CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede lexi1 Nybegynder
02. august 2006 - 18:57 Der er 11 kommentarer og
1 løsning

Tjek min Hijack this log

Logfile of HijackThis v1.99.1
Scan saved at 19:10:37, on 2-08-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
C:\Programmer\Kodak\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atmclk.exe
C:\WINNT\system32\dcomcfg.exe
C:\programmer\umsd tools2.33\umsd.exe
C:\Programmer\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Programmer\CASIO\Photo Loader\Plauto.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\dllcache\iexplore.exe
C:\Documents and Settings\TEMP.SUSAN-6KR4ZXLD9.029\Skrivebord\Virus\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.wowsearch.org/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.wowsearch.org/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wowsearch.org/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.wowsearch.org/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.wowsearch.org/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINNT\system32\hp100.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Toolbar Suite\TB\02.05.0000.1105\da-dk\msntb.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PLoader] c:\programmer\umsd tools2.33\umsd.exe sys_auto_run C:\Programmer\UMSD Tools2.33
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpyFalcon] C:\Programmer\SpyFalcon\SpyFalcon.exe /h
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [EXPL32.EXE] C:\WINNT\system\EXPL32.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programmer\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Photo Loader supervisory.lnk = C:\Programmer\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Windows-pc-søgning.lnk = C:\Programmer\MSN Toolbar Suite\DS\02.05.0001.1119\da-dk\bin\WindowsSearch.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development - C:\WINNT\SYSTEM32\DNTUS26.EXE
O23 - Service: Microsoft Global Services (itnalispy) - Unknown owner - C:\RECYCLER\S-1-5-21-0606982848-1057904186-854245398-1003\service.exe (file missing)
O23 - Service: Microsoft Global Backup Services (itnalispy666) - Unknown owner - C:\RECYCLER\S-1-5-21-0606982848-1057904186-854245398-1003\service.exe (file missing)
O23 - Service: Microsoft Global NetServices (itnalispyf) - Unknown owner - C:\RECYCLER\S-1-5-21-0606982848-1057904186-854245398-1003\service.exe (file missing)
O23 - Service: PSEXESVC - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE
O23 - Service: ptssvc - KODAK - C:\Programmer\Kodak\Kodak EasyShare software\bin\ptssvc.exe
O23 - Service: SpoolService - Unknown owner - C:\WINNT\system32\spolsv.exe" -service (file missing)
O23 - Service: FireDaemon Service: winlogin (winlogin) - Unknown owner - c:\winnt\system32\FireDaemon.EXE (file missing)
Avatar billede levich Nybegynder
02. august 2006 - 19:35 #1
øjeblik, jeg ser på det nu.
Avatar billede lexi1 Nybegynder
02. august 2006 - 19:38 #2
tak
Avatar billede levich Nybegynder
02. august 2006 - 19:52 #3
Det er ikke sikkert at nedenstående er nok = du skal måske gøre noget ekstra bagefter. Jeg skal nok guide.

Læs alle punkterne inden du gør noget.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i 
"Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent http://www.spywarefri.dk/downloads1/ewido-setup.exe (Ewido).
Installer programmer og opdater det, men vent med at scanne.

Hent: http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Dobbeltklik på SmitfraudFix.zip, hvorefter programmet pakker sig ud til mappen smitRem.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.wowsearch.org/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.wowsearch.org/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wowsearch.org/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.wowsearch.org/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.wowsearch.org/ie/
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINNT\system32\hp100.tmp
O4 - HKLM\..\Run: [SpyFalcon] C:\Programmer\SpyFalcon\SpyFalcon.exe /h
O4 - HKCU\..\Run: [EXPL32.EXE] C:\WINNT\system\EXPL32.EXE
O23 - Service: Microsoft Global Services (itnalispy) - Unknown owner - C:\RECYCLER\S-1-5-21-0606982848-1057904186-854245398-1003\service.exe (file missing)
O23 - Service: Microsoft Global Backup Services (itnalispy666) - Unknown owner - C:\RECYCLER\S-1-5-21-0606982848-1057904186-854245398-1003\service.exe (file missing)
O23 - Service: Microsoft Global NetServices (itnalispyf) - Unknown owner - C:\RECYCLER\S-1-5-21-0606982848-1057904186-854245398-1003\service.exe (file missing)
O23 - Service: PSEXESVC - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE
O23 - Service: SpoolService - Unknown owner - C:\WINNT\system32\spolsv.exe" -service (file missing)
O23 - Service: FireDaemon Service: winlogin (winlogin) - Unknown owner - c:\winnt\system32\FireDaemon.EXE (file missing)

(4)
Scan med Ewido, fix de ting som den finder og kopier loggen herind.

(5)
Åbn mappen smitfraudfix mappen, dobbeltklik på smitfraudfix.cmd, vælg option #2, svar yes (=y) til at rense inficerede filer.
Hvis du bliver bedt om at erstatte  filen wininet.dll med en anden, skal du svare yes (=y).
Hvis du bliver bedt om at genstarte computer, skal du genstarte den i normal tilstand.

(6)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(7)
Åbn en tilfældig mappe, i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil(er):
C:\WINNT\system32\hp100.tmp
C:\WINNT\system\EXPL32.EXE
C:\WINNT\System32\PSEXESVC.EXE
C:\WINNT\system32\spolsv.exe
c:\winnt\system32\FireDaemon.EXE
... og følgende mappe(r):
C:\Programmer\SpyFalcon\

(8)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(9)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

**********************

Note: http://www.bleepingcomputer.com/forums/topic43659.html (du skal ikke gøre det her!!!).
Avatar billede lexi1 Nybegynder
02. august 2006 - 21:31 #4
Nu har jeg prøvet og prøvet at slå systemgendannelse fra, men når jeg vælger "denne computer"-> egenskaber - så kommer der ikke en mulighed for at deaktivere systemgendannelse fra.


Der står i 5 forskellige faneblade "Generelt" "netværksidentifikation" "hardware" "brugerprofiler" "avanceret"

Hvad gør jeg galt?
Avatar billede Computer Hjælp (Gratis) Mester
02. august 2006 - 21:40 #5
(Der er ikke noget der hedder 'systemgendannelse' i W2000 - skip bare den del...)
Avatar billede lexi1 Nybegynder
02. august 2006 - 21:45 #6
ok
Avatar billede levich Nybegynder
02. august 2006 - 22:41 #7
Korrekt, jeg havde ikke lige set, at det ikke var Windows xp, som du har.
Avatar billede levich Nybegynder
07. august 2006 - 18:36 #8
Er du kommet videre?
Avatar billede lexi1 Nybegynder
08. august 2006 - 09:34 #9
Ja, jeg tror jeg har fået den renset rimeligt meget.

Vil du være sød at give et SVAR, så kan du få dine point.

Kh Christina
Avatar billede levich Nybegynder
08. august 2006 - 18:30 #10
Tag lige og lave en ny hijackthis-log, og læg den herind, så jeg kan se den.
Avatar billede lexi1 Nybegynder
09. august 2006 - 11:23 #11
Okay, men jeg oprettet bare et nyt spg.

Det virker som om hele computeren skal reinstalleres.

Tak for hjælpen.

Kh Christina
Avatar billede lexi1 Nybegynder
09. august 2006 - 11:23 #12
Okay, men jeg oprettet bare et nyt spg.

Det virker som om hele computeren skal reinstalleres.

Tak for hjælpen.

Kh Christina
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Google ser ud til at være malware, lyder advarsel på alle vore mobiler! Af vbr i Virus 9 30/10/202312:12 15/12/202310:17
Jeg får en fejl på Enhedssikkerhed Af pouls i Virus 8 04/06/202321:28 05/06/202316:28
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:39 Kan ikke låse afdøds mobiltelefon op Af frejanatur i Mobiltelefoner
I går 13:33 Kan ikke finde opretteren af en e-mailadresse og facebookside Af made4u.mnn i E-mail programmer
27/0419:48 Hvilken ugedag var "24. Marts, 1998" ? Af Ikke-ekspert i Fri debat
27/0414:03 “Haster” Hjælp til 240hz og konsol monitor køb. Af nalacin i Skærme
27/0413:38 Vise en popup overskrift når cursoren stryges henover en control Af per2edb i Access
White papers
Flere white papers »


Premium
Teaser billede
Køber 25.000 Copilot-licenser af Microsoft i kæmpe-aftale - vil investere milliarder i AI
Læs mere »
"Når jeg engang ikke er her mere, så vil jeg gerne huskes som generøs lige som ham"
Det danske it-lovsystem skal moderniseres: Styrelse søger ene-leverandør til 10-årig kæmpe-kontrakt
7N fra København runder halvanden milliard kroner i omsætning: Beskæftiger nu 1.700 konsulenter
Se alle »
Computerworld
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
Prøvekørt: Sydkoreansk familie-kolos har plads til alle og sætter alle på plads
Test: Denne bærbar beviser, hvorfor man ikke skal handle laptop alene ud fra teknikbladet
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Microsoft skruer op for CPU-krav til den næste version af Windows 11: Færre brugere kan nu opdatere
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Se alle »
White paper
Teaser billede
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Læs mere »
SASE: Træf det rette valg – første gang
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Sådan høster du forretningsfordelene ved Internet of Things
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »