Søg
Avatar billede wyxz Nybegynder
30. september 2005 - 05:24 Der er 22 kommentarer og
1 løsning

Oprydning på maskinen

Godmorgen Eksperter.
Jeg er i den heldiige situation at jeg har fået lov at rydde op på en af mine venners bærbare computer. Jeg har kørt en masse af de obligatiriske værktøjer, og der er forsvundet rigtigt meget, af både den ene og den anden art af snavs. Men der et tydeligt at det hele ikke er kommet med. Så Her er det at i kommer ind. Så kig da lige på denne log, og se hvad vi kan gøre ved det.

Mvh Lars E


Logfile of HijackThis v1.99.1
Scan saved at 05:19:38, on 30-09-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\HIJACK\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gjnmzidautfizvlbrtuc.com/owrIJjA9z0sCuMZq54ptVE1FAcGgugkOIn0KEKvcAk0.cgi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LINK PROXY LIVE BIB] C:\Documents and Settings\All Users\Application Data\dvd media link proxy\Stupid Bat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [COPY LIES] C:\DOCUME~1\BIRGIT~1\APPLIC~1\PLUSMA~1\Software 64.exe
O4 - Startup: emptemp2.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emptemp2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
Avatar billede wyxz Nybegynder
30. september 2005 - 05:29 #1
Jeg skylder nok lige at sige at jeg er på arbejde det mest af dagen, så klokken bliver nok omkring 15 inden jeg er hjemme igen.

Mvh Lars E
Avatar billede tonnybrandt Nybegynder
30. september 2005 - 07:37 #2
Der er ikke meget snavs i loggen. Kun lop, som vi lige skal have lidt flere oplysninger om:

Hent denne lille fil:
http://www.fbeej.ctrlaltdel.dk/Programmer/fl.zip
Pak fl.zip ud og dobbeltklik på fl.bat - Notesblok åbner en lille tekstfil du skal kopiere herind i dit næste indlæg.
Avatar billede wyxz Nybegynder
30. september 2005 - 14:30 #3
Den kommer her

Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Administrator\Application Data

11-10-2002  04:49    <DIR>          Adobe
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
              0 fil(er)                0 byte
              3 mappe(r)  8.418.967.552 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\All Users\Application Data

30-10-2002  05:22    <DIR>          CyberLink
29-09-2005  23:39    <DIR>          dvd media link proxy
03-10-2004  18:34    <DIR>          MSN6
11-07-2005  10:40    <DIR>          Skype
02-08-2004  19:03    <DIR>          Spybot - Search & Destroy
29-09-2005  23:20    <DIR>          Symantec
              0 fil(er)                0 byte
              6 mappe(r)  8.418.963.456 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Birgit Lundberg\Application Data

11-10-2002  04:49    <DIR>          Adobe
03-05-2004  20:05    <DIR>          Help
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
30-09-2005  04:47    <DIR>          Lavasoft
01-05-2004  17:19    <DIR>          Macromedia
28-02-2005  00:56    <DIR>          Microsoft Web Folders
20-12-2004  16:56    <DIR>          MSN6
29-09-2005  23:41    <DIR>          Plus mags
29-09-2005  23:41    <DIR>          send multi
29-09-2005  23:28    <DIR>          Symantec
29-09-2005  20:19    <DIR>          Webroot
              0 fil(er)                0 byte
              12 mappe(r)  8.418.963.456 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Default User\Application Data

22-04-2004  19:41    <DIR>          .
22-04-2004  19:41    <DIR>          ..
10-10-2002  19:39                62 desktop.ini
              1 fil(er)              62 byte
              2 mappe(r)  8.418.963.456 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\LocalService\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\NetworkService\Application Data
Avatar billede wyxz Nybegynder
30. september 2005 - 14:40 #4
Kan lige tilføje at der er en "searchbar" i Explorer og der popper stadigt reklamer frem på skærmen. Skulle gerne af med begge ting...
Searchbaren er ikke at finde i "tilføj og fjern programmer".
Avatar billede tonnybrandt Nybegynder
30. september 2005 - 15:01 #5
Genstart pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gjnmzidautfizvlbrtuc.com/owrIJjA9z0sCuMZq54ptVE1FAcGgugkOIn0KEKvcAk0.cgi
O4 - HKLM\..\Run: [LINK PROXY LIVE BIB] C:\Documents and Settings\All Users\Application Data\dvd media link proxy\Stupid Bat.exe
O4 - HKCU\..\Run: [COPY LIES] C:\DOCUME~1\BIRGIT~1\APPLIC~1\PLUSMA~1\Software 64.exe

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
-------------------
Mapper:
C:\Documents and Settings\All Users\Application Data\dvd media link proxy
C:\Documents and Settings\Birgit Lundberg\Application Data\Plus mags

Filer:
<ingen>

Genstart normalt

Hent dette program:

http://www.ctrlaltdel.dk/Programmer/fjernlop.zip

Pak programmet ud i sin egen mappe. I mappen skal der være jt.exe samt fjernlop.bat

Dobbeltklik fjernlop.bat. Kopier indholdet af tekstfilen herind sammen med en ny log fra HiJackThis.
Avatar billede wyxz Nybegynder
30. september 2005 - 15:17 #6
Jeg kan ikke se den første linje du skriver jeg skal fixe, og heller ej den sidste.
Jeg har ikke gjort noget endnu, men sender dig en Hijackthislog fra fejlsikret tilstand sådu kan se hvad jeg ser her... her kommer den...

Logfile of HijackThis v1.99.1
Scan saved at 15:12:00, on 30-09-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\HIJACK\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LINK PROXY LIVE BIB] C:\Documents and Settings\All Users\Application Data\dvd media link proxy\Stupid Bat.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
Avatar billede tonnybrandt Nybegynder
30. september 2005 - 16:14 #7
Grunden til at du ikke kan se de linier jeg nævner er at du vist er logget ind som administrator. Du skal være logget ind som Birgit Lundberg for at du kan se alle linierne.
Avatar billede wyxz Nybegynder
30. september 2005 - 17:12 #8
Her kommer opgave 1

[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'A1DB131A9184920A.job'
[TRACE] Printing all job properties

  ApplicationName:    'c:\docume~1\birgit~1\applic~1\plusma~1\Close Itch Once.exe'
  Parameters:        ''
  WorkingDirectory:  ''
  Comment:            ''
  Creator:            'Birgit Lundberg'
  Priority:          NORMAL
  MaxRunTime:        259200000 (3d  0:00:00)
  IdleWait:          10
  IdleDeadline:      60
  MostRecentRun:      09/29/2005 23:00:00
  NextRun:            09/30/2005 18:00:00
  StartError:        0x80070002
  ExitCode:          0xc0000142
  Status:            SCHED_S_TASK_READY
  ScheduledWorkItem Flags:
    DeleteWhenDone          = 0
    Suspend                = 0
    StartOnlyIfIdle        = 0
    KillOnIdleEnd          = 0
    RestartOnIdleResume    = 0
    DontStartIfOnBatteries  = 0
    KillIfGoingOnBatteries  = 0
    RunOnlyIfLoggedOn      = 1
    SystemRequired          = 0
    Hidden                  = 1
  TaskFlags:          0

  1 Trigger

  Trigger 0:
    Type:            Daily
    DaysInterval:    1
    StartDate:      02/15/2000
    EndDate:        00/00/0000
    StartTime:      00:00
    MinutesDuration: 1440
    MinutesInterval: 60
    Flags:
      HasEndDate      = 0
      KillAtDuration  = 0
      Disabled        = 0


[TRACE] Activating job 'AE1C38D79187A983.job'
[TRACE] Printing all job properties

  ApplicationName:    'c:\docume~1\marian~1\applic~1\plusma~1\Close Itch Once.exe'
  Parameters:        ''
  WorkingDirectory:  ''
  Comment:            ''
  Creator:            'Marianne Lundberg'
  Priority:          NORMAL
  MaxRunTime:        259200000 (3d  0:00:00)
  IdleWait:          10
  IdleDeadline:      60
  MostRecentRun:      09/27/2005 18:00:00
  NextRun:            09/30/2005 18:00:00
  StartError:        S_OK
  ExitCode:          0
  Status:            SCHED_S_TASK_READY
  ScheduledWorkItem Flags:
    DeleteWhenDone          = 0
    Suspend                = 0
    StartOnlyIfIdle        = 0
    KillOnIdleEnd          = 0
    RestartOnIdleResume    = 0
    DontStartIfOnBatteries  = 0
    KillIfGoingOnBatteries  = 0
    RunOnlyIfLoggedOn      = 1
    SystemRequired          = 0
    Hidden                  = 1
  TaskFlags:          0

  1 Trigger

  Trigger 0:
    Type:            Daily
    DaysInterval:    1
    StartDate:      06/10/1995
    EndDate:        00/00/0000
    StartTime:      00:00
    MinutesDuration: 1440
    MinutesInterval: 60
    Flags:
      HasEndDate      = 0
      KillAtDuration  = 0
      Disabled        = 0


Og opgave 2

Logfile of HijackThis v1.99.1
Scan saved at 17:12:29, on 30-09-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\HIJACK\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: emptemp2.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emptemp2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
Avatar billede tonnybrandt Nybegynder
30. september 2005 - 18:21 #9
Det ser fint ud. Nu skal vi bare sørge for at det ikke kommer igen ...

Højreklik fjernlop.bat som du udpakkede og vælg rediger.

Erstat hele teksten i filen med teksten under den stiplede linie. Luk filen, sig ja til at gemme.

Genstart i fejlsikret tilstand.

Dobbeltklik fjernlop.bat. (luk blot notesblok, da programmet skal køres endnu en gang i normal tilstand)

Genstart i normal tilstand og dobbeltklik igen fjernlop.bat. Kopier logfilen herind.


--------------------------------------------
@echo off

jt /sd A1DB131A9184920A.job
jt /sd AE1C38D79187A983.job
if exist c:\findlop.txt del c:\findlop.txt
jt /se p >>c:\findlop.txt
Echo Check 1 >>c:\findlop.txt
notepad.exe c:\findlop.txt
Avatar billede wyxz Nybegynder
01. oktober 2005 - 18:39 #10
Så er her liv igen. Skulle lige ha et kurses overstået

Dette er er indholdet af logfilen fra fjernlop.

[TRACE] Enumerating jobs and queues
Check 1

Er dette i øvrigt et "stunt" jeg bare kan lave på andre maskiner??
Avatar billede tonnybrandt Nybegynder
01. oktober 2005 - 19:20 #11
Takker for point :)

Det ser helt fint ud.

Ja, det kan du godt. Det kræver ikke den lille ingeniør eksamen at genkende lop og udføre teknikken mht fl.zip og fjernlop.zip. Men du kan jo komme ud for noget du ikke kender og som skal fjernes på en anden måde. Det er derfor en god ide at få en hijackthis log gennemgået enten her på eksperten eller på Spywarefri.
Avatar billede wyxz Nybegynder
01. oktober 2005 - 19:57 #12
Hmm Der er stadigt noget galt.
Der er 2 profiler på maskinen. Var lige inde på den "anden" og kigge, og der var der en searchbar. Kørte spysweeper, og den fandt lidt af hvert.

Kig lige på denne log

Logfile of HijackThis v1.99.1
Scan saved at 19:58:08, on 01-10-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\HIJACK\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gjnmzidautfizvlbrtuc.com/owrIJjA9z0sCuMZq54ptVE1FAcGgugkOIn0KEKvcAk0.cgi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5972560D-E68E-5806-2641-750B3BC56AD3} - C:\DOCUME~1\MARIAN~1\APPLIC~1\SENDMU~1\SAFERDR.exe (file missing)
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: emptemp2.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emptemp2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
Avatar billede wyxz Nybegynder
01. oktober 2005 - 20:01 #13
Log fra FL.BAT

Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Administrator\Application Data

11-10-2002  04:49    <DIR>          Adobe
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
              0 fil(er)                0 byte
              3 mappe(r)  8.385.855.488 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\All Users\Application Data

30-10-2002  05:22    <DIR>          CyberLink
01-10-2005  19:21    <DIR>          dvd media link proxy
03-10-2004  18:34    <DIR>          MSN6
11-07-2005  10:40    <DIR>          Skype
02-08-2004  19:03    <DIR>          Spybot - Search & Destroy
29-09-2005  23:20    <DIR>          Symantec
              0 fil(er)                0 byte
              6 mappe(r)  8.385.851.392 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Birgit Lundberg\Application Data

11-10-2002  04:49    <DIR>          Adobe
03-05-2004  20:05    <DIR>          Help
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
30-09-2005  04:47    <DIR>          Lavasoft
01-05-2004  17:19    <DIR>          Macromedia
28-02-2005  00:56    <DIR>          Microsoft Web Folders
20-12-2004  16:56    <DIR>          MSN6
29-09-2005  23:41    <DIR>          send multi
29-09-2005  23:28    <DIR>          Symantec
29-09-2005  20:19    <DIR>          Webroot
              0 fil(er)                0 byte
              11 mappe(r)  8.385.851.392 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Default User\Application Data

22-04-2004  19:41    <DIR>          .
22-04-2004  19:41    <DIR>          ..
10-10-2002  19:39                62 desktop.ini
              1 fil(er)              62 byte
              2 mappe(r)  8.385.851.392 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\LocalService\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\NetworkService\Application Data
Avatar billede wyxz Nybegynder
01. oktober 2005 - 20:22 #14
Jeg er gået i gang forfra med det hele. Kan se noget af det er dukket op igen..

Har har du loggen fra fjernlop.bat og en log fra hijackthis igen bagefter

Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Administrator\Application Data

11-10-2002  04:49    <DIR>          Adobe
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
              0 fil(er)                0 byte
              3 mappe(r)  8.386.633.728 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\All Users\Application Data

30-10-2002  05:22    <DIR>          CyberLink
03-10-2004  18:34    <DIR>          MSN6
11-07-2005  10:40    <DIR>          Skype
02-08-2004  19:03    <DIR>          Spybot - Search & Destroy
29-09-2005  23:20    <DIR>          Symantec
              0 fil(er)                0 byte
              5 mappe(r)  8.386.629.632 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Birgit Lundberg\Application Data

11-10-2002  04:49    <DIR>          Adobe
03-05-2004  20:05    <DIR>          Help
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
30-09-2005  04:47    <DIR>          Lavasoft
01-05-2004  17:19    <DIR>          Macromedia
28-02-2005  00:56    <DIR>          Microsoft Web Folders
20-12-2004  16:56    <DIR>          MSN6
29-09-2005  23:41    <DIR>          send multi
29-09-2005  23:28    <DIR>          Symantec
29-09-2005  20:19    <DIR>          Webroot
              0 fil(er)                0 byte
              11 mappe(r)  8.386.629.632 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Default User\Application Data

22-04-2004  19:41    <DIR>          .
22-04-2004  19:41    <DIR>          ..
10-10-2002  19:39                62 desktop.ini
              1 fil(er)              62 byte
              2 mappe(r)  8.386.629.632 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\LocalService\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\NetworkService\Application Data



Logfile of HijackThis v1.99.1
Scan saved at 20:23:25, on 01-10-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\HIJACK\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5972560D-E68E-5806-2641-750B3BC56AD3} - C:\DOCUME~1\MARIAN~1\APPLIC~1\SENDMU~1\SAFERDR.exe (file missing)
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: emptemp2.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emptemp2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
Avatar billede tonnybrandt Nybegynder
01. oktober 2005 - 20:30 #15
Genstart pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gjnmzidautfizvlbrtuc.com/owrIJjA9z0sCuMZq54ptVE1FAcGgugkOIn0KEKvcAk0.cgi
O2 - BHO: (no name) - {5972560D-E68E-5806-2641-750B3BC56AD3} - C:\DOCUME~1\MARIAN~1\APPLIC~1\SENDMU~1\SAFERDR.exe (file missing)

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
-------------------
Mapper:
C:\Documents and Settings\Birgit Lundberg\Application Data\send multi
C:\Documents and Settings\<Marian??>\Application Data\send multi
C:\Documents and Settings\All Users\Application Data\dvd media link proxy

Filer:
<ingen>

Genstart normalt og kom med en ny log fra HiJackThis. Læg også en ny log fra fl samt findlop. Alle logs skal køres mens du er logget ind som brugeren, hvis navn starter med marian.

Der lader desværre til at være en fejl i fl.zip, idet der i HiJackThis loggen er nævnt en bruger, hvis navn starter med marian.. , men denne brugers profil kan ikke ses i outputtet fra fl.zip.
Avatar billede wyxz Nybegynder
01. oktober 2005 - 20:43 #16
Jeg Kan ikke logge ind Som Marianne i fejlsikret tilstand
Jeg kan kun vælge Birgith eller administrator. Prøvede som administrator, men kan se på Hijackthisloggen at det ikke stemmer overens.....

Kan se i brugerkonti at begge profiler er administratorkonti´s
Jeg kan evt slette den konto der hedder Marianne. Vil det hjælpe??
Avatar billede tonnybrandt Nybegynder
01. oktober 2005 - 20:53 #17
Så gør dette istedet:

I normal tilstand fixer du tingene i Hijackthis.

Når du genstarter i fejlsikret tilstand kan du så logge ind som enten administrator eller Birgit.

Det vigtigste er at få slettet de mapper jeg har listet.

Gå så i normal tilstand igen og kom med de 3 logs.
Avatar billede wyxz Nybegynder
01. oktober 2005 - 21:19 #18
Loggen fra fjernlop. bat

[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'ACB0650791881DF3.job'
[TRACE] Printing all job properties

  ApplicationName:    'c:\docume~1\marian~1\applic~1\plusma~1\Close Itch Once.exe'
  Parameters:        ''
  WorkingDirectory:  ''
  Comment:            ''
  Creator:            'Marianne Lundberg'
  Priority:          NORMAL
  MaxRunTime:        259200000 (3d  0:00:00)
  IdleWait:          10
  IdleDeadline:      60
  MostRecentRun:      00/00/0000  0:00:00
  NextRun:            10/01/2005 22:00:00
  StartError:        0x80070002
  ExitCode:          0
  Status:            SCHED_S_TASK_HAS_NOT_RUN
  ScheduledWorkItem Flags:
    DeleteWhenDone          = 0
    Suspend                = 0
    StartOnlyIfIdle        = 0
    KillOnIdleEnd          = 0
    RestartOnIdleResume    = 0
    DontStartIfOnBatteries  = 0
    KillIfGoingOnBatteries  = 0
    RunOnlyIfLoggedOn      = 1
    SystemRequired          = 0
    Hidden                  = 1
  TaskFlags:          0

  1 Trigger

  Trigger 0:
    Type:            Daily
    DaysInterval:    1
    StartDate:      02/26/2000
    EndDate:        00/00/0000
    StartTime:      00:00
    MinutesDuration: 1440
    MinutesInterval: 60
    Flags:
      HasEndDate      = 0
      KillAtDuration  = 0
      Disabled        = 0


Check 1



Loggen fra fl.bat

Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Administrator\Application Data

11-10-2002  04:49    <DIR>          Adobe
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
              0 fil(er)                0 byte
              3 mappe(r)  8.385.081.344 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\All Users\Application Data

30-10-2002  05:22    <DIR>          CyberLink
03-10-2004  18:34    <DIR>          MSN6
11-07-2005  10:40    <DIR>          Skype
02-08-2004  19:03    <DIR>          Spybot - Search & Destroy
29-09-2005  23:20    <DIR>          Symantec
              0 fil(er)                0 byte
              5 mappe(r)  8.385.077.248 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Birgit Lundberg\Application Data

11-10-2002  04:49    <DIR>          Adobe
03-05-2004  20:05    <DIR>          Help
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
30-09-2005  04:47    <DIR>          Lavasoft
01-05-2004  17:19    <DIR>          Macromedia
28-02-2005  00:56    <DIR>          Microsoft Web Folders
20-12-2004  16:56    <DIR>          MSN6
29-09-2005  23:28    <DIR>          Symantec
29-09-2005  20:19    <DIR>          Webroot
              0 fil(er)                0 byte
              10 mappe(r)  8.385.077.248 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Marianne Lundberg\Application Data

11-10-2002  04:49    <DIR>          Adobe
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
21-05-2004  12:17    <DIR>          Macromedia
19-08-2005  13:16    <DIR>          MSN6
01-10-2005  20:33    <DIR>          Plus mags
01-10-2005  19:21    <DIR>          Webroot
              0 fil(er)                0 byte
              7 mappe(r)  8.385.077.248 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Default User\Application Data

22-04-2004  19:41    <DIR>          .
22-04-2004  19:41    <DIR>          ..
10-10-2002  19:39                62 desktop.ini
              1 fil(er)              62 byte
              2 mappe(r)  8.385.077.248 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\LocalService\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\NetworkService\Application Data

Og her kommer Hijackthisloggen

Logfile of HijackThis v1.99.1
Scan saved at 21:15:01, on 01-10-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HIJACK\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
Avatar billede tonnybrandt Nybegynder
01. oktober 2005 - 22:54 #19
Så tror jeg vi er ved at være der.

Højreklik fjernlop.bat som du udpakkede og vælg rediger.

Erstat hele teksten i filen med teksten under den stiplede linie. Luk filen, sig ja til at gemme.

Genstart i fejlsikret tilstand. (Det er ligegyldigt hvilken bruger du logger ind som)

Dobbeltklik fjernlop.bat. (luk blot notesblok, da programmet skal køres endnu en gang i normal tilstand)

Genstart i normal tilstand, (log ind som Marianne) og dobbeltklik igen fjernlop.bat. Kopier logfilen herind. Jeg vil også gerne se en log fra fl.bat


--------------------------------------------
@echo off

rd /s /q "C:\Documents and Settings\Marianne Lundberg\Application Data\Plus mags"
jt /sd ACB0650791881DF3.job
if exist c:\findlop.txt del c:\findlop.txt
jt /se p >>c:\findlop.txt
Echo Check 2 >>c:\findlop.txt
notepad.exe c:\findlop.txt
Avatar billede wyxz Nybegynder
01. oktober 2005 - 23:31 #20
fjernlop.bat

[TRACE] Enumerating jobs and queues
Check 2


fl.bat

Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Administrator\Application Data

11-10-2002  04:49    <DIR>          Adobe
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
              0 fil(er)                0 byte
              3 mappe(r)  8.297.127.936 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\All Users\Application Data

30-10-2002  05:22    <DIR>          CyberLink
03-10-2004  18:34    <DIR>          MSN6
11-07-2005  10:40    <DIR>          Skype
02-08-2004  19:03    <DIR>          Spybot - Search & Destroy
29-09-2005  23:20    <DIR>          Symantec
              0 fil(er)                0 byte
              5 mappe(r)  8.297.123.840 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Birgit Lundberg\Application Data

11-10-2002  04:49    <DIR>          Adobe
03-05-2004  20:05    <DIR>          Help
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
30-09-2005  04:47    <DIR>          Lavasoft
01-05-2004  17:19    <DIR>          Macromedia
28-02-2005  00:56    <DIR>          Microsoft Web Folders
20-12-2004  16:56    <DIR>          MSN6
29-09-2005  23:28    <DIR>          Symantec
29-09-2005  20:19    <DIR>          Webroot
              0 fil(er)                0 byte
              10 mappe(r)  8.297.123.840 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Marianne Lundberg\Application Data

11-10-2002  04:49    <DIR>          Adobe
11-10-2002  04:49    <DIR>          Identities
11-10-2002  04:49    <DIR>          InterTrust
21-05-2004  12:17    <DIR>          Macromedia
19-08-2005  13:16    <DIR>          MSN6
01-10-2005  19:21    <DIR>          Webroot
              0 fil(er)                0 byte
              6 mappe(r)  8.297.123.840 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\Default User\Application Data

22-04-2004  19:41    <DIR>          .
22-04-2004  19:41    <DIR>          ..
10-10-2002  19:39                62 desktop.ini
              1 fil(er)              62 byte
              2 mappe(r)  8.297.123.840 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\LocalService\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er 60B9-21CE

Indhold af C:\Documents and Settings\NetworkService\Application Data

[TRACE] Enumerating jobs and queues
Avatar billede tonnybrandt Nybegynder
01. oktober 2005 - 23:33 #21
Det ser godt ud nu.

Skal vi lige afslutte med en HiJackThis log fra begge brugere for en sikkerheds skyld ?
Skriv lige hvem der er logget ind ved hver log.
Avatar billede wyxz Nybegynder
02. oktober 2005 - 12:47 #22
Nu har jeg afleveret maskinen igen, men jeg får et par logs sendt til dig når jeg lige kommer forbi dem snarest.
Tusind tak for hjælpen. Du er en guttermand! :-)
Go Søndag

Lars E
Avatar billede tonnybrandt Nybegynder
02. oktober 2005 - 12:50 #23
Tak i lige måde *S*

Du sender blot loggene når du får fingrene i maskinen igen.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 13:58 Pris på fiber Af lurup i Internetforbindelser
I går 20:09 problem med download i <a href=" " download> tag i JavaScript Af Peer i JavaScript
I går 18:26 Problemer med Prestashop Af BCP i E-handel
I går 18:10 Google Home Af birdbrain i Apps til iOS
I går 14:46 Microsoft vil "stjæle" mine login oplysninger Af mort1 i Windows
White papers
Flere white papers »