CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede sardinen Nybegynder
23. april 2005 - 13:47 Der er 12 kommentarer og
1 løsning

Jeg har fået en backdoor-virus - hjælp

Hej venner.
Jeg har fået en eller anden virus, som mit program ikke vil/kan fjerne. Jeg har også prøvet med mwav, men den vil kun fjerne den, hvis jeg køber programmet.
Her er en ´hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 13:44:37, on 23-04-2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMER\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMER\VERISIGN\NAVI\NAVIAGENT.EXE
C:\PROGRAMMER\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMER\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMER\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMMER\AD MUNCHER\ADMUNCH.EXE
C:\PROGRAMMER\SUPPORT.COM\BIN\TGCMD.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMER\WINAMP\WINAMPA.EXE
C:\PROGRAMMER\PEERGUARDIAN PR14\PEERGUARDIAN_1.99B_PR14.EXE
C:\PROGRAMMER\VERISIGN\NAVI\NAVICLIENT.EXE
C:\PROGRAMMER\RAMCLEANER\RAMCLEANER.EXE
C:\PROGRAMMER\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAMMER\SPYWAREGUARD\SGBHP.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMER\MSN MESSENGER\MSNMSGR.EXE
D:\DOKUMENTER\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eksperten.dk/bruger.phtml?navn=lucky-luke&option=karma
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by CyberCity Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMMER\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMMER\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAMMER\SPYWAREGUARD\DLPROTECT.DLL
O2 - BHO: Control Popups in Internet Explorer - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\PROGRAMMER\POPUPPOPPER\POPLIB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [navi] "C:\Programmer\VeriSign\NAVI\naviagent.exe" uimode=agentupdate
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [Ad Muncher] C:\PROGRAMMER\AD MUNCHER\AdMunch.exe /bt
O4 - HKLM\..\Run: [hcenter] "C:\Programmer\Support.com\bin\tgcmd.exe" /server /startmonitor
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMMER\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [PeerGuardian] C:\PROGRAMMER\PEERGUARDIAN PR14\PEERGUARDIAN_1.99B_PR14.exe
O4 - HKCU\..\Run: [RamCleaner] C:\PROGRAMMER\RAMCLEANER\RAMCLEANER.EXE
O4 - HKCU\..\RunServices: [PeerGuardian] C:\PROGRAMMER\PEERGUARDIAN PR14\PEERGUARDIAN_1.99B_PR14.exe
O4 - HKCU\..\RunServices: [RamCleaner] C:\PROGRAMMER\RAMCLEANER\RAMCLEANER.EXE
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Free WebSite Tools.lnk = C:\Programmer\CoffeeCup Software\CoffeeCup Free FTP\ThirtyDayTimer.exe
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMMER\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O9 - Extra 'Tools' menuitem: i-Nav Indstillinger - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMMER\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O9 - Extra button: PopupPopper Kontrol Panel - {3E94F358-9537-4BBA-8D12-D7F8A0136973} - C:\Programmer\PopupPopper\SiteList.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by17fd.bay17.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

Hilsen Sardinen
Avatar billede kalp Novice
23. april 2005 - 13:48 #1
ser på den
Avatar billede sardinen Nybegynder
23. april 2005 - 13:50 #2
takker :-)
Avatar billede kalp Novice
23. april 2005 - 13:51 #3
åben

c:\windows\Prefetch\

slet alt der har med mwav at gøre herinde.

hent denne version af mwav og så kan du slette:)
http://www.spywareinfo.dk/download/mwav.exe

scan i fejlsikret tilstand.

grunden til du ikke kan fjerne er fordi du har haft købe versionen installeret.. sletter du det i prefetch virker det igen.
Avatar billede kalp Novice
23. april 2005 - 13:52 #4
forresten så er loggen ren.. så det bliver nød til at være via. mwav:)
Avatar billede sardinen Nybegynder
23. april 2005 - 13:55 #5
Jeg kan ikke finde nogen mappe under c:\windows\ der hedder Prefetch\
Avatar billede kalp Novice
23. april 2005 - 13:55 #6
måske er det en skjult mappe

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Avatar billede kalp Novice
23. april 2005 - 13:57 #7
sorry! du er winme bruger:o)
Avatar billede kalp Novice
23. april 2005 - 13:59 #8
hmm.. jeg ved ikke hvad winme gør af sådan filer:/ du må prøve at slette alle temp filer osv. ellers må vi se om du kan fjerne den online http://housecall.trendmicro.com/housecall/start_corp.asp

jeg ved ikke hvad winme gør af filerne hvis ikke de ligger i temp mappen:(
Avatar billede sardinen Nybegynder
23. april 2005 - 14:00 #9
OK - jeg prøver housecall :-)
Men kan jeg installere den mwav oven i den, jeg lige har brugt?
Avatar billede kalp Novice
23. april 2005 - 14:02 #10
hvis den du lige har brugt ikke er fra samme link som (samme version) som min så skal du slette alle spor fra den.. for du så har du  fået fat i den forkerte version:) den fra mit link fjerner det gratis. er der spor af den du har haft installeret vil den dog bede om at du køber programmet. I windows xp kan man slette disse spor via. filer der bliver gemt i mappen prefech. Jeg troede lige din maskine havde xp:)
Avatar billede sardinen Nybegynder
23. april 2005 - 14:23 #11
Hej kalp. Jeg søgte på mwav og slettede alt der kom op omkring det. Gamle logs osv. Håber det er ok. Jeg er ved nu at trække housecall ned, og så prøver jeg den. :-) Og hvis det ikke lykkedes vil jeg prøve mwav igen.
Avatar billede sardinen Nybegynder
23. april 2005 - 18:05 #12
Hej Kalp. Ja, så lykkedes det at komme af med den efter adskillige skanninger. den forsvandt pludselig. Prøvede housecall, fandt ingenting, prøvede mwav igen, fandt ingenting, prøvede min egen avg, meldte virus, prøvede at scanne i fejlsikret tilstand, fandt ingenting, og nu i almindelig tilstand, finder ingenting. Mystisk. Men det vigtigste er, at der formentlig ikke er noget mere. Jeg takker for hjælpen :-)
Avatar billede kalp Novice
23. april 2005 - 20:30 #13
selv tak:) og fint med at søge på mwav filerne!
og ellers angående mwav så fortæller den typisk hvilken fil det drejer sig som.. så kan man let gå ind at nuppe den hvis ikke det er en systemfil:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Google ser ud til at være malware, lyder advarsel på alle vore mobiler! Af vbr i Virus 9 30/10/202312:12 15/12/202310:17
Jeg får en fejl på Enhedssikkerhed Af pouls i Virus 8 04/06/202321:28 05/06/202316:28
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
IT-JOB
Seneste spørgsmål Seneste aktivitet
51 min siden HIKvision Harddisk og kameraer kan ikke findes på nyt Fibernet Af Computerwolrd! i Wifi
I dag 13:46 Træk dato og måned ud af celle Af Klaus W i Excel
I dag 00:07 USB styret telæ Af Olsen i Småopgaver
I går 22:04 nyt rtx 4060 vil bare ikke starte op? men 2060 nul problemer? Af ferretsdk i PC
I går 18:09 Problem med at oprette nyt tekst dokument. Af valby i Windows
White papers
Flere white papers »


Premium
Teaser billede
Socialdemokratiet vil give massiv offentlig støtte til europæiske AI-virksomheder
Læs mere »
Interne mails afslører: Derfor besluttede Microsoft at investere milliarder i OpenAI i 2019
Jakob Høholdt fratræder som CEO for Sentia: Indsætter ny topchef fra Aeven
Åbner for en af Danmarks største it-konsulentaftaler til 2,3 milliarder kroner
Se alle »
Computerworld
Teaser billede
Apotekskæde lukker alle butikker efter "cybersikkerhedshændelse"
Læs mere »
Hypet browser bliver nu lanceret til Windows: Skal blive til et styresystem for internettet
Test: Disse små højttalere til 44.000 kroner per sæt vil blæse dig bagover - både visuelt og lydmæssigt
Prøvekørt: Sydkoreansk familie-kolos har plads til alle og sætter alle på plads
Se alle »
CIO
Teaser billede
Top-CIO Anne Nørklit færdig hos Tryg: “Jeg vil bruge sommeren på at overveje, hvad fremtiden skal bringe”
Læs mere »
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Her er Trygs nye CIO - afløser Anne Nørklit Lønborg
Køber 25.000 Copilot-licenser af Microsoft i kæmpe-aftale - vil investere milliarder i AI
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Se alle »
White paper
Teaser billede
Sådan høster du forretningsfordelene ved Internet of Things
Læs mere »
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Guide: Sådan udvikler du en moderne netværksstrategi
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »