg kunne ikke stoppe den igen.

Hvis man kigger på de forskellige logs, så er følgende helt normale:
ipconfig
route
ping til ipaddresse
Du har fint hul ud på internettet

Hvad der ikke virker er dnsopslag, både til din automatisk konfigurede dns-server, samt den dns server som jeg bruger. Jeg har testet alle dns-serverne og de svarer fint alle sammen.
Men det er ikke dnsopslag der egentligt er problemet, idet outputtet viser at den slet ikke kan kommunikere med dns serveren. Den får intet svar fra den. I de ouputs burde den have svaret at den ikke kunne finde ipaddressen eller ihvertfald have svaret et eller andet, men det gør den ikke.

Den sidste test som egentligt var den vigtigste, viser noget interessant, nemlig at TCP ikke virker.

En ping bruger denne protokol: icmp/ip
næsten alt andet bruger denne protokol: TCP/IP

Så konklusionen er at TCP delen ikke virker.

Jeg ville nok prøve at gå ind i egenskaber for netværk og fjerne alt herinde, netkort, protokoller det hele, og så genstarte og lade windows installere det igen og se om det hjalp på problemet.

ok prøver

jeg kan ikke få lov til at fjerne tcp/ip protokollen, der kan ikke trykkes på kanppen

http://www.supportweb.dk/support/vis_tip.asp?id=418

Bingo, prøv det. Jeg testede det lige på en xp, og der var ikke nogen problemer med det.

:-( :-(
det hjalp heller ikke.
den skrev at den slettede nogle auto configurationer, der var 3 entries i logen, hvormange var der i din da du kørte den.

Der var en del mere:

reset  SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\15\RegLocation
            old REG_MULTI_SZ =
                SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\?\DhcpDomain
                SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\DhcpDomain

added  SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{04435F08-D906-4B1F-B3AD-A4C1619D9C30}\NetbiosOptions
added  SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{3727C6F9-F489-4726-9514-11AE57E36DFB}\NetbiosOptions
deleted SYSTEM\CurrentControlSet\Services\Netbt\Parameters\EnableLmhosts
added  SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{847E79BC-3251-4474-8259-0DEBDBAC383A}\DisableDynamicUpdate
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{847E79BC-3251-4474-8259-0DEBDBAC383A}\IpAutoconfigurationAddress
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{847E79BC-3251-4474-8259-0DEBDBAC383A}\IpAutoconfigurationMask
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{847E79BC-3251-4474-8259-0DEBDBAC383A}\IpAutoconfigurationSeed
reset  SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{847E79BC-3251-4474-8259-0DEBDBAC383A}\RawIpAllowedProtocols
            old REG_MULTI_SZ =
                0

reset  SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{847E79BC-3251-4474-8259-0DEBDBAC383A}\TcpAllowedPorts
            old REG_MULTI_SZ =
                0

reset  SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{847E79BC-3251-4474-8259-0DEBDBAC383A}\UdpAllowedPorts
            old REG_MULTI_SZ =
                0

deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DontAddDefaultGatewayDefault
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableIcmpRedirect
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableSecurityFilters
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SearchList
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpWindowSize
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\UseDomainNameDevolution
reset  Linkage\UpperBind for ROOT\MS_NDISWANIP\0000.  bad value was:
            REG_MULTI_SZ =
                PSched

reset  Linkage\UpperBind for PCI\VEN_1022&DEV_2000&SUBSYS_20001022&REV_10\3&61AAA01&0&88.  bad value was:
            REG_MULTI_SZ =
                PSched

<completed>

ups jeg tog den forkerte fil, den ligner din.  :-(

Har du prøvet at slå firewall'en fra på din netværksforbindelse ?
Det gør du i egenskaber for forbindelsen, fanebladet avanceret, fjern krydset i "beskyt denne computer...". Genstart og se om det hjalp.

Hvis du har flere computere på netværket så start en af de andre computere op og sluk problem pc'en. Prøv så at pinge ipaddressen 192.168.1.37. Svarer den selvom pc'en er slukket ?

(Jeg er ved at være derude hvor der skydes med spredehagl, blot så du ved det)

det er rigtigt irreterende men jeg tror vi stopper her for jeg har ikke så meget tid længere.
igang med at reinstallere.

Men i skal have RIGTIG mange tak for den tid i har investeret i mit problem barn.
hvordan gør vi med point kan jeg sætte dem op og kan i dele dem, eller skal jeg oprette et nyt spørgsmål som i så kan få igennem...

Ok, det bestemer du selvfølgelig. Jeg må sige at jeg forstår dig godt. Jeg sidder faktisk ved en xp med et onboard netkort der ikke virker, og efter 3 timers fejlsøgning opgav jeg og satte et ekstra netkort i og alt spillede med det samme. Man skal sige stop engang imellem.

Mht point, tjaa nu er det ikke de mest pointhungrende folk, der er samlet i dette spørgsmål, så om du sætter point op eller ej er lidt ligegyldigt. Det var udfordringen der talte. Men ihvertfald mener jeg at det ville være retfærdigt at dele point ligeligt mellem levich, ejvindh og mig selv.

Her kommer så mit svar, og du skal så lige vente på at levich og ejvindh også lægger et svar.

Jeg er enig med Tonnybrandt. Når vi kommer herud i trådene, så er vi udover det med point. Jeg synes det var dejligt at du havde tålmodighed med "os" så længe. Mange havde reinstalleret for længe siden. Det lærer vi meget ved -- som måske kan bruges næste gang der er en der har et lignende problem. Og en skønne dag lykkes det måske med det her problem :-)

det syntes jeg også er fair, jeg har sat pointene op til 90 så det bliver 30 til hver det er da det mindste jeg kan gøre.

Jeg har et lille spørgsmål, jeg er flere gange stødt på folk der har skrevet at de er blevet oplært af spywarefri.dk til brug af hijackthis, er det noget man kan blive eller er det bare nogen der kender nogen ;-).
for med det antal spyware pc, kunne jeg da godt tænke mig at få et rigtigt kursus i brugen af div værktøjer.

Hilsen Jesper

ups en lille taste bøfer der skulle have stået:
for med det antal spyware pc jeg kommer i nærheden af, kunne jeg da godt tænke mig at få et rigtigt kursus i brugen af div værktøjer.

Det kan jeg da godt skrive en lille roman om.

Der er ingen der bliver oplært af Spywarefri.dk, bortset fra Spywarefri's egne medarbejdere/supportere. Og man kan ikke søge om at blive optaget i Spywarefri's rækker, men bliver håndplukket, altså inviteret. Du kommer rigtigt langt ved at følge med i log'ene på Spywarefri. Find en ny log som ikke er besvaret endnu og lav så din egen procedure. Sammenlign den så med den som supporteren lægger og se hvad han gør.
(Ejvindh Sorry, men jeg mener stadig det er Spywarefri han skal kigge på *G*)

Her er en generel giuide til programmet: http://www.spywareinfo.com/~merijn/htlogtutorial.html

takker det er næsten lige så godt.

Tonnybrandt: Det er i orden. :-) Nu har jeg i de sidste 2 tråde som jeg har hjulpet i, været nødt til at bede om hjælp fra en Spywarefri-hjælper. Så er jeg vel også nødt til at erkende, at I er dygtigere end flertallet :-)

Jeg går lidt og barsler med en artikel her på Eksperten, hvor jeg redegør for nogle af de værktøjer som jeg bruger i mit HJT-arbejde. Det er rigtigt at en sådan artikel aldrig vil kunne skabe en god HJT-logger. Det kræver stadig erfarings-faktoren. Men det vil kunne give nogle gode indgangsvinkler, så man hurtigere forstår hvad det er der ligger bag de ting man kan "aflure" fra de gode loggere. Nu må vi se om jeg engang tager mig sammen til at synes at den er klar til offentliggørelse.

jrr: Gider du melde tilbage med om det kommer til at virke efter geninstallationen?

ejvindh > Det lyder spændende. Den glæder jeg mig til at læse.

den virker fint på nettet nu.  :-)
Så mangler vi bare levich, til point.

er der nogen af jer der kender levich, det kan jo være at han ikke har fuldt med i det sidste, så han ikke er klar over at han skal lægge et svar....

hvid levich gerne vil have point skal han bare sende en besked så skal han nok få det, men i andre behøves ikke og vænte.....

Takker for point :)

Han har ikke været online i et stykke tid. Vi plejer at støde ind i ham i andre spørgsmål.

Takker for point :-)

Jeg har ikke fulgt med, korrekt.
Pointene - det gør ikke noget.