Avatar billede Slettet bruger
10. april 2006 - 21:59 Der er 46 kommentarer og
1 løsning

er der virus ?

her er log filen....

Logfile of HijackThis v1.98.2
Scan saved at 17:58:17, on 10-04-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\phost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\kej\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bt.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Microsoft Windows Autowxckn] autowxckn.exe
O4 - HKLM\..\Run: [Inom] snmoo.exe
O4 - HKLM\..\Run: [syshost.exe] C:\phost.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Autowxckn] autowxckn.exe
O4 - HKLM\..\RunServices: [Inom] snmoo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Inom] snmoo.exe
O4 - HKCU\..\RunServices: [Inom] snmoo.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
Avatar billede enriko Nybegynder
10. april 2006 - 22:25 #1
jeg kigger på den
Avatar billede enriko Nybegynder
10. april 2006 - 22:55 #2
du skal lige huske at opdatere din windows , så vidt jeg kan se, så mangler du service pack 2

C:\phost.exe . er det et program du kender noget til?





Læs alle punkterne inden du gør noget.


(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.


(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:


O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

(4)
Åbn en tilfældig mappe, i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

(5)
Slet følgende fil:
C:\WINNT\web\related.htm


(6)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage nogen tid.

(7)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(8)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.
Avatar billede enriko Nybegynder
10. april 2006 - 22:57 #3
der er umiddelbart det her to jeg ikke kan finde noget oplysninger om


O4 - HKLM\..\Run: [Microsoft Windows Autowxckn] autowxckn.exe
O4 - HKLM\..\Run: [syshost.exe] C:\phost.exe
10. april 2006 - 23:03 #4
<enriko>: Hvad med
O4 - HKCU\..\Run: [Inom] snmoo.exe
O4 - HKCU\..\RunServices: [Inom] snmoo.exe
Ref.:
http://fileinfo.prevx.com/QQ25f415759376-SNMO12762512/SNMOO.EXE.html

Ellers ka' du også rulle denne pakke:
SUPERAntiSpyware -> http://www.superantispyware.com/downloads/SUPERAntiSpyware1241.exe
Avatar billede enriko Nybegynder
10. april 2006 - 23:06 #5
dr 1 det har jeg faktisk søgt på nettet jeg kiggede på nogle logs sam var renset men det var ikke fjernet der.  men nu kan jeg se at det er en virus.
Avatar billede Slettet bruger
10. april 2006 - 23:16 #6
ok kigger på det i påsken.... men kan de/den virus gøre at der ikke kan sendes email?
når der sendes email får man at vide at autotifivation ikke er rigtigt check din email konto - der har ikke været rodet i email kontoen.
Avatar billede enriko Nybegynder
10. april 2006 - 23:17 #7
sharon jeg synes du skal starte din pc i fejlsikret tilstand og scanne den med mwav.exe og superantispyware programmet så finder den nok de virus der er
Avatar billede Slettet bruger
10. april 2006 - 23:19 #8
"phost.exe"! tillader ikke at system kritiske grunde at blive lukket
Avatar billede enriko Nybegynder
10. april 2006 - 23:20 #9
oki
Avatar billede fromsej Praktikant
10. april 2006 - 23:20 #10
Jeg tillader mig at blande mig her.
1. Hijackthis er forældet, du skal bruge 1.99.1
2. Kør de to scannere fra denne artikel:
http://www.eksperten.dk/artikler/755
3. Kør SuperAntiSpyware fra DR1´s indlæg.
4. Hent den nyeste Hijackthis, der ligger link til den i artiklen, scan og læg den nye log herind.
Avatar billede Slettet bruger
10. april 2006 - 23:24 #11
takker fromsej... det havde jeg også tænkt at gøre loggen var bare lige for at se om der var virus inden der blev lavet en masse...
Avatar billede fromsej Praktikant
10. april 2006 - 23:26 #12
OK, så bevæger jeg mig på kanten af hvad man må herinde nu.
Lyt IKKE til Enriko, han aner ikke hvad han laver.

Enriko >> Hvad med at få styr på din egen maskine, inden du kaster dig over andres?
Avatar billede fromsej Praktikant
10. april 2006 - 23:27 #13
Enriko >> Denne tråd: http://www.eksperten.dk/spm/698957
Avatar billede enriko Nybegynder
10. april 2006 - 23:29 #14
fromsej

det link eller tråd du henviser til tilhører min venindes pc som  ikke virker for  i det her dage på grund af hendes grafikkort er brandt af.

ved du hvor svært det er at fortælle en pige der ikke har styr på  noget med pc , at få hende til rense sin pc?

du kan ikke sige at jeg ikke har styr på noget
Avatar billede fromsej Praktikant
10. april 2006 - 23:31 #15
Du har i hvert fald ikke styr på HJT, det tager jeg væddemål ind på.
Men vi kan da få uvildige øjne til at tjekke dine kommentarer, der er andre end mig herinde der ved hvad de laver med virus og HJT.
Avatar billede enriko Nybegynder
10. april 2006 - 23:33 #16
fromsej du er da godt nok sur hva :) slap af..

jeg har meget mere styr på det  nu end før , det vil jeg også gerne vædde på hvis du vil insisterer  og  du kan jo kigge det her log igennem om jeg  har skrevet noget der kan beskadige hans pc?

er der noget som jeg har skrevet at det skal slettes som absolut skal ikke røres ved?
Avatar billede enriko Nybegynder
10. april 2006 - 23:38 #17
min pc er ren og der har ikke været noget snavs eller uønskede sider på den i lang tid,
Avatar billede fromsej Praktikant
10. april 2006 - 23:39 #18
Nej, jeg er ikke sur, der skal mere til.

Men du overser glasklare linier med snavs, det kalder jeg ikke at have styr på det.
O4 - HKLM\..\Run: [Microsoft Windows Autowxckn] autowxckn.exe
http://www.greatis.com/appdata/d/SysDir/a/autowxckn.exe.htm

O4 - HKLM\..\Run: [Inom] snmoo.exe
http://fileinfo.prevx.com/QQ25f415759376-SNMO12762512/SNMOO.EXE.html

O4 - HKLM\..\Run: [syshost.exe] C:\phost.exe
C:\phost.exe skal til Jotti til analyse, den kan være legal.

Nok om det, nu ser vi hvor meget scannerne pelser.
Avatar billede forevernewbie Nybegynder
10. april 2006 - 23:44 #19
@ enriko. Når man løser logs, skal man vide helt præcist hvad man har med at gøre, ellers går det ikke, og det kan gå grueligt galt. Som jeg ser det, har du ikke styr på det endnu. Mit forslag er, at du sætter dig grundigt ind i virus og spyware. Løser en masse logs som er løst, og som du kan se løsningen på bagefter. Når du har løst 20 i træk, uden en eneste fejl, så kan du begynde at løse nogle nemme logs. Dine evner og erfaring, rækker slet ikke til at løse logs nu. Du gør ikke brugerne, eller dig selv en tjeneste ved at gøre det.
Avatar billede enriko Nybegynder
10. april 2006 - 23:46 #20
fromsej

autowxckn.exe og  snmoo.exe var jeg i tvivl om derfor ventede jeg med dem , men jeg tænkte hvis de er virus så finder mwav.exe og sletter dem
Avatar billede enriko Nybegynder
10. april 2006 - 23:49 #21
forever , når jeg løser et logs , hvilket jeg ikke gør tit , for at lade det andre komme til , jeg kunne se den her logs var kort og syntes jeg havde  styr på det mere nu end før , så gik jeg detaljeret på google og søgt om dem og læst osv.

jeg synes ikke jeg har lavet noget fejl udover det to linjer som jeg ikke skrev noget om de skulle fjernes eller ej , på grund af at jeg ikke var sikker på hvad de var. Men fint nok altså jeg vil hellere høre efter dig end fromsej der siger " han aner ikke hvad han laver "
Avatar billede enriko Nybegynder
10. april 2006 - 23:54 #22
jeg havde ellers forventet fra jer at det var en fin vejledning  og at du mangler et par små ting ,

og nej jeg har ikke tænkt mig blive log-renser  bare rolig
Avatar billede forevernewbie Nybegynder
10. april 2006 - 23:55 #23
Helt ok :) En god artikel her http://www.eksperten.dk/artikler/642
Avatar billede forevernewbie Nybegynder
10. april 2006 - 23:58 #24
Det var nu ikke for at tage modet fra dig. Vi skal jo alle starte et sted, og hvis du har lyst til at lære det, så læs en masse om stoffet, og øv dig en hel masse.
Avatar billede enriko Nybegynder
11. april 2006 - 00:03 #25
det er da ikke rart at høre at man ikke aner hvad man laver


det havde jeg været enig i hvis jeg havde skrevet

c:/windows/system32 mappen skulle slettes,  men nej så galt er jeg ikke på den desværre
Avatar billede forevernewbie Nybegynder
11. april 2006 - 00:06 #26
Selvfølgelig er det ikke rart at høre, men er det ikke bedre vi siger det, end du måske får lavet noget, som både du og brugeren bliver kede af. Op på hesten igen. Hvis du gerne vil lære det, så er der f,eks denne skole http://forums.spywareinfo.com/index.php?showtopic=34
Avatar billede enriko Nybegynder
11. april 2006 - 00:17 #27
forever tak for linket.

jeg vil ærlig talt se den log sharon kommer med :) så kan jeg se hvor galt jeg er på den
Avatar billede Slettet bruger
11. april 2006 - 07:50 #28
efter at have kigget lidt rundt på nettet

autowxckn.exe er Trojan/Backdoor
Avatar billede Slettet bruger
11. april 2006 - 07:58 #29
spørgsmål...
når man kører i fejlsikret tilstand har man stadig adgang til de scanner programmer man nu har smidt ud på skrivebordet synlig - mener fra win98 at skrivebordet er ryddet og kun papirkurven er synlig når der køres fejlsikret tilstand.

eller skal jeg lægge de scanner programmer under start/progammer?
Avatar billede magictouch Nybegynder
11. april 2006 - 08:49 #30
Det skulle ikke være et problem, bare læg dem på skrivebordet
Avatar billede kalp Novice
11. april 2006 - 10:05 #31
enriko >> Mit forslag ville være, at du finde nogle logs som er blevet løst på eksperten og prøver at løse dem selv.

sammenlign din vejledning med den vejledning der bliver lagt ind på eksperten.. hvis du her kan se du misser nogle elementer eller ikke tager nødvendige værktøjer i brug så vent med at løse logs:) det tager bare en masse af spørgers tid og måske opgiver spørger helt pga. besværet.

Der er ingen som har noget imod, at du løser log's hvis bare du kan finde ud af det:) Det er vigtigt at du også husker på, at det ikke altid er nok bare at slette filer og scanne med antivirus program... nogle gange skal man også tage højde for, at internetforbindelsen kan forsvinde så det er vigtigt at du har et kendskab til de mest anvendte værktøjer..

jeg har løst rigtig mange log's efterhånden, men der er nye infektioner derude, som stadig kan give mig kamp til stregen!
Avatar billede ejvindh Ekspert
11. april 2006 - 12:32 #32
En kommentar fra min side: Det er rigtigt at der ikke er nogle af enriko's forslag, der er decideret forkerte. Men en vigtig side af dét at hjælpe andre brugere med deres infektioner er, at der ikke skal gå for lang tid med rensningen (og her er det en forudsætning, at man får det hele med -- så infektionerne ikke genetablerer sig i mellemtiden). Man skal tænke på, at brugere der opdager at deres computere er inficeret med virus, bliver ofte meget utrygge, og hvis der bliver for meget bøvl og manglende fremskridt, vil de hurtigt give op og formatere computeren. Og så er den givne hjælp faktisk næsten værre end ingen hjælp (idet mere kompetente hjælpere holder sig tilbage).

I dette tilfælde virker det ikke til at Sharon er helt tabt bag af en vogn. Så der er nok ingen skade sket. Men det er nogle af disse grunde, der gør at vi nogle gange er lidt hårde ved "de nye", der starter med HJT-rensningens kunst. Det er ment i den bedste mening, og vi håber da altid på at få nye kolleger -- for der er nok af arbejde at tage fat på.

Hvis du gerne vil i gang med at hjælpe andre, vil jeg også anbefale dig at læse min artikel:
http://www.eksperten.dk/artikler/642

Der finder du også nogle links til nogle internationale skoler for uddannelse af HJT-rensere. Det er nogle hårde skoler, men man lærer også utrolig meget af det.
Avatar billede Slettet bruger
11. april 2006 - 13:38 #33
indtil videre siger jeg tak for jeres indlæg, og hvorvidt enriko er kompetent til at rense folk's pc undlader jeg at kommenterer, da da jeg ikke er inde i hjt. Jeg har helt styr på brugen af pc og skulle jeg komme i tvivl spørger jeg hellere dumt en bare lige gå igang.

Det bliver i påsken jeg vil prøve at rense pc'en så skulle der gå flere dage så skal jeg nok vende tilbage med den rensede log.

"til Kalp"
du siger der er mulighed for at miste forbindelsen på hvilken måde er der noget der skal genetableres installeres...?
Avatar billede kalp Novice
11. april 2006 - 15:46 #34
sharon >> Du skal ikke være bange for din internetforbindelse i denne situation:)
Avatar billede enriko Nybegynder
11. april 2006 - 16:51 #35
kalp :


"nogle gange skal man også tage højde for, at internetforbindelsen kan forsvinde så det er vigtigt at du har et kendskab til de mest anvendte værktøjer.. "

jeg kender godt til newnet det behøber du ikke fortælle om :), og at jeg ved man skal have lspfix og winsock.exe tror jeg den hed , liggende i sin pc i tilfælde at internet skulle forsvinde.

jeg sidder ikke og fylder jer op med en hel masse løgn , siger heller ikke jeg er for god til hjt , men på den anden side mener jeg  heller ikke , at jeg er for dårlig til det.

og inden jeg sætter mig til løse et logs så gennemgår jeg mange logs fa eksperten  og samt søgninger ud fra google for at være på den sikker side.

synes jeg at der er mange linjer der ser forvirrende, underlig ud så lader jeg være med røre den overhovedet. Men i den her tilfælde var der kun to linjer som jeg var ikke sikker på , det sker ikke igen , jeg vil lade det til jer :)
Avatar billede fromsej Praktikant
11. april 2006 - 19:22 #36
Enriko >> Jeg var måske lige hård nok, men jeg mente at jeg for en sjælden gangs skyld var nødt til at træde i karakter, ud fra din usikkerhed omkring de filer, der tog mig under 5 min at finde oplysninger om, kunne jeg ikke udlede andet end at du var på meget dybt vand.
Husk Google er din ven i nøden, finder du ikke noget på en hel linie, så snup filnavnet, heller ikke, så søg på {en_masse_tal}, er der intet, så send filen til tjek hos f.eks Jotti ( http://virusscan.jotti.org/ ).
Læs Ejvindh´s artikel 642, brug min artikel 755 til at sætte folk i gang, så er du allerede godt på vej.
Mvh og god påske:
Fromsej.
Avatar billede enriko Nybegynder
12. april 2006 - 15:50 #37
det er helt fint


god påske til alle
Avatar billede Slettet bruger
16. april 2006 - 16:43 #38
der blev med Evido fundet 46 virus - her er loggen

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bt.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Microsoft Windows Autowxckn] autowxckn.exe
O4 - HKLM\..\Run: [syshost.exe] C:\phost.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Autowxckn] autowxckn.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido anti-malware\ewidoguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Avatar billede fromsej Praktikant
16. april 2006 - 16:57 #39
Den her er jeg i tvivl om (ikke ret meget, men alligevel) C:\phost.exe
Upload den hos Jotti - http://virusscan.jotti.org/
---------------------------------------
Download og gem denne scanner på skrivebordet. Du skal ikke aktivere den endnu.
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Kig denne vejledning grundigt igennem.
http://fromsej.dk/Vejledninger/html/drweb.html
---------------------------------------
Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret (tryk på <F8> under opstarten), slet mapper og filer listet længere nede.

O4 - HKLM\..\Run: [Microsoft Windows Autowxckn] autowxckn.exe
O4 - HKLM\..\Run: [syshost.exe] C:\phost.exe << Hvis Jotti siger snavs!!!
O4 - HKLM\..\RunServices: [Microsoft Windows Autowxckn] autowxckn.exe

---------------------------------------
Sletning af \mapper\ og filer:
Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Skift søgefunktioner for filer og mapper"
Sæt prik i "Avanceret" og klik OK.
Klik på "Alle filer og mapper"
Klik på "Flere avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
<Ingen>
-------------------
Filer:
C:\phost.exe << Hvis Jotti siger snavs!!!
autowxckn.exe
---------------------------------------
Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik "Yes to All", så fjerner den hvad den finder.
Klik så på Start->Søg, find filen drweb32w.log kopier det nederste af teksten herind, startende med:
Scan statistics.
---------------------------------------
Genstart normalt og kom med en frisk Hijackthislog.
Avatar billede fromsej Praktikant
16. april 2006 - 17:18 #40
Skal vi gætte på at denne karma jeg lige har fået er herfra?
>>usselt som du overfalder andre brugere af eksperten herinde med dine verbale overfusninger. føj.<<
Det er måske bedre at lade ukyndige smadre folks maskiner, eller vejlede forkert?
Brugeren føj eksisterer ikke, nåe nej, det er ikke brugernavnet, det er bare endnu en anonym T Å B E der ikke tør stå ved sine udtalelser!!
Tjek mit minisite, der står min mening om det.
http://www.eksperten.dk/bruger.phtml?navn=fromsej
Avatar billede Slettet bruger
16. april 2006 - 17:25 #41
har lige smidt fod karma til fromsej - som jeg skrev er det for lavt at gi dårlig karma bare for at hævne sig.
Avatar billede Slettet bruger
16. april 2006 - 17:26 #42
god
Avatar billede fromsej Praktikant
16. april 2006 - 17:27 #43
Tak.*S*
Nok om det, lad os se at få din PC ren.
Avatar billede Slettet bruger
16. april 2006 - 17:29 #44
ok fromsej det vil jeg prøve, der går nok en uge før jeg har tid til at afprøve det
Avatar billede fromsej Praktikant
16. april 2006 - 17:29 #45
Bare i orden, jeg/vi skal nok være her.*S*
Avatar billede Slettet bruger
18. april 2006 - 20:26 #46
her den nye log

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bt.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido anti-malware\ewidoguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Avatar billede fromsej Praktikant
18. april 2006 - 20:30 #47
Så er din log ren, vi behøver ikke at se flere.
Du bør lige deaktivere systemgendannelse, genstarte og genaktivere samt sætte filvisning til normal.
http://spywarefri.dk/virusscannere.htm#alle - Systemgendannelse.
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Sæt flueben ved "Skjul beskyttede operativsystemfiler".
Sæt flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis ikke skjulte filer og mapper".

For at holde den ren kan du kigge på vores pakke til formålet.
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Et par artikler om sikker surfing finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://fromsej.dk/html/avoid.html
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester