Notifikationer

Markér alle som læst Log ud

quggi Nybegynder

01. november 2005 - 21:01 Der er 40 kommentarer

Spyware hjælp!

Hej! Jeg har et kæmpe problem, min firefox og Ie er blevet besat af spyware vil jeg tro, der popper hele tiden vinduer op med tilbud på spyware fjernere og alle mulige åndssvage tilbud! Så jeg ligger lige min hijackthis log her og så håber jeg at en af jer kloge hoveder kan hjælpe :D

Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:01:15, on 01-11-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Fælles filer\Symantec Shared\ccProxy.exe
C:\Programmer\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programmer\Sleepy\slpmoni.exe
C:\Programmer\Sleepy\slptray.exe
C:\Programmer\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programmer\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\Programmer\Sleepy\service.exe
C:\Programmer\Sleepy\slptask.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\Programmer\Windows Media Player\wmplayer.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Dennis\Skrivebord\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmer\Fælles filer\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programmer\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmer\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ats] C:\WINDOWS\system32\asd\loadqm.exe noshow
O4 - HKLM\..\Run: [eDonkey2000] C:\Programmer\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AdmTask] C:\Programmer\AdmTask\admtask.exe /m
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\k2jslc171f.dll
O23 - Service: app_filter - Unknown owner - C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programmer\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmer\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sleepy - www.sleepysoftware.com - C:\Programmer\Sleepy\service.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Synes godt om

majsmarken Nybegynder

01. november 2005 - 21:18 #1

[eDonkey2000] !!! (Ryster på hovedet...)

Jo - der er (andet) 'snavs' - jeg vil lade en HiJackTisk 'freak' bedømme ...

Synes godt om

majsmarken Nybegynder

01. november 2005 - 21:18 #2

Velkommen til Eksperten.dk iøvrigt...

Synes godt om

levich Nybegynder

01. november 2005 - 21:32 #3

Jeg ser på det, øjeblik.
Forresten, jeg vil mene at du er en hijackthis-ekspert, majsmarken.

Synes godt om

levich Nybegynder

01. november 2005 - 21:36 #4

Ser det her ok ud (kender du programmet)?
O4 - HKLM\..\Run: [AdmTask] C:\Programmer\AdmTask\admtask.exe /m

Synes godt om

quggi Nybegynder

01. november 2005 - 21:49 #5

Nej, ved ik lige hvad det er, hvad skal jeg da gøre?

Synes godt om

majsmarken Nybegynder

01. november 2005 - 21:57 #6

<levich>: Ikke nok endnu - til offentligheden. Rent privat og i egne hænder er en anden sag. Og har ikke altid mulighed/tid til at følge nok op på en 'sag'...

Synes godt om

levich Nybegynder

01. november 2005 - 22:01 #7

guggi -> har du installeret et program med navnet "AdmTask", eller noget i den stil?

Synes godt om

majsmarken Nybegynder

01. november 2005 - 22:01 #8

<levich>: [AdmTask] bliver 'smidt ud' i denne tråd:
http://forums.spywareinfo.com/lofiversion/index.php/t366.html
(Men det er ikke helt konsekvent alle steder med HiJackThis...)

Synes godt om

arlet Juniormester

01. november 2005 - 22:06 #9

Jeg er næsten sikker på at den er i orden.
Steve fixer den ikke her: http://forums.techguy.org/showthread.php?threadid=168229&4c7bd77b164460cd31061e6ddc8b8401

Levich/majsmarken(ved ikke hvem af jer der tager den) ->Prøv at smide den op på jotti

Synes godt om

quggi Nybegynder

01. november 2005 - 22:44 #10

Kan ikke slette Admtask.... Hjælp! Det er skide irriterende :p

Synes godt om

levich Nybegynder

01. november 2005 - 22:45 #11

Den ryger ud.

Synes godt om

levich Nybegynder

01. november 2005 - 22:45 #12

Læs alle punkterne inden du gør noget.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe.

Hent Lspfix http://www.cexx.org/LSPFix.exe.
Hvis du senere ikke kan komme på internettet, skal du køre lspfix, marker "I know what I am doing" og klik på finish.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op).

Kør LSPfix, marker nvappfilter.dll i venstre vindue, klik på pilen i midten, så nvappfilter.dll også står i højre vindue, sæt flueben i I know what I am doing, klik på finish.

Fix følgende linjer med HijackThis:
O4 - HKLM\..\Run: [AdmTask] C:\Programmer\AdmTask\admtask.exe /m
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

(4)
Åbn en tilfældig mappe, i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil(er):
C:\windows\msresearch.exe

(5)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(6)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage nogen tid.

(7)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(8)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

Synes godt om

majsmarken Nybegynder

02. november 2005 - 07:31 #13

<levich>: (Selve mappen C:\Programmer\AdmTask\ bør da også ædes manuelt til sidst ?)

Synes godt om

ejvindh Ekspert

02. november 2005 - 08:47 #14

Jeg er enig med Levich i, at mappen ikke skal ædes, hvis man er i tvivl om, hvorvidt filen er snavs. Det ville gøre det lidt svært at gendanne, hvis det viser sig nødvendigt *S*

Angående de O10'ere: Bare fordi der ligger en "Unknown file" i Winsocken, så er det ikke ensbetydende med at den skal fixes.
http://castlecops.com/lsp-164.html

...men så er det jo heldigt at HJT så slet ikke kan fixe O10'ere....

Derudover, så ligger det virkeligt alvorlige snavs i O20'eren, som er en L2M infektion. Så længe den ligger der, vil der komme popup's

Synes godt om

levich Nybegynder

02. november 2005 - 09:02 #15

guggi -> ejvindh har helt ret i, at der ikke skal gøres noget ved linjerne med 010 og at filen nvappfilter.dll ikke skal ordnes med LSPFIX. Hvis du har fulgt min vejledning, skal du måske geninstallere "NVidia Nforce Network Access Manager" jvf. ejvindh's link. Hvis du endnu ikke har fulgt vejledningen, er her en ny:

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op).

Fix følgende linjer med HijackThis:
O4 - HKLM\..\Run: [AdmTask] C:\Programmer\AdmTask\admtask.exe /m
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe

(4)
Åbn en tilfældig mappe, i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil(er):
C:\windows\msresearch.exe

(5)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(6)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage nogen tid.

(7)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(8)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

Synes godt om

ejvindh Ekspert

02. november 2005 - 09:19 #16

???

Jeg forstår altså ikke, hvordan denne linie kan blive frikendt 2 gange i en HJT-analyse:
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\k2jslc171f.dll

Både hvis man søger på "H323TSP" og "k2jslc171f.dll" så står der da praktisk talt Look2Me overalt. Jeg kan forstå at man kan "overse" den i første omgang, men når man så bliver gjort opmærksom på den, og stadig lader den være...

Synes godt om

quggi Nybegynder

02. november 2005 - 18:35 #17

her er min nye log, problemet er ikke forsvundet :(

Logfile of HijackThis v1.99.1
Scan saved at 18:35:27, on 02-11-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\eDonkey2000\eDonkey2000.exe
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Fælles filer\Symantec Shared\ccProxy.exe
C:\Programmer\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programmer\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmer\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\Programmer\Sleepy\service.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\Sleepy\slptask.exe
C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\BitLord\BitLord.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Dennis\Skrivebord\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmer\Fælles filer\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programmer\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmer\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Programmer\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AdmTask] C:\Programmer\AdmTask\admtask.exe /m
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\o084lalq1dqe.dll
O23 - Service: app_filter - Unknown owner - C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programmer\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmer\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programmer\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sleepy - www.sleepysoftware.com - C:\Programmer\Sleepy\service.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Synes godt om

pidgeot Nybegynder

02. november 2005 - 18:43 #18

Blot det at der er en O20 er et alvorligt faresignal. Jeg kender kun til en legitim ting der kan være der, og det er noget grafikdriver fra Intel.

Jeg kan højst sandsynlig godt hjælpe med at fjerne den, men min metode er vist MEGET kompleks (du skal bruge et program til at pause Winlogon.exe, fjerne problemet, og så CRASHE dit system) i forhold til hvad man sikkert eller kunne gøre.

Hvis du er frisk på at gøre det alligevel, så giver jeg dig gerne en vejledning. Men hvis en anden har en bedre løsning, vil den KLART være at foretrække.

Synes godt om

quggi Nybegynder

02. november 2005 - 18:53 #19

Jeg er klar på alt! Så skriv endelig dit forslag

Synes godt om

pidgeot Nybegynder

02. november 2005 - 18:58 #20

Fint - men husk, kompleks procedure, så det er nok en ide at printe den ud eller skrive den ned.

Jeg vender tilbage om kort tid (inden for et kvarter, regner jeg med) med en udførlig vejledning. Du er selvfølgelig velkommen til at spørge lige så meget som du har brug for.

Synes godt om

pidgeot Nybegynder

02. november 2005 - 19:11 #21

Jeg har gode nyheder - du slipper nok for at skulle crashe din computer alligevel :) Fejler dette, bliver vi dog nok nødt til at gå den vej, men nu ser vi lige om det her ikke virker ;)

Okay, her er instruktionerne:
1. Gå ind på http://sysinternals.com og hent Process Explorer. Start programmet.
2. Dobbeltklik på winlogon.exe. Vælg fanebladet Threads, og find det filnavn der optræder i din log, o084lalq1dqe.dll. Der vil stå et eller andet efter dette navn, men dette ignorerer vi, da det ikke har betydning.
3. Marker dette punkt og tryk på Kill-knappen.
4. Luk Process Explorer, og fjern den O20 med HijackThis.
5. Genstart, og kør HijackThis igen. Lav en log og se om der stadig optræder en O20 i din log. Gør der det, skal vi bruge den anden metode. Den kommer jeg dog først med når du melder tilbage at dette ikke virkede.

Synes godt om

ejvindh Ekspert

02. november 2005 - 19:45 #22

Der findes nu flere legale O20'ere
http://www.castlecops.com/O20.html

Der findes en standard-procedure til at fjerne infektionen. Jeg tvivler lidt på ovenstående, da der også er en guard.tmp i system32, der skal fjernes for at få hul igennem (der ligeledes vist hæfter op på winlogon.exe-processen). Men hvis det virker, er det jo bare godt *S*

Et eksempel på standard-proceduren findes her (l2mfix):
http://www.eksperten.dk/spm/658456

Men jeg har desværre ikke tid til at føre den før tidligst til weekenden.... Hvis dét har interesse, så skriv det lige i tråden :-)

Synes godt om

pidgeot Nybegynder

02. november 2005 - 20:02 #23

Det tror jeg gerne - men som sagt, jeg kendte kun til den ene - og en god del af dem på listen er jo stadig noget snavs, så det bør stadig få en alarmklokke til at ringe, i det mindste første gang :)

Har i øvrigt selv haft god erfaring med at dræbe en lignende O20 med Process Explorer (omend jeg gjorde det på den hårde måde - pausede Winlogon, fjernede opstartsoplysningerne med HJT og afsluttede Winlogon, for at skabe et øjeblikkeligt crash).

Derudover er det værste der kan ske vel at det ikke får fjernet den pågældende O20, så skader jo ikke at prøve :)

Synes godt om

ejvindh Ekspert

02. november 2005 - 20:06 #24

Det tror jeg du har ret i, og jeg kigger gerne nysgerrigt med på sidelinien. Det var blot for at "guggi" var klar over det, hvis han/hun mente dit forslag blev for kompliceret :-)

Synes godt om

quggi Nybegynder

02. november 2005 - 21:44 #25

Hmm, mit navn er Quggi :p med "Q" hehe, prøver lige metoiden og vender tilbage

Synes godt om

quggi Nybegynder

02. november 2005 - 21:54 #26

kørte lige en ny hijackthis, nu har min 020 et andet navn, men jeg kan ikke se det med process explorer... :s

Synes godt om

pidgeot Nybegynder

02. november 2005 - 21:56 #27

Kan du se andre besynderlige navne? Hvis du kan, så skriver jeg lige vejledning til anden metode... her skal vi så forhindre O20'eren i at gøre noget, hvorefter vi fixer problemet og crasher computeren.

Synes godt om

quggi Nybegynder

02. november 2005 - 21:58 #28

kan se en der hedder: 0x103d353 alle de andre jeg kan se hedder det samme, nemlig !Createthread+0x27

Synes godt om

pidgeot Nybegynder

02. november 2005 - 22:00 #29

Der skal stå noget foran det du ser. Det er den del der er interessant, det andet viser bare hvor eksekveringspunktet for den tråd er.

Hvis du ikke ser noget foran, så prøv at køre kolonnen større.

Synes godt om

quggi Nybegynder

02. november 2005 - 22:03 #30

kan kun se CPU, CSwitch Delta og Start adress kolonnern... ?

Synes godt om

pidgeot Nybegynder

02. november 2005 - 22:10 #31

Du skal kigge i Start address, og du skal kigge på den første del af det der står i feltet.

Venligst se http://birdiesoft.dk/procexp.PNG - som du burde kunne se har jeg fremhævet dele af teksten... det er den del du skal kigge på.

Synes godt om

quggi Nybegynder

02. november 2005 - 22:13 #32

Hmm, der står slet ikke noget foran mit, ligesom du har vist ved dit?

Synes godt om

pidgeot Nybegynder

02. november 2005 - 22:16 #33

Så er det sikkert noget med den guard.tmp som ejvind nævnede - vi kan godt prøve den "brutale" metode (hvilket indebærer at fjerne strømmen eller crashe computeren), men jeg garanterer ikke for at det så virker.

Skriv hvis du har lyst til at prøve - så laver jeg lige en vejledning ;)

Synes godt om

quggi Nybegynder

02. november 2005 - 22:17 #34

Skriv du bare en vejledning ;)

Synes godt om

pidgeot Nybegynder

02. november 2005 - 22:22 #35

Inden du går i gang, så gem alt du måtte have åbnet.

Hvis du har nogle dialoger åbne i Process Explorer, så luk dem. Hvis du slet ikke har det åbnet, så gør det.

1. Højreklik på winlogon.exe og vælg Suspend.
2. Start HijackThis og fjern den O20 du har.
3. Luk computeren urent ned - du kan enten vælge at afslutte Winlogon processen, holde tænd/sluk-knappen nede til din computer slukker eller du kan hive stikket ud af din computer. Hvis du vælger den første mulighed, burde Windows gå i BSOD, og genstarte kort tid efter.

Synes godt om

quggi Nybegynder

02. november 2005 - 22:37 #36

kan ikke suspende winlogon.exe adgang nægtet...

Synes godt om

pidgeot Nybegynder

02. november 2005 - 22:39 #37

Så må det være den fil der er problemet. Enten det, eller også har du ikke administratorrettigheder på din computer (hvilket jeg dog regner med du har).

Synes godt om

quggi Nybegynder

02. november 2005 - 22:46 #38

har lige tjekket med hijackthis igen, min 020 er forsvundet... og har ikke haft nogle popups i 5 min indtil videre, så håber jeg har lavet et eller andet så det virker :D

Synes godt om

pidgeot Nybegynder

02. november 2005 - 22:47 #39

Genstart og scan igen før du bliver for glad - man ved aldrig ;)

Synes godt om

ejvindh Ekspert

05. november 2005 - 15:22 #40

Blev problemet løst her? Ellers er jeg nu klar til at kunne guide den anden metode.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus	22	26/11/202510:42	23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus	8	31/08/202519:08	01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus	10	03/02/202514:20	04/02/202511:05
mulig ukendt virus Af jackie18 i Virus	3	18/01/202514:07	18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus	13	18/01/202511:40	20/01/202517:53

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS