Søg
Avatar billede martin181 Nybegynder
16. august 2005 - 14:24 Der er 23 kommentarer og
1 løsning

hijackthis - log

Hejsa!

Jeg har fået en maskine ind, der gav lidt problemer...

Det er en maskine med windows 2000 professionel - så vidt jeg kan se har den service pack 4 på...

Jeg fik den ind fordi den var "mærkelig" og den kunne ikke komme på nettet... og den ville enormt gerne skifte til engelsk tastatur og location til united states hele tiden...

Jeg tog fat på den og fandt ud af at versionen af norton ikke var opdateret siden marts
- jeg forsøgte at opdatere, men det kunne jeg ikke
- så forsøgte jeg at afinstallere den og geninstallere - jeg kunne godt afinstallere, men ikke geninstallere
- så gav jeg mig til at kigge på hvilke processer, der kørte og jeg fandt frem til flg: crss.exe - som jeg fandt ud af var en orm...
- jeg gik på nettet på en anden maskine og søgte på "remove crss.exe" og fandt programmet "Solo Virus" - det fik jeg hentet - smidt over på en cd og ind på den anden maskine med det - det blev installeret og fant 16 vira, som jeg alle slettede.
- dernæst forsøgte jeg mig med geninstall af norton igen - men stadig uden held...
- og jeg kan stadig ikke komme på nettet...

så var det at jeg besluttede mig at hente hijakcthis - og her er min log-fil:

Logfile of HijackThis v1.99.1
Scan saved at 2:08:49 PM, on 8/16/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Mogens.MOGENSF\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 129.142.47.224 ntserver
O1 - Hosts: 129.142.47.207 DKPDI400
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoloSentry] C:\PROGRA~1\SRNMIC~1\SOLOSENT.EXE
O4 - HKLM\..\Run: [SoloSchedule] C:\PROGRA~1\SRNMIC~1\SOLOCFG.EXE
O4 - HKLM\..\Run: [SoloSysCheck] C:\PROGRA~1\SRNMIC~1\SYSCHECK.COM
O4 - HKLM\..\RunOnce: [SymantecCleanUp] C:\WINNT\TEMP\SymClnUp.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe


Jeg håber der er nogen der kan hjælpe mig med at komme videre...
Avatar billede martin181 Nybegynder
16. august 2005 - 15:06 #1
Jeg skylder måske lige at sige at jeg har sluttet den til i firmaet - her kører vi uden fast ip - og jeg har tjekket at den ikke har det...
Avatar billede ejvindh Ekspert
16. august 2005 - 16:32 #2
Download dette fix:
http://www.ctrlaltdel.dk/forum/uploads/FBJSWF/2005-03-13_200534_O15reset.zip

Udpak det, og dobbeltklik på O15reset.reg , og sig ja til at tilføje oplysningerne til registreringsdatabasen

Kør herefter HJT og fix følgende entries:

R3 - Default URLSearchHook is missing
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Disse er jeg lidt i tvivl om, men hvis ikke ip-nummeret siger dig noget, så fix også disse linier:
O1 - Hosts: 129.142.47.224 ntserver
O1 - Hosts: 129.142.47.207 DKPDI400

Genstart og se om det har hjulpet
Avatar billede martin181 Nybegynder
17. august 2005 - 09:24 #3
jeg får en fejl når jeg forsøger at køre fix'et - "Error accessing the registry" - både i normal og i fejlsikret tilstand...

Andre ideer?

Jeg prøver dog stadig lige at "fixe" de punkter du har nævnt...
Avatar billede martin181 Nybegynder
17. august 2005 - 09:37 #4
jeg fixede det du havde skrevet - nu kan jeg komme på nettet - og jeg er i fuld gang med at køre windows update, samt at få opdateret diverse spyware scannere...

Jeg kan dog stadig ikke installere Norton...
Avatar billede ejvindh Ekspert
17. august 2005 - 09:56 #5
Fik du også flettet O15-fixet ind i registry? Ellers kan du prøve at klikke Start-Kør og skrive regedit (klik OK). Så åbner et Stifinder-lignende vindue, hvor du klikker på krydset ud for Denne computer (venstre vindue).

Så højreklikker du på mappen HKEY_Local_Machine, vælger tilladelser, og sørger for at den bruger du er logget ind med har Fuld kontrol. Det samme gør du med HKEY_USERS. Herefter kan det være at du kan få lov at flette reg-filen.

Angående Norton-problemet, så er jeg ikke den store ekspert. Jeg ved at der kan være problemer med at få det afinstalleret ordentligt, og at dette efterfølgende kan give problemer i forhold til en geninstallation. Norton har selv skrevet om løsningsforslag her:
http://service1.symantec.com/SUPPORT/nav.nsf/docid/2001092114452606?Open&src=&docid=2004093015165236&nsf=tsgeninfo.nsf&view=docid&dtype=&prod=&ver=&osv=&osv_lvl=

Linket er primært til Nav2003, men der findes også info længere nede til de senere versioner.

Men du kan først prøve at afinstallere det, og så køre en registry-rensning inden du geninstallerer. En rigtig god renser finder du her (30 dages trial):
http://www.macecraft.com/downloads/

Endelig ville det være godt med en ny HJT-log, så jeg kan se, hvor meget der er blevet fixet :-)
Avatar billede ejvindh Ekspert
17. august 2005 - 09:58 #6
Og lige en ekstra ting: Det kunne måske være en god idé at køre et scan med en engangs-scanner. Den fanger tit mange ting, som de installerede scannere ikke får fat i:

Download og gem denne scanner på skrivebordet. http://www.spywareinfo.dk/download/mwav.exe
Genstart til fejlsikret tilstand. Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files. Klik på scan clean. Den vil selv fjerne de alvorlige ting. De mindre alvorlige ting informerer den blot om. Dem kan du evt. vælge at slette manuelt bagefter.
Avatar billede ejvindh Ekspert
17. august 2005 - 10:23 #7
Her er et link til et nyere Norton-remover-program:

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039?Open&src=&docid=2004093015165236&nsf=tsgeninfo.nsf&view=docid&dtype=&prod=&ver=&osv=&osv_lvl=
Avatar billede martin181 Nybegynder
17. august 2005 - 10:47 #8
Hej igen...

Jeg pr'vede dit forslag med O15-fixet, men jeg fik det ikke til at virke... maskinen har engelsk windows - og jeg kan ikke helt gennemskue hvad jeg skal g're (og, ja, jeg kan ikke f[ sl[et input locales og regon til danish... den smider ops;tningen, derfor ser det lidt sjovt ud [r jeg skriver...)
Jeg pr'vede ogs[ p[ at downloade de forskellige ting du foreslog - men jeg kan ikke f[ lov til dt nogen af stederne...

jeg har lige lavet en ny log:

Logfile of HijackThis v1.99.1
Scan saved at 10:35:57 AM, on 8/17/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\SRN Micro\SOLOSCAN.EXE
C:\PROGRA~1\SRNMIC~1\SOLOSENT.EXE
C:\PROGRA~1\SRNMIC~1\SOLOCFG.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\svchost.exe
C:\Documents and Settings\Mogens.MOGENSF\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 129.142.47.224 ntserver
O1 - Hosts: 129.142.47.207 DKPDI400
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoloSentry] C:\PROGRA~1\SRNMIC~1\SOLOSENT.EXE
O4 - HKLM\..\Run: [SoloSchedule] C:\PROGRA~1\SRNMIC~1\SOLOCFG.EXE
O4 - HKLM\..\Run: [SoloSysCheck] C:\PROGRA~1\SRNMIC~1\SYSCHECK.COM
O4 - HKLM\..\RunOnce: [SymantecCleanUp] C:\WINNT\TEMP\SymClnUp.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
Avatar billede martin181 Nybegynder
17. august 2005 - 10:54 #9
jeg har lige hentet programmerne på en anden maskine... så det er noget lokalt på den "syge" maskine, der driller....
Avatar billede martin181 Nybegynder
17. august 2005 - 12:38 #10
Jeg fik scannet med denne: http://www.spywareinfo.dk/download/mwav.exe - den fandt 8 vira og fjernede dem - jeg har genstartet - kørt "norton removal" - tools'ne - og prøvet at installere norton igen - det gik ikke - jeg kørte de sidste windows updates på - genstartede og prøvede igen- stadig ingen held...

Jeg fandt og downloade regclean - kørte det - genstartede og prøvede igen - stadig ingen held...

Jeg har, som beskrevet, snart forsøgt mig med mange ting - jeg er ved at nå til den konklusion (eller hvad man nu skal kalde det...) at registry er skrivebeskyttet... så nu skal jeg "bare" finde ud af at løse op for det... men jeg ved jo ikke præcist om det er det... men det er det jeg vil koncentrere min indsats omkring indtil der kommer nyt fra dig...

Jeg smider lige en ny hijackthis-log om et øjeblik...
Avatar billede martin181 Nybegynder
17. august 2005 - 13:33 #11
Min nye log ser s[ledesud:

Logfile of HijackThis v1.99.1
Scan saved at 1:24:21 PM, on 8/17/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\msiexec.exe
C:\Documents and Settings\Mogens.MOGENSF\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 129.142.47.224 ntserver
O1 - Hosts: 129.142.47.207 DKPDI400
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoloSentry] C:\PROGRA~1\SRNMIC~1\SOLOSENT.EXE
O4 - HKLM\..\Run: [SoloSchedule] C:\PROGRA~1\SRNMIC~1\SOLOCFG.EXE
O4 - HKLM\..\Run: [SoloSysCheck] C:\PROGRA~1\SRNMIC~1\SYSCHECK.COM
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
Avatar billede ejvindh Ekspert
17. august 2005 - 15:45 #12
Du har ret i, at problemet er, at din registrering er blevet skrivebeskyttet. Det er også typisk i sådanne tilfælde, at man ikke kan få lov til at ændre sprog på tastaturet. Jeg undersøger lige lidt nærmere på det. I mellemtiden kunne det være godt med følgende oplysninger:

(1) Disse linier er stadig i loggen -- er det fordi du har valgt ikke at fjerne dem?
O1 - Hosts: 129.142.47.224 ntserver
O1 - Hosts: 129.142.47.207 DKPDI400

(2) I Kommentar: ejvindh 17/08-2005 09:56:17 angav jeg en måde at fjerne skrivebeskyttelsen af registry, som du siger at du har fulgt, men "det gik ikke". Kan du sige mig på hvilket punkt, det gik galt?
Avatar billede martin181 Nybegynder
17. august 2005 - 15:48 #13
Hej igen...

(1) Disse entry's har jeg ladet være, da de peger på serverne her i firmaet, så man kan gå på dem hjemmefra - så de er blevet der...

(2) jeg kunne ikke helt få din forklaring oversat til engelsk... det var problemet...
Avatar billede ejvindh Ekspert
17. august 2005 - 16:01 #14
OK, jeg prøver at rette ind efter engelsk:
Klik på Start-Run og skriv regedit i det felt, der dukker op (klik OK). Så åbner et Stifinder-lignende vindue, hvor du klikker på krydset ud for My computer (venstre vindue).

Så højreklikker du på mappen HKEY_Local_Machine, vælger "Permissions". Du kan evt se nogle billeder her (de er dog med den danske tekst):
http://fromsej.dk/billeder/tillad1.JPG

I det vindue som dukker op, kan du markere forskellige brugere. Marker den bruger du er logget ind som. Så kan du se hvilke "permissions" du har. De skal sættes til "Full control" (tror jeg det hedder). Klik OK.

Herefter gør du det samme, ved at højreklikke på HKEY_USERS.

Så skulle det kunne lade sig gøre at flette reg-filen. Fix også følgende entry i HJT-loggen:
R3 - Default URLSearchHook is missing

Det burde så også være muligt at skifte sprog på dit tastatur....

Genstart og læg en ny HJT-log (med en melding om, hvorvidt det er lykkedes at flette reg-filen, og skifte sprog på tastaturet).
Avatar billede martin181 Nybegynder
18. august 2005 - 09:04 #15
jeg går staraks igang og giver en melding senere
Avatar billede martin181 Nybegynder
18. august 2005 - 09:24 #16
problemer:

N[r jeg [bner regedit / v;lger my computer / g[r under edit (som svarer til rediger) / s[ har jeg ingen permissions / jeg har kun:
- New
- Delete (dimmed)
- Rename (dimmed)
- Copy keyname
- Find
- Find next

Og alts[ ikke nogen permissions....

Jeg tror det er fordi jeg er p[ en 2000 prof maskine...

Tjekkede efter p[ min egen xp maskine, der har jeg den med...

Og jeg kan heller ikke fixe R3 i hijackthis... dvs... den kommer bare igen... men det h;nger sikkert sammen med det andet...

S[ jeg er [ben for gode forslag...
Avatar billede ejvindh Ekspert
18. august 2005 - 10:23 #17
Hmm. Jeg har fundet et par sider på nettet, der forklarer hvordan man sætter permissions på en Win2000 prof (jeg kører selv XP, og har ikke kunnet prøve det efter). Det er muligt du skal være logget ind som administrator for at kunne få lov til det.

http://www.emgsrus.com/faq5.htm

Og det kan også godt se ud til, at når du går ind i Start-Kør, skal du (i stedet for Regedit) skrive:
c:\winnt\system32\regedt32.exe
Avatar billede ejvindh Ekspert
18. august 2005 - 10:42 #18
Det er imidlertid vigtigt, at når du er logget ind som administrator, skal du også sørge for, at den bruger, som du normalt logger ind som, får tildelt fulde rettigheder. De registrerings-fixes som du skal lave (reg-filen og HJT-fixet) skal nemlig foretages imens du er logget ind med din normale bruger.
Avatar billede martin181 Nybegynder
18. august 2005 - 11:02 #19
hej igen...

Jeg fik prøvet dit forslag... og det virkede umiddelbart efter beskrivelsen på nettet...

Men bagefter var det som om at den "gik tilbage" til den gamle tilstand...

Og jeg var inde som administrator og gav min normale bruger rettighederne... ja, jeg gav dem faktisk til samtlige brugere på maskinen...

så lige nue er jeg lidt på bar bund igen...
Avatar billede ejvindh Ekspert
18. august 2005 - 11:31 #20
Jeg skal lige sikre mig: Du loggede ind som administrator, og tildelte alle brugere fuld adgang til følgende nøgler:

HKEY_Local_Machine
HKEY_USERS

Derefter genstartede du, og loggede ind som din normale bruger. Så gik du ind og kørte reg-filen, lavede HJT-fixet, og ændrede tastatur-indstillinger?

Det kunne lyde som om, at du i stedet for at tildele tilladelser til HKEY_USERS har tildelt tilladelser til HKEY_CURRENT_USER (måske fordi det er det, de taler om i eksemplet på linket). Det vil nemlig give problemer, når du logger på med en ny bruger. I så fald beklager jeg naturligvis uklarheden i min tidligere post...
Avatar billede martin181 Nybegynder
18. august 2005 - 11:37 #21
Hej igen...

For ligesom at lave et eller andet gjorde jeg flg...

Kørte mwav.exe igen...
Kørte spybot igen...
Kørte windows update igen...
Kørte solo antivirus igen...
Kørte regclean igen...
Forsøgte med registry security igen...
Genstartede...
Så var jeg væk fra maskinen et øjeblik...
En anden loggede ind som administrator i den tro at det var en server (jeg har sat den på vores server consol, så jeghar skærm osv)...
Og så var det hele pludselig rigtigt...
Dansk tastatur med æ,ø og å...
Dansk time-zone og lokation...
Så kunne jeg ikke dy mig for at prøve at køre den 015 fix fra den anden dag...
Den gik ind uden problemer...
Så fik jeg blod på tanden...
Kørte norton tolls igen...
Forsøgte at installere norton igen...
Nu lykkedes det...
jeg har efterfølgende installeret programmet spywareblaster efter anbefaling...

Og så lige en ny log for at sikre at det hele er rent - er det det, ja, så sletter jeg den gamle bruger og opretter en ny, så der ikke cykler noget gemt videre:

Logfile of HijackThis v1.99.1
Scan saved at 11:29:16, on 18-08-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\system32\msiexec.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Documents and Settings\Administrator\Desktop\hijackthis.exe

O1 - Hosts: 129.142.47.224 ntserver
O1 - Hosts: 129.142.47.207 DKPDI400
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
Avatar billede ejvindh Ekspert
18. august 2005 - 11:46 #22
Ja, denne log er ren. Problemet er bare, at den er taget fra en anden bruger (Administrator), end de andre logs jeg har set fra dig. Du har før været logget ind som brugeren "Mogens.MOGENSF", og det er her problemet ligger.

Men det bestyrker mig i, at der ikke er virus-problemer mere. Nu er det et opsætnings-problem, der skal fixes. Du vil sandsynligvis løse dit problem, ved at oprette en ny bruger, men du skal bare være opmærksom på, at det du har gemt i Dokuments and Settings for den gamle bruger kun kan accesses fra brugeren selv, eller en med administrator-rettigheder (du kan selvfølgelig bare kopiere det over).

Jeg er dog ret sikker på, at problemet kan løses for "Mogens.MOGENSF" også. Jvf. min tidligere post.
Avatar billede martin181 Nybegynder
18. august 2005 - 12:50 #23
Jeg tror jeg stopper med at arbejde på profilen Mogens og kopierer det over der skal bruges - og så sletter jeg den...

Mange, mange tak for din hjælp og din tid :-)

Du har virkelig fortjent pointene.
Avatar billede ejvindh Ekspert
18. august 2005 - 12:56 #24
Alt i orden. Jeg takker for pointene så :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
I går 12:23 Facebook Af hkv i Sociale medier
I går 11:38 JAVASCRIPT omdan ekstern variabel til søjleværdi .. Af snestrup2000 i Programmeringsværktøjer
I går 09:50 jeg mangler hjælp til opsætning af shop og Google ADS Af Hightech i Webhotel
I går 09:42 udstyr til udespa Af Hightech i Andet programmering
White papers
Flere white papers »