Avatar billede djgreg Nybegynder
28. januar 2006 - 11:40 Der er 16 kommentarer og
1 løsning

Hijack This

Hej... Der er sgu virus på min comp... Håber lige i vil fixe den...

Logfile of HijackThis v1.99.1
Scan saved at 11:35:33, on 28-01-2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\addvd.exe
D:\Programmer\Antiy Labs\Alive\ALiveCenter.exe
D:\Programmer\ewido\security suite\ewidoctrl.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programmer\Eset\nod32krn.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
D:\WINDOWS\System32\MsPMSPSv.exe
D:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
D:\WINDOWS\Explorer.EXE
D:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
D:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
D:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
D:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
D:\Programmer\Creative\Mouse Optical\mouse_2k.exe
D:\Programmer\iTunes\iTunesHelper.exe
D:\Programmer\Free Spyware Scanner\SpyWatcher.exe
D:\Programmer\Antiy Labs\AGuard\AGuard.exe
D:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
D:\Programmer\Musicmatch\Musicmatch Jukebox\mmtask.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programmer\iPod\bin\iPodService.exe
D:\Programmer\ClickOff\Clickoff.exe
D:\Programmer\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\mstq.exe
D:\Documents and Settings\André\Skrivebord\Antivirus-pakke\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dr.dk/sporten
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {E6F23682-174F-AF3C-0738-3DEF6F7B9091} - D:\WINDOWS\atlgo32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ordbogen.com] D:\Programmer\CoolSystems\ordbogen.com\ordbogen.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [pccguide.exe] "D:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CreativeMouse ] D:\Programmer\Creative\Mouse Optical\mouse_2k.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Spy Watcher] "D:\Programmer\Free Spyware Scanner\SpyWatcher.exe" -S
O4 - HKLM\..\Run: [AGB5Monitor] D:\Programmer\Antiy Labs\AGuard\AGuard.exe /AutoRun
O4 - HKLM\..\Run: [MMTray] D:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] "D:\Programmer\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: ClickOff.lnk = D:\Programmer\ClickOff\Clickoff.exe
O8 - Extra context menu item: &Google Search - res://D:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://D:\Programmer\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://D:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://D:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://D:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://D:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmer\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmer\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Opret Foretrukken på mobil enhed - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Opret Foretrukken på mobil enhed... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: D:\Programmer\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: D:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: D:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.bgbank.dk/html/activex/BG/Menu.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133301966077
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\addvd.exe
O23 - Service: Antiy live update (Alive Auto-Update Service) - Unknown owner - D:\Programmer\Antiy Labs\Alive\ALiveCenter.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - D:\Programmer\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - D:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - D:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
Avatar billede fromsej Praktikant
28. januar 2006 - 11:52 #1
Jeg kigger på den nu.
Avatar billede johnstigers Seniormester
28. januar 2006 - 11:53 #2
Hop lige herind: http://intern.sdu.dk/enheder/it-service/tjenester/ftphotel/ftpindhold - hent og installer SP1 - ellers er det spild af tid at tjekke den log.
Avatar billede johnstigers Seniormester
28. januar 2006 - 11:54 #3
fromsej du nupper bare herfra
Avatar billede fromsej Praktikant
28. januar 2006 - 11:59 #4
Gør som john_stigers skriver, uden Servicepack 1 er det håbløst, du må ikke installere servicepack 2 endnu. (Tak John, det havde jeg overset)

0. Klik på Start->Kør skriv Services.msc og klik OK.
Find Tjenesten Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) stop den, højreklik på den og vælg Starttype Deaktiveret.

1. Hent følgende programmer:

- CWShredder, http://cwshredder.net/bin/CWShredder.exe (programmet skal ikke køres endnu)
- AboutBuster 6, http://www.majorgeeks.com/download4289.html (pak programmet ud til Skrivebordet)
- Ewido, http://www.spywarefri.dk/downloads1/ewido-setup.exe
- CCleaner, http://www.filehippo.com/download_ccleaner.html

Installer og kør Ewido - opdater programmet (men lad være med at scanne).

2. Genstart i Fejlsikret tilstand (ved at taste F8 under opstart).

3. Kør CWShredder og klik på Fix.

4. Kør AboutBuster og klik på Begin removal. Tillad programmet at lukke Explorer, hvis du bliver spurgt. Programmet laver en log i samme mappe som du har AboutBuster installeret til (AB log.txt) - den skal du kopiere herind når fixet er færdigt.

5. Kør en rensning med CCleaner (ikke strengt nødvendigt, men så kører Ewido scanningen lidt hurtigere).

6. Kør en fuld scanning med Ewido.

7. Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\mqtet.dll/sp.html#93256%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {E6F23682-174F-AF3C-0738-3DEF6F7B9091} - D:\WINDOWS\atlgo32.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\addvd.exe

8. Genstart din computer i Normal tilstand og læg en frisk HijackThis log herind, sammen med log'en fra AboutBuster.
Avatar billede djgreg Nybegynder
28. januar 2006 - 14:34 #5
Jeg gjorde hvad du bad mig om, og nu er den helt fucked up.

Nettet virker ikke, intet er repareret. Jeg skriver fra min brors computer nu...

Jeg har også prøvet at systemgendanne, det gider den heller ikke
Avatar billede fromsej Praktikant
28. januar 2006 - 14:50 #6
Det var da noget skrammel, men det er også en møginfektion du har, og når der så ydermere ikke er Servicepack på, så kan det altså gå grueligt galt.

Du kan lave en Repair, følg denne vejledning:
http://hcma.dk/tips1to10.htm#no4
Avatar billede var Nybegynder
28. januar 2006 - 14:52 #7
undskyld jeg lige blander mig fromsej.. ;D

for at få nettet op at køre igen:
hent lspfix http://www.cexx.org/LSPFix.exe

åbn programmet og klik finish genstart og du er på nettet igen.. ;D følg så Fromsejs instrukser.. :D
Avatar billede var Nybegynder
28. januar 2006 - 14:53 #8
ups.. undskyld fromsej.. troede at du ikke lige var online.. ;D roger and out.. :D
Avatar billede johnstigers Seniormester
28. januar 2006 - 14:56 #9
Det hedder altså: hent lspfix http://www.cexx.org/LSPFix.exe - åbn programmet og sæt vinge i "I know what I´m doing" klik finish -  genstart


Hvis ikke man sætter vinge i "I know what I´m doing" sker der nada.
Avatar billede var Nybegynder
28. januar 2006 - 15:06 #10
Jo det gør der.. man skal sætte I know what im doing hvis du skal fjerne noget fra venstre spalte til højre.. ;D .. hvis man bare klikker finish og der er noget f.eks. newdotnet i højre spalte så bliver den fjernet også hvis man ikke sætter flueben i I know what im doing.. :D
Avatar billede djgreg Nybegynder
28. januar 2006 - 15:16 #11
Ja... så øhm.. ja... er ret glad lige nu i hvert fald.

Min computer var i så slem stand at for at man skulle kunne bruge den var man nødt til at systemgendanne (hvilket aldrig lykkedes), så jeg gjorde det, og prøvede for sjovs skyld at gøre det til d. 24. i stedet for d. 26.

Og nu virker lortet... Alt er som det var før virussen, men pointene skal du nok få alligevel, for du har trods alt hjulpet mig, og hvad har jeg at bruge de point til alligevel?
Avatar billede djgreg Nybegynder
28. januar 2006 - 15:16 #12
Så du må lige svare
Avatar billede fromsej Praktikant
28. januar 2006 - 15:23 #13
Det kommer her.
Men sørg for at få installeret Servicepack 1, og tag et kig i vores pakke til yderligere sikkerhed.
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Et par artikler om sikker surfing finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://fromsej.dk/html/avoid.html
Avatar billede djgreg Nybegynder
28. januar 2006 - 15:25 #14
Kan du forresten fortælle mig hvor jeg finder programmet "X-Cleaner".

Jeg havde det engang, og det virkede rigtig godt.
Avatar billede var Nybegynder
28. januar 2006 - 15:33 #15
Avatar billede djgreg Nybegynder
28. januar 2006 - 15:34 #16
1000-TAK!
Avatar billede fromsej Praktikant
28. januar 2006 - 15:36 #17
Velbekomme, tak for point.*S*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester