Notifikationer

Markér alle som læst Log ud

prom Nybegynder

29. marts 2005 - 14:17 Der er 19 kommentarer og
1 løsning

Syg maskine

Hei.

Her er en log fra min pc som er fuld af ting og sager:

Logfile of HijackThis v1.98.2
Scan saved at 14:06:35, on 29.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\nvpkmp.exe
C:\Programfiler\Internet Explorer\iexplore.exe
C:\Documents and Settings\xxx xxxxxx\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.nextra.no/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fra online ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programfiler\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKLM\..\Run: [csrss.exe] C:\WINDOWS\csrss.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programfiler\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programfiler\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Programfiler\Hewlett-Packard\hp color LaserJet 2550 Series\SetConfig.exe -c Direct -p DOT4_001 -pn "hp color LaserJet 2550 PCL 6" -n 1 -l 1044 -sl 120000
O4 - HKLM\..\Run: [HP Software Update] "C:\Programfiler\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [winhlp.exe] C:\WINDOWS\winhlp.exe
O4 - HKLM\..\Run: [hostren.exe] C:\WINDOWS\hostren.exe
O4 - HKLM\..\Run: [hostdll.exe] C:\WINDOWS\hostdll.exe
O4 - HKLM\..\Run: [Chwtwk] C:\Program Files\Uhhjy\Ifvyh.exe
O4 - HKLM\..\Run: [nsvcin] C:\WINDOWS\system32\n20050308.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [KavSvc] C:\WINDOWS\System32\nvpkmp.exe
O4 - HKLM\..\Run: [mscsvc.exe] C:\WINDOWS\mscsvc.exe
O4 - HKLM\..\Run: [windhost.exe] C:\WINDOWS\oswin32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SSP] SSPSupport.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\winsystems.exe
O4 - HKCU\..\Run: [sysformat] C:\WINDOWS\System32\sysformat.exe
O4 - HKCU\..\Run: [Orat] C:\Documents and Settings\xxx xxxxxx\Programdata\talh.exe
O4 - HKCU\..\Run: [Qjmvaq] C:\WINDOWS\System32\w?auclt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programfiler\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O16 - DPF: {11173A45-F465-11D1-BB8C-00104B4F376D} (Projectplace Plug-in) - https://projectplace.com/plugin/ppplugin.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

Nogen som kan hjælpe?

- prom

Synes godt om

screem_brille Novice

29. marts 2005 - 14:22 #1

hent denne og scan igen http://www.merijn.org/files/hijackthis.zip (det er en nyerer version af hijackthis)

Synes godt om

ejvindh Ekspert

29. marts 2005 - 14:29 #2

Screem_brille: Hvis du regner med at tage dig af denne log, så håber jeg du er opmærksom på problematikken ved at pille ved O10-entries (muligt tab af internet-forbindelse) :-)

Synes godt om

screem_brille Novice

29. marts 2005 - 14:33 #3

ja jeg har bemærket det, men http://www.cexx.org/lspfix.htm skulel kunne klare det ?

Synes godt om

ejvindh Ekspert

29. marts 2005 - 14:36 #4

Jeps. Den og winsock-fixet skal downloades inden der pilles. Den kan også bruges til at fixe disse entries. Se fx her:
http://www.spywarefri.dk/forum/topic.asp?whichpage=-1&TOPIC_ID=12087&REPLY_ID=87096

Synes godt om

prom Nybegynder

29. marts 2005 - 14:41 #5

Logfile of HijackThis v1.99.1
Scan saved at 14:38:03, on 29.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\nvpkmp.exe
C:\Programfiler\Internet Explorer\iexplore.exe
C:\Programfiler\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.nextra.no/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fra online ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programfiler\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKLM\..\Run: [csrss.exe] C:\WINDOWS\csrss.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programfiler\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programfiler\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Programfiler\Hewlett-Packard\hp color LaserJet 2550 Series\SetConfig.exe -c Direct -p DOT4_001 -pn "hp color LaserJet 2550 PCL 6" -n 1 -l 1044 -sl 120000
O4 - HKLM\..\Run: [HP Software Update] "C:\Programfiler\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [winhlp.exe] C:\WINDOWS\winhlp.exe
O4 - HKLM\..\Run: [hostren.exe] C:\WINDOWS\hostren.exe
O4 - HKLM\..\Run: [hostdll.exe] C:\WINDOWS\hostdll.exe
O4 - HKLM\..\Run: [Chwtwk] C:\Program Files\Uhhjy\Ifvyh.exe
O4 - HKLM\..\Run: [nsvcin] C:\WINDOWS\system32\n20050308.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [KavSvc] C:\WINDOWS\System32\nvpkmp.exe
O4 - HKLM\..\Run: [mscsvc.exe] C:\WINDOWS\mscsvc.exe
O4 - HKLM\..\Run: [windhost.exe] C:\WINDOWS\oswin32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SSP] SSPSupport.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\winsystems.exe
O4 - HKCU\..\Run: [sysformat] C:\WINDOWS\System32\sysformat.exe
O4 - HKCU\..\Run: [Orat] C:\Documents and Settings\xx xxxxxx\Programdata\talh.exe
O4 - HKCU\..\Run: [Qjmvaq] C:\WINDOWS\System32\w?auclt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programfiler\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O16 - DPF: {11173A45-F465-11D1-BB8C-00104B4F376D} (Projectplace Plug-in) - https://projectplace.com/plugin/ppplugin.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\lv2m09f1e.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

- prom

Synes godt om

screem_brille Novice

29. marts 2005 - 14:41 #6

hehe jeps det vil være en fodel at hente dem først, kommer til at tænke på en kammerat som for nogle år siden skulle montere et POTS modem for hans svigermor, kommer ud og sætter det til, kigger efter driveren til modemmet, ser i manualen at drveren henter man fra nettet... (så han måtte tilbage og lave en floppy disk med driveren *G*)

Synes godt om

prom Nybegynder

29. marts 2005 - 14:42 #7

Det skal lige siges at jeg kører Windows i "Sikker mode"

- prom

Synes godt om

screem_brille Novice

29. marts 2005 - 14:47 #8

Du skal også hente disse http://cexx.org/lspfix.zip og http://danborg.org/spy/Newnet/winsockxpfix.exe (er vigtige) samt denne http://www.spywareinfo.dk/download/mwav.exe
åben denne side og gem siden
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=12087&#87096
(er nememre end jeg skal skrive igen hvad der står)

Synes godt om

ejvindh Ekspert

29. marts 2005 - 14:50 #9

screem_brille: Det der går altså SLET ikke!! Der er da meget andet skidt i den her log, som slet ikke findes i den log du henviser til! (fx er der jo også en anden fil i O10-entrierne. Vil du have at brugeren skal fixe den også? Hvis ikke du gider gøre arbejdet ordentligt, så lad andre gøre det.

Synes godt om

screem_brille Novice

29. marts 2005 - 15:01 #10

ja jeg ved skam godt der er meget andet skidt i denne log, men ville have ordnet dette først, og så det andet bagefter.

Men ok.

Spørger disse skal slettes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [winhlp.exe] C:\WINDOWS\winhlp.exe
O4 - HKLM\..\Run: [hostren.exe] C:\WINDOWS\hostren.exe
O4 - HKLM\..\Run: [hostdll.exe] C:\WINDOWS\hostdll.exe
O4 - HKLM\..\Run: [Chwtwk] C:\Program Files\Uhhjy\Ifvyh.exe
O4 - HKLM\..\Run: [nsvcin] C:\WINDOWS\system32\n20050308.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [KavSvc] C:\WINDOWS\System32\nvpkmp.exe
O4 - HKLM\..\Run: [mscsvc.exe] C:\WINDOWS\mscsvc.exe
O4 - HKLM\..\Run: [windhost.exe] C:\WINDOWS\oswin32.exe
O4 - HKCU\..\Run: [SSP] SSPSupport.exe
O4 - HKCU\..\Run: [sysformat] C:\WINDOWS\System32\sysformat.exe
O4 - HKCU\..\Run: [Orat] C:\Documents and Settings\xx xxxxxx\Programdata\talh.exe
O4 - HKCU\..\Run: [Qjmvaq] C:\WINDOWS\System32\w?auclt.exe
C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O16 - DPF: {11173A45-F465-11D1-BB8C-00104B4F376D} (Projectplace Plug-in) - https://projectplace.com/plugin/ppplugin.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\lv2m09f1e.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe

Synes godt om

ejvindh Ekspert

29. marts 2005 - 15:06 #11

screem_brille: Hvorfor skal norman-antivirus afinstalleres?

prom: om et øjeblik lægger jeg en alternativ procedure. Det er lidt imod de uskrevne regler blandt HJT-loggere, men jeg synes du skal have et alternativ til dette. Hvis screem_brille bliver sur over det, så kan han tage pointene i den sidste ende.

Synes godt om

screem_brille Novice

29. marts 2005 - 15:09 #12

ejvind bliver skam ikke sur ;) er her for at hjælpe (eller ihvertfald prøve på det), så enhver hjælp som kan gøre mig klogere tager jeg da til mig ;)

Synes godt om

ejvindh Ekspert

29. marts 2005 - 15:18 #13

Screem_Brille: Jeg er glad for at du tager det sådan :-) Hvis du vil lære, så prøv evt. at læse denne artikel:
http://www.eksperten.dk/artikler/642

Prom:
Hent VX2finder her:
http://www.downloads.subratam.org/VX2Finder.exe
Gem det i en mappe på skrivebordet.

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere det endnu.
http://www.spywareinfo.dk/download/mwav.exe

Hent de her to programmer:
http://cexx.org/lspfix.htm - http://cexx.org/lspfix.zip
http://www.bleepingcomputer.com/forums/index.php?showtutorial=59 - Vejledning.
http://danborg.org/spy/Newnet/winsockxpfix.exe - Winsockfix.

Hvis du efter fixet ikke kan komme på nettet, skal du bruge de to programmer du hentede i starten (LSPfix/winsockfix)
Kør først LSPfix, sæt flueben i I know what I am doing, klik på finish, genstart så burde det virke.
Gør det ikke det, så prøv det andet program, klik først på Reg-backup, og gem en kopi af din regdatabase, når det er slut klik på Fix, når den er færdig genstart og så skulle du gerne kunne komme på nettet igen.

Kør først LSPfix, sæt flueben i I know what I am doing- flyt filerne aklsp.dll og dolsp.dll
- til det højre vindue, klik på finish.

Kør Vx2finder. Gå op i "version", og sørg for at der kommer flueben ved alle versioner (msg122-msg126)
Tryk på <Ctrl><Alt><Delete>, vælg fanebladet "processer", højreklik på Explorer.exe og vælg afslut proces. Så forsvinder skrivebordet.
Gå ind i VX2Finder.exe igen, og klik "Click to Find VX2.BetterInternet". Klik herefter på "Make Log", og læg den logfil som kommer frem herved herind. Inde i VX2finder igen: Marker alle filer i den nederste box, og klik herefter "Delete these files".

Genstart herefter computeren.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked.

R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKLM\..\Run: [csrss.exe] C:\WINDOWS\csrss.exe
O4 - HKLM\..\Run: [winhlp.exe] C:\WINDOWS\winhlp.exe
O4 - HKLM\..\Run: [hostren.exe] C:\WINDOWS\hostren.exe
O4 - HKLM\..\Run: [hostdll.exe] C:\WINDOWS\hostdll.exe
O4 - HKLM\..\Run: [Chwtwk] C:\Program Files\Uhhjy\Ifvyh.exe
O4 - HKLM\..\Run: [nsvcin] C:\WINDOWS\system32\n20050308.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [KavSvc] C:\WINDOWS\System32\nvpkmp.exe
O4 - HKLM\..\Run: [mscsvc.exe] C:\WINDOWS\mscsvc.exe
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\winsystems.exe
O4 - HKCU\..\Run: [sysformat] C:\WINDOWS\System32\sysformat.exe
O4 - HKCU\..\Run: [Orat] C:\Documents and Settings\xx xxxxxx\Programdata\talh.exe
O4 - HKCU\..\Run: [Qjmvaq] C:\WINDOWS\System32\w?auclt.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\lv2m09f1e.dll

Disse 2 er jeg i tvivl om (hvis du ikke kender dem, så fix dem med også).
O4 - HKLM\..\Run: [windhost.exe] C:\WINDOWS\oswin32.exe
O4 - HKCU\..\Run: [SSP] SSPSupport.exe

Genstart i fejlsikret (tryk på <F8> under opstarten), slet mapper og filer listet hernedenfor (nogle af dem er muligvis allerede blevet slettet af Hijackthis).

Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
-------------------
Mapper:
C:\Program Files\Uhhjy\
C:\WINDOWS\System32\wsxsvc\
C:\WINDOWS\isrvs\
-------------------
Filer:
C:\WINDOWS\System32\winshost.exe
C:\WINDOWS\csrss.exe
C:\WINDOWS\winhlp.exe
C:\WINDOWS\hostren.exe
C:\WINDOWS\hostdll.exe
C:\WINDOWS\system32\n20050308.exe
C:\WINDOWS\farmmext.exe
C:\WINDOWS\System32\nvpkmp.exe
C:\WINDOWS\mscsvc.exe
C:\WINDOWS\System32\winshost.exe
C:\WINDOWS\System32\winsystems.exe
C:\WINDOWS\System32\sysformat.exe
C:\Documents and Settings\xx xxxxxx\Programdata\talh.exe
C:\WINDOWS\System32\w?auclt.exe
c:\windows\system32\aklsp.dll
c:\windows\system32\dolsp.dll
C:\WINDOWS\system32\lv2m09f1e.dll

Hvis du ikke kender disse 2 filer, og vælger at fixe dem
C:\WINDOWS\oswin32.exe
SSPSupport.exe (jeg kender ikke mappenavnet, men søg vha stifinderen)

så omdøb dem til oswin32.bak
sspsupport.bak
---------------------------------------
Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan clean. Det kan godt tage lang tid (nogle timer), men den er også meget effektiv. Send en ny log (både fra Vx2-finder og HJT) ind til check.

Synes godt om

screem_brille Novice

29. marts 2005 - 15:22 #14

Ejvind ja da det er da for barnligt at blive sur over sådan noget, er ret sikker på du menr det i en god mening ;) og er da kun rart at få feedback man faktisk kan bruge til noget istedet for unavn givne karma (som jo derved er totalt værdiløse og ubrugelige), men kigger på den artikel ;)

Synes godt om

ejvindh Ekspert

11. april 2005 - 09:50 #15

prom: Hvordan går det med proceduren?

Synes godt om

ejvindh Ekspert

25. april 2005 - 10:24 #16

Fik du løst dit problem?

Synes godt om

prom Nybegynder

25. april 2005 - 16:43 #17

Nei men vi er blevet enige om at det nok alligevel var på tide med en formatering. Men ellers tak for venlig hjælp, hvis nogen vil have point for slidet så kast et svar.

- prom

Synes godt om

ejvindh Ekspert

25. april 2005 - 16:45 #18

Ærgeligt at det førte til en formatering, men jeg må indrømme at det også VAR en slem log. Men dog ikke umulig.

Du bestemmer selv om du vil give point, men her er i hvert fald et svar.

Synes godt om

prom Nybegynder

25. april 2005 - 16:54 #19

Tak for hjælpen.

- prom

Synes godt om

ejvindh Ekspert

25. april 2005 - 16:54 #20

Takker for point :-)

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed	5	17/03/202610:32	18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed	6	02/02/202614:54	03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed	4	13/01/202617:27	14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed	4	13/11/202515:09	14/11/202510:45
Google fake Af johp i Andet sikkerhed	3	27/10/202516:31	28/10/202506:52

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS

13:00

Podcasten Hard Fork giver et skarpt blik på ugens vigtigste tech-historier

11:58

Nørgaard: Læs skideballen fra en ukrainer til Rheinmetal - og derfor trender #MadeByHousewives

09:00

Læs hele Computerworlds løn-magasin: Så meget får danske it-folk i løn

02/04

Sådan kan du implementere ansvarlig AI i din organisation

01/04

Vi tester to udgaver af Denons Home-højttalere - og vi er ikke i tvivl om dommen

01/04

Som slagterlærling traf Rasmus et livsændrende valg: Nu er han udviklingschef i kæmpe energivirksomhed

01/04

Hård kritik efter tirsdagens stor-nedbrud: MitID er som en stor hullet ost og kan udvikle sig til en national katastrofe

01/04

OpenAI får kæmpemæssig kapitaltilførsel: Bliver værdisat til 5.500 milliarder kroner

01/04

Anthropic-medarbejder har ved et uheld lækket hele Claude Codes kildekode: 500.000 linier kode sluppet fri

01/04

Mørklægger årsag til tirsdagens timelange MitID-nedbrud: Vil intet fortælle af 'sikkerhedsmæssige årsager'

01/04

Hver fjerde forventer nul kroner i lønforhøjelse: It-testerne er blandt branchens mest pessimistiske for tredje år i træk

Vis flere artikler

IT-JOB

Capgemini Danmark A/S

SAP S/4HANA Business Controlling

SOS International

Ambitiøs Java-udvikler til agilt team for telefoniområdet i SOS

Unik System Design A/S

QA Engineer

Capgemini Danmark A/S

Cybersecurity Consultant - Identity and Access Management (IAM)

SOS International

Ambitiøse Java udviklere til agilt team der har fokus på kundeintegrationer

Vis flere jobs

Seneste spørgsmål Seneste aktivitet

31/0310:22	Makro der gemmer vedhæftet fil fra Msg og omdøber filen Af lokesa i Excel
30/0313:45	Kablet forbindelse mellem android telefon og windows 11 pc Af 1Dorte i Android
30/0312:04	Elementtype vises - og ikke billedet? Af hkprofil i Billedbehandling
29/0312:08	Problemer med replay af købte kursusvideoer Af annam i Browsere
28/0311:18	DENVER DVB-tMPEG-4 HD TUNER Af ole falsted i Fjernsyn & projektorer

White papers

Arctic Wolf Security Operations Report 2025: Indblik i moderne sikkerhedsdrift
Arctic Wolf
Arctic Wolf Threat Report 2026: Sådan ændrer ransomware-landskabet sig
Arctic Wolf
Undgå at printeren bliver svageste led i sikkerheden
Konica Minolta
Erfaringer fra frontlinjen: Sådan ændrer trusselsbilledet sig
Arctic Wolf

Flere white papers »