HiJackThis log

Skulle måske lige nævne at vedkommende siger at den "melder fejl" hele tiden og skal genstartes.
Har en masse logfiler den har smidt på skrivebordet.

(hs_err_pid1464.log osv.)

Tog lige et hurtigt kig.. du skal i hvertfald afinstallere C:\Programmer\ErrorGuard\

der er mere.. to sek

Kender den ikke, hvad er det?
(det er ikke min maskine)

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Download Ewido (Trial version) (Installer, Opdater, men vent med at scanne til jeg siger til)
http://shop.element5.com/product.html?productid=531168

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

Afinstaller eller slet dette program manuelt.

C:\Programmer\ErrorGuard\

Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelt tjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

O4 - HKLM\..\Run: [ErrorGuard] C:\Programmer\ErrorGuard\ErrorGuard.Exe
O4 - Startup: DLHelperEXE.exe
O16 - DPF: {42040532-2221-4EF7-8F16-9779AB7AAA98} (GainPluginCtrl Class) - http://download.gainpublishing.com/dashbar/gainplugin1103_dbsetup.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (WebHandler Class) - http://activex.microgaming.com/DLhelper/version6/dlhelper.cab

Højreklik på windows start knappen (helt nede i venstre hjørne af din skærm) og vælge "Stifinder", klik på Funktioner->Mappeindstillinger->Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter denne fil og slet den:

DLHelperEXE.exe

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Scan med Ewido nu!

Genstart normalt og kopir en ny hijackthis log herind så jeg kan se om vi fik fjernet det hele eller om noget skulle være blevet overset:)

Takker, jeg prøver. Vender tilbage.

Jeg går ud fra at jeg skal scanne med Escan før Ewido.
Eller hvad?

præcis

Damn den er lang tid om at scanne. (det er jo også en AMD)
Har foreløbig fundet 3 vira siger den.

Her var den så:

Logfile of HijackThis v1.99.1
Scan saved at 16:41:02, on 15-09-2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Office keyboard utility\1.1\nhksrv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmer\Browser MOUSE\mouse32a.exe
C:\Programmer\Office keyboard utility\1.1\OFFICEKB.exe
C:\Programmer\ZyDAS Technology Corporation\ZyDAS Wireless LAN\ZDConfig.EXE
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmer\Office keyboard utility\1.1\MMKEYB.EXE
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\PrecisionTime\PrecisionTime.exe
C:\Programmer\Office keyboard utility\1.1\TrayMon.exe
C:\Programmer\Office keyboard utility\1.1\osd.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Administrator\Skrivebord\HijackThis.exe
C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmer\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [FLMOFFICEKEYBOARD] C:\Programmer\Office keyboard utility\1.1\OFFICEKB.exe
O4 - HKLM\..\Run: [ZDConfig] "C:\Programmer\ZyDAS Technology Corporation\ZyDAS Wireless LAN\ZDConfig.EXE"
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programmer\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmer\Office keyboard utility\1.1\nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

Under C:\winnt ligger der flere filer uden navn eller type. Bare en firkant.
De indeholder noget i denne stil alle sammen:
[.Device.DevParms]
19=BACKGROUND_STATUS_MSG_LINE1_PART1,179,0,4,2,0x010102250101
20=BACKGROUND_STATUS_MSG_LINE2_PART1,180,0,4,2,0x010102250201
57=BACKGROUND_STATUS_MSG_LINE1_PART1,179,0,4,2,0x010102250101
58=BACKGROUND_STATUS_MSG_LINE2_PART1,180,0,4,2,0x010102250201

Hvad er det?

Jeg har opdaget at man ikke kan benytte Tilføj/Fjern programmer.
Begge knapper er inaktive. Øverst i boksen står der: Der er ikke installeret nogle programmer på computeren"
Men scroller man ned er de der alle sammen. De kan bare ikke afinstalleres.

Hæver lige point, det er vist en større opgave end først antaget.

Mht det sidste problem, så gem teksten mellem de stiplede linier som en tekstfil med navnet rep.bat. Når du har gjort det dobbeltklikker du filen og genstarter:

------------
regsvr32 /u c:\windows\system32\appwiz.cpl
regsvr32 /u c:\windows\system32\mshtml.dll
regsvr32 /u "C:\Programmer\Fælles filer\System\Ole DB\oledb32.dll"
regsvr32 c:\windows\system32\appwiz.cpl
regsvr32 c:\windows\system32\mshtml.dll
regsvr32 "C:\Programmer\Fælles filer\System\Ole DB\oledb32.dll"
pause
------------

Takker
Skal til skydning nu, men jeg går videre med det senere og gi´r en tilbagemelding.

Venter på tilbage meldning:) Hvis jeg er smuttet igen så kan TonnyBrandt sagtens hjælpe dig videre:) (vil jeg da tro:))

Glemte at nævne at det er w2k.
Rettede linierne til.
Men 2 af dem gik ikke.
mshtml.dll failed
oledb32.dll failed

Ok, mshtml.dll skulle bare være med stort.
oledb32.dll findes slet ikke.

Hjalp det noget på problemet ?

Vi bruger en batchfil noget lignende den jeg har lavet ude på arbejdet når vi ser den fejl, men jeg har ikke lige adgang til det drev lige nu, så jeg kan ikke være sikker på at den er helt magen til. Men jeg skal checke imorgen.

Mht loggen skal du fixe denne linie:

O4 - Global Startup: PrecisionTime.lnk = C:\Programmer\PrecisionTime\PrecisionTime.exe

Genstart

Åbn så en stifinder og slet denne mappe:
C:\Programmer\PrecisionTime\

Mht filerne, fandt jeg en hollandsk side der beskrev lignende filer, men ud fra det jeg kunne udlede fandt de heller ikke ud af hvad det var for noget. Blot slet dem og se om de kommer igen.

Ok, jeg prøver. Vender tilbage i morgen.

Foreløbig tak.

Disse filer: hs_err_pid1464.log  ..
Er java exceptions, så du skal prøve at opdatere java til den nyeste version:
http://www.java.com/en/download/manual.jsp

Jeg har ikke oplevet at den er gået ned endnu. Men jeg kan stadig ikke bruge "Tilføj/Fjern programmer"
Prøver lige en win rep.

Synes stadig den virker "underlig" på en måde. Men den har dog kørt uden at lukke i utide.
Og "tilføj fjern" virker igen.

Jeg tror den skal dræbes helt hvis den skal blive go´ igen.
Og nu tror jeg hun har mulighed for at få brændt noget backup.

Jeg takker for hjælpen. tonnybrandt skal også lige smide et svar inden jeg lukker.

Velbekomme og her er mit svar *s*

Takker for point :)

Jeg opdagede at jeg da havde glemt at kigge efter hvad der var i den batch-fil vi bruger på arbejdet til at fixe problemer med tilføj/fjern programmer. Så for en god ordens skyld må jeg hellere lige lægge indholdet af filen herind:

regsvr32 %systemroot%\System32\Appwiz.cpl
regsvr32 %systemroot%\System32\Mshtml.dll
regsvr32 %systemroot%\System32\Jscript.dll
regsvr32 %systemroot%\System32\Msi.dll
regsvr32 "%ProgramFiles%\Common Files\System\Ole DB\Oledb32.dll"
regsvr32 "%ProgramFiles%\Common Files\System\Ado\Msado15.dll"
regsvr32 %systemroot%\System32\Mshtmled.dll

Jeg takker igen.  ;)