Checke en Hijack log?

Logfile of HijackThis v1.99.1
Scan saved at 20:36:24, on 22-03-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eqxqgpy.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\switpb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Rasborg\Dokumenter\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [oUkJKaf] C:\WINDOWS\eqxqgpy.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitehzn32.exe
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpb.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmer\Sygate\SPF\smc.exe

Her er den så..
Er der samtidig nogen der kan fortælle mig hvordan jeg kan lærer mere om at klarer virus? Sådan at jeg selv kan checke en sådan log?

Kigger :)

Super tak.

... iøvrigt vil jeg altid anbefale at have SP2 på et "passende" andet medie og INSTALL den FØR FØR FØR nogen som helst førstgangs adgang til det farlige internet.
Når det er så gået godt og efter en genstart eller to - først DA tilslut internettet og gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet.

Det ka' gå meget hurtigt med virus og andet 'snavs' på en ubesyttet putter - Ref.:
http://1klik.dk/news_1klik/nyhed_32992.html

PS: SP2 indeholder allerede elementer fra SP1 - så du behøver ikke at lægge SP1 ind først og derefter SP2.

Majsmarken du er en skat. Jeg har lavet en service cd med alle programmerne fra spywarefri.dk og SP 1&2

majsmarken overtag lige - der er lige noget jeg skal ordne først.

Jeg gir et skud - plejer nogle gang at lave det for mig selv og så sammenligne med andre eksperter...

Genstart i fejlsikret tilstand.. sæt fluben ud for disse linjer i hijackthis og click på fix checked.

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitehzn32.exe
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpb.exe
O4 - HKLM\..\Run: [oUkJKaf] C:\WINDOWS\eqxqgpy.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Er dette noget DU har lagt ind med vilje:
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe

Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
-------------------
Filer:
C:\windows\system32\elitehzn32.exe
C:\WINDOWS\switpb.exe
C:\WINDOWS\eqxqgpy.exe

C:\WINDOWS\System32\hwclock.exe

Genstart og en ny log...

(HAR denne putter da været på 'nettet' et par minutter - UDEN at være SP1/2 opdateret ?)

Iøvrigt til sidst:

Download og gem denne scanner:
http://www.spywareinfo.dk/download/mwav.exe

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan clean. Det kan godt tage lang tid (nogle timer), men den er også meget effektiv.

http://www.spywarefri.dk/hijackthis.man.htm

[Titel: Gennemgang af HijackThis]
http://www.riversen.dk/?side=instruktion.php

[HiJackThis Log - At læse/læse/forstå om HiJackThis + diverse scan]
http://www.eksperten.dk/spm/525665

Ja den har været på nettet uden at Sp2 har været opdateret..

majsmarken - min redning-  har du tid lidt endnu???

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\System32\run.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HiJackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Jacob\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Jacob\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {C46E026E-A658-45B7-A495-24EEE18CE91F} - C:\WINDOWS\System32\nloi.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitesae32.exe
O4 - HKLM\..\Run: [runs] run.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Jacob\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunServices: [runs] run.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [runs] run.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111435472812
O18 - Filter: text/html - {B92125F5-7619-4C14-B563-EA8E0F2C155E} - C:\WINDOWS\System32\nloi.dll
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

DET ER DA IKKE SAMME PC ???

Hvis det er en anden PC bør du nok oprette det i et selvstændigt spm. for ikke at blande sammen.

Jeg vil se en NY log fra Ref.: 22/03-2005 20:37:00 pc'en ...

Hovsa - <kobse> er jo en helt ny person i denne tråd ?
Opret dit eget spm. for at ikke blande sammen!!!

Det er en ny LOG fra <namnam> jeg vil ha' ...

hov! jeg har sgu smidt en procedure i dit gamle spørgsmål namnam.. nåh men så vil jeg da lade den blive renset her istedet hehe

Mey Majs. Jeg har formateret igen og taget nettet ud af min computer installeret sp2 kørt dens opdateringer og installeret antivirus. ligesom du sagde. ;)

Tak for hjælpen..

Kobse hvorfor skal du have point her?

<namnam> Dvs. nu er du (=PC'en) glad - foreløbig ?

Happy Safe Surfing ...

Jeg er superglad og min pc ligeså.. Så bare den bliver holdt opdateret så vil midt humør holde.. Vil du ikke have nogle point majs?

ping...

Lidt generelt læsning:
http://www.eksperten.dk/artikler/459
http://fromsej.dk/html/avoid.html

... her hos mig (med en TDC 512 forbindelse) - hvis jeg tar' en jomfrulig XP uden M$ opdateringer/firewall og sætter direkte til nettet går der ET MINUT (OK - også oplevet en times tid) og så dukker Sasser/Blaster virus og meget mere op. Og dette UDEN at have opstartet InternetExplorer eller noget som helst andet.
Er - som test - afprøvet med en DK / US / Tysk XP version flere gange!!!

Men smider jeg SP2 på FØRST kommer der ikke noget af ovennævnte...

Good Surfing...