netddesrv.exe

Hent http://www.spychecker.com/program/hijackthis.html.
Kør HijackThis, klik på scan, kopier loggens tekst og smidt den herind.

Så skal jeg lave en vejledning til dig.

det vil jeg så gøre

Logfile of HijackThis v1.99.0
Scan saved at 17:04:50, on 23-09-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MSxUP32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\etb\pokapoka68.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\netddesrv.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kaj\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmer\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [OWS Setup CmdLine] "C:\Programmer\Fælles filer\Microsoft Shared\Web Server Extensions\40\bin\cfgwiz.exe" /pkg  "Office 2000 Server Extensions"
O4 - HKLM\..\Run: [elos] C:\WINDOWS\elos.exe
O4 - HKLM\..\Run: [Microsoft Core Support] MSxUP32.exe
O4 - HKLM\..\Run: [Microsoft DLL Verifier] chkfile.exe
O4 - HKLM\..\Run: [:C=e] C:\WINDOWS\elos.exe
O4 - HKLM\..\Run: [3s5o7l5o] C:\WINDOWS\System32\3s5o7l5o.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [System service68] C:\WINDOWS\etb\pokapoka68.exe
O4 - HKLM\..\RunServices: [Microsoft Core Support] MSxUP32.exe
O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] chkfile.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NetDDE Server - Unknown - C:\WINDOWS\System32\netddesrv.exe
O23 - Service: Office Server Extensions Notification Service - Unknown - C:\Programmer\Microsoft Office\Office\OWSTIMER.EXE

Du har fået fat i den forkerte version af hijackthis. Det burde være den rigtige i øvenstående link, men du kan jo prøve det her link: http://www.tomcoyote.org/hjt/

Du skal have fat i version 1.99.1, og lave en log med den.

Det skal ske

Logfile of HijackThis v1.99.1
Scan saved at 17:18:58, on 23-09-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\MSSQL7\binn\sqlservr.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\MSSQL7\binn\sqlagent.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\elos.exe
C:\WINDOWS\System32\MSxUP32.exe
C:\WINDOWS\System32\chkfile.exe
C:\WINDOWS\System32\3s5o7l5o.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\etb\pokapoka68.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Lexmark X1100 Series\lxbkbmon.exe
C:\Programmer\Microsoft Office\Office\1030\msoffice.exe
C:\Programmer\Internet Explorer\iexplore.exe
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmer\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [OWS Setup CmdLine] "C:\Programmer\Fælles filer\Microsoft Shared\Web Server Extensions\40\bin\cfgwiz.exe" /pkg  "Office 2000 Server Extensions"
O4 - HKLM\..\Run: [elos] C:\WINDOWS\elos.exe
O4 - HKLM\..\Run: [Microsoft Core Support] MSxUP32.exe
O4 - HKLM\..\Run: [Microsoft DLL Verifier] chkfile.exe
O4 - HKLM\..\Run: [:C=e] C:\WINDOWS\elos.exe
O4 - HKLM\..\Run: [3s5o7l5o] C:\WINDOWS\System32\3s5o7l5o.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [System service68] C:\WINDOWS\etb\pokapoka68.exe
O4 - HKLM\..\RunServices: [Microsoft Core Support] MSxUP32.exe
O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] chkfile.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Office Server Extensions Notification Service (OWSTimer) - Unknown owner - C:\Programmer\Microsoft Office\Office\OWSTIMER.EXE

Det skal lige siges at jeg har fjernet netddesrv.exe, men er der mere som ikke er iorden ?

Hvad er mmov den logger på nettet hver gang jeg starter min pc'er

levich >>  updates (bl.a.sp2)  ;o)

Har sp2 liggende men mangler at installere/opdatere

Har været væk fra PC'en. Ser på det nu.

OKAY...

Læs alle punkterne inden du gør noget.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [elos] C:\WINDOWS\elos.exe
O4 - HKLM\..\Run: [Microsoft Core Support] MSxUP32.exe
O4 - HKLM\..\Run: [Microsoft DLL Verifier] chkfile.exe
O4 - HKLM\..\Run: [:C=e] C:\WINDOWS\elos.exe
O4 - HKLM\..\Run: [3s5o7l5o] C:\WINDOWS\System32\3s5o7l5o.exe
O4 - HKLM\..\Run: [System service68] C:\WINDOWS\etb\pokapoka68.exe
O4 - HKLM\..\RunServices: [Microsoft Core Support] MSxUP32.exe
O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] chkfile.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com

(4)
Åbn en tilfældig mappe, i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil(er):
C:\WINDOWS\elos.exe
MSxUP32.exe
chkfile.exe
C:\WINDOWS\System32\3s5o7l5o.exe
C:\WINDOWS\etb\pokapoka68.exe
C:\WINDOWS\web\related.htm

(5)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(6)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage nogen tid.

(7)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(8)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

Jeg går igang med det samme...

... det er det der sker når der IKKE er nogen ServicePack (den omtalte SP2 pakke) på... virkelig meget 'snavs'... et 'skole'-eksempel hvordan der kan (læs:vil) gå...

Du må først lægge SP2 på når din putter er erklæret REN (<levich>) ...

Iorden

Ja ja, jeg kommer til det med SP2 bagefter. Jeg skal nok huske det :-))))

Jeg er nu igang med at scanne, så det går nok lidt tid med det

Skal du bruge virus loggen ?

Nej, jeg skal bare bruge en ny hijackthis-log.

Logfile of HijackThis v1.99.1
Scan saved at 20:53:00, on 23-09-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\MSSQL7\binn\sqlservr.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\MSSQL7\binn\sqlagent.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Lexmark X1100 Series\lxbkbmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Lexmark X1100 Series\lxbkbmon.exe
C:\Programmer\Microsoft Office\Office\1030\msoffice.exe
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmer\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [OWS Setup CmdLine] "C:\Programmer\Fælles filer\Microsoft Shared\Web Server Extensions\40\bin\cfgwiz.exe" /pkg  "Office 2000 Server Extensions"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Office Server Extensions Notification Service (OWSTimer) - Unknown owner - C:\Programmer\Microsoft Office\Office\OWSTIMER.EXE

Så er det i vinkel. Du har en utroligt kort hijackthis-log, hvilket er rigtig godt, da det betyder at du har en alt andet en lige hurtigere computer. Når du har aktiveret systemgendannelse, vil jeg foreslå at du installerer SP2 til Windows xp, for at beskytte windows bedre.

Det lyder godt jeg er nu en glad dreng, og du skal have mange tak for din hjælp
Jeg installere SP2 med det samme.

Rigtig god weekend
Lauris

laurids >>  husk at give levich sine velfortjente point  (hop helt ned til venstre -> marker levich's navn og tryk så på accepter)

og nu kan jeg heller ikke stave til lauris  :o(