Søg
Avatar billede micca Nybegynder
15. juni 2005 - 21:13 Der er 12 kommentarer og
1 løsning

Hijack log

Noget snavs i denne log?

Logfile of HijackThis v1.99.1
Scan saved at 21:11:09, on 15-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmer\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmer\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSM32.EXE
C:\Programmer\Microsoft IntelliType Pro\type32.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programmer\Spyware Programmer\SpywareGuard\sgmain.exe
C:\Programmer\Vg\Vg.exe
C:\Programmer\Spyware Programmer\SpywareGuard\sgbhp.exe
C:\PROGRA~1\WEBSPE~1\backweb\7791805\Program\SERVIC~1.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\backweb\7791805\Program\fspex.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\fsgk32st.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\FSGK32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\backweb\7791805\program\fsbwsys.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\fssm32.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSMA32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSMB32.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FCH32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FAMEH32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\fsav32.exe
C:\Programmer\WebSpeed Sikkerhedspakke\FWES\Program\fsdfwd.exe
C:\Programmer\WebSpeed Sikkerhedspakke\FSGUI\fsguiexe.exe
C:\Programmer\Canon\MultiPASS4\MPDBMgr.exe
C:\Documents and Settings\Michael\Skrivebord\Sikkerhed\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\Spyware Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programmer\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmer\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmer\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmer\WebSpeed Sikkerhedspakke\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [type32] "C:\Programmer\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programmer\WebSpeed Sikkerhedspakke\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programmer\WebSpeed Sikkerhedspakke\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FLLESF~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmer\Fælles filer\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmer\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [NBJ] "C:\Programmer\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: SpywareGuard.lnk = C:\Programmer\Spyware Programmer\SpywareGuard\sgmain.exe
O4 - Startup: VirtuaGirl.lnk = C:\Programmer\Vg\Vg.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - www.baser.dk/support/plugins/ebraryRdr.cab" target="_blank">http://80-site.ebrary.com.www.baser.dk/support/plugins/ebraryRdr.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102451442701
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} - http://www.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: TDC Kabel TV Sikkerhedspakke (BackWeb Client - 7791805) - Unknown owner - C:\PROGRA~1\WEBSPE~1\backweb\7791805\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programmer\WebSpeed Sikkerhedspakke\backweb\7791805\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmer\WebSpeed Sikkerhedspakke\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSMA32.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MpService - Canon Inc. - C:\Programmer\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

pfh tak
Michael
Avatar billede micca Nybegynder
15. juni 2005 - 21:13 #1
eller noget overflødigt???
Avatar billede majsmarken Nybegynder
15. juni 2005 - 21:24 #2
En hurtig:

O4 - Startup: VirtuaGirl.lnk = C:\Programmer\Vg\Vg.exe !!! Skal SLETTES HELT!!!

Oprydning:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
Avatar billede levich Nybegynder
15. juni 2005 - 23:05 #3
Den her skal vist også fixes: O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
Ifølge: http://www.sysinfo.org/startuplist.php?filter=CTHELPER.EXE
Avatar billede kalp Novice
15. juni 2005 - 23:06 #4
overflødigt.. så kig hellere i msconfig..

tryk start->kør og skriv "msconfig" i fanen start fjerner du flueben i alt unødvendigt.
Avatar billede levich Nybegynder
16. juni 2005 - 09:43 #5
Vedr. CTHELPER.EXE:
Jeg citerer lige fra mit link: "Added by the RBOT-XB WORM! Note - do not confuse with the Creative application of the same name".
Micca -> Den skal fjernes.

********************************

Bare lige i tilfælde af, at du ikke ved hvordan, så er her en vejledning:

Læs alle punkterne inden du gør noget.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe, og gem den i mappen c:\xyz.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
O4 - Startup: VirtuaGirl.lnk = C:\Programmer\Vg\Vg.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

Åbn en tilfældig mappe, i menuen klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil:
CTHELPER.EXE
... og følgende mappe:
C:\Programmer\Vg\

(4)
Start -> programmer -> tilbehør -> systemværktøjer -> diskoprydning -> Slet Temporary internet files, papirkurv og midlertidige filer.

(5)
Kør scanneren mwav.exe, og sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files.
Tryk på Scan Clean
Scanningen kan godt tage et par timer.

(6)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(7)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.
Avatar billede kalp Novice
16. juni 2005 - 09:52 #6
fra en anden log (hvor den ikke fikses)
O4 - HKLM..Run: [CTHelper] CTHELPER.EXE

fra denne log (hvor den skal fikses??)
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

synes de ligner hinanden for meget og kan ikke se hvordan du vurdere det er snavs... selv ud fra det link du angiver.

mit råd er...

upload filen til
http://www.kaspersky.com/scanforvirus
og se hvad den siger til den..
Avatar billede majsmarken Nybegynder
18. juni 2005 - 15:23 #7
Status ???
PS: pt. modtager vi ikke automatisk E-mail fra Eksperten - derfor noget forsinket feedback...
Avatar billede levich Nybegynder
28. juni 2005 - 10:39 #8
hvordan går det?
Avatar billede micca Nybegynder
28. juni 2005 - 12:01 #9
Jeg er på ferie i øjeblikket... Kigger på det med det samme jeg kommer hjem :-)

Tak for jeres hjælp indtil videre.. ps. hvad siger levich til kalp's kommentar???
Avatar billede levich Nybegynder
05. juli 2005 - 08:20 #10
Jeg var lidt for hurtig. Følg kalp kommentar 16/06-2005 09:52:29.
NB: Den skal sikkert ikke fjernes.
Avatar billede levich Nybegynder
27. juli 2005 - 11:15 #11
micca -> kom du nogensinde videre?
Avatar billede micca Nybegynder
15. september 2005 - 16:37 #12
Undskyyld den lange ventetid... Er ikke kommet igang, men har lige postet et nyt spørgsmål, da der er sket nogle hardware ændringer... Læg endelig svar og jeg fordeler pointene..
Avatar billede levich Nybegynder
15. september 2005 - 19:23 #13
svar
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 10:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
29/0419:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
29/0412:23 Facebook Af hkv i Sociale medier
29/0411:38 JAVASCRIPT omdan ekstern variabel til søjleværdi .. Af snestrup2000 i Programmeringsværktøjer
29/0409:50 jeg mangler hjælp til opsætning af shop og Google ADS Af Hightech i Webhotel
White papers
Flere white papers »