CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede miss-g Seniormester
28. november 2003 - 22:29 Der er 47 kommentarer og
1 løsning

Er jeg blevet hijacked?

Er det virkelig min tur nu?

Jeg har en mappe som lægger sig i C:\WINDOWS\system32 og kalder sig drivers32. Den indeholder en masse crackfiler som jeg overhovedet ikke har bedt om.

Jeg kan godt slette mappen, men når jeg genstarter computeren er den der igen.

Hvor kommer den fra?
Avatar billede skraldemanden Nybegynder
28. november 2003 - 22:34 #1
Virus. Du skal ind i dos hvis du kan og slette dem. Hved ikke hvilken OS du har ??
-Skraldemanden
Avatar billede arlet Juniormester
28. november 2003 - 22:36 #2
Vi skal nok igennem hijackthis, for at fjerne den helt.

For at løse problemet skal du hente 2 programmer.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, alle filer den har fundet, der er røde skal markeres, tryk så på afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.


DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...


Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm
Avatar billede miss-g Seniormester
28. november 2003 - 22:37 #3
Win XP og har overhovedet ikke forstand på DOS.

Har scannet med mit nuværende virusprogram: Antivir, og Ad-Aware - fandt intet.
Avatar billede miss-g Seniormester
28. november 2003 - 22:38 #4
Ja, jeg har kørt en Hijack this - og selvfølgelig ikke gjort noget på egen hånd. Har også Spyboot - prøver lige at køre den.
Avatar billede arlet Juniormester
28. november 2003 - 22:39 #5
glem spybot, kom bare med hjt loggen
Avatar billede miss-g Seniormester
28. november 2003 - 22:41 #6
Ja, spybot er der også ged i - den vil ikke downloade opdateringen. Her er Hijack logen:

Logfile of HijackThis v1.97.7
Scan saved at 22:25:53, on 28-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\WINCFG32.EXE
C:\Programmer\PestPatrol\PPControl.exe
C:\Programmer\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\iexplore32.exe
C:\Programmer\PestPatrol\PPMemCheck.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Konen\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0 - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084 - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B0848 - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Win Startup] WINCFG32.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [IELoader32] iexplore32.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [Win Startup] WINCFG32.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.1490856481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
Avatar billede miss-g Seniormester
28. november 2003 - 22:41 #7
Ved ikke hvad superwebsearch er - ikke noget jeg har bedt om.
Avatar billede metal_hansen Nybegynder
28. november 2003 - 22:44 #8
det er vist en kazaa-virus, mener jeg
Avatar billede miss-g Seniormester
28. november 2003 - 22:45 #9
Har lige hentet en ny version af spybot - underligt at den stadig ikke vil hente opdateringerne..... hm.
Avatar billede arlet Juniormester
28. november 2003 - 22:46 #10
ja, den er grim den log..

Tjekker den lige, der går en halv times tid..

Slet ikke noget imens
Avatar billede miss-g Seniormester
28. november 2003 - 22:47 #11
Bare ok *S*
Avatar billede skraldemanden Nybegynder
28. november 2003 - 22:55 #12
Jeg bruger Limewire nu da der ikke er saa meget virus i omloeb. Ellers husk og tjeck alle filer du downloader for virus inden du hoerer eller bruger cracks.
Avatar billede miss-g Seniormester
28. november 2003 - 22:57 #13
Jeg downloader ikke cracks *G* Jeg troede også et virusprogram automatisk tjekkede filer man henter fra nettet? Det gør de måske ikke?
Avatar billede skraldemanden Nybegynder
28. november 2003 - 22:59 #14
ikke alle . hvilken en bruger du ??
Avatar billede arlet Juniormester
28. november 2003 - 23:01 #15
Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0 - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084 - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B0848 - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Win Startup] WINCFG32.EXE
O4 - HKLM\..\Run: [IELoader32] iexplore32.exe
O4 - HKCU\..\RunOnce: [Win Startup] WINCFG32.EXE
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab


Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\WINDOWS\System32\WINCFG32.EXE
C:\WINDOWS\System32\iexplore32.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må de aktiver din systemgendannelse igen.
Avatar billede miss-g Seniormester
28. november 2003 - 23:08 #16
Nu er de markeret.
Skal jeg første genstarte normalt, og derefter i fejlsikret tilstand?
Avatar billede arlet Juniormester
28. november 2003 - 23:09 #17
Nej, genstart i fejlsikret
Avatar billede miss-g Seniormester
28. november 2003 - 23:10 #18
Og hvis den smutter forbi fejlsikret...? Har prøvet det før *G*
Avatar billede arlet Juniormester
28. november 2003 - 23:11 #19
Hvis den ikke vil i fejlsikret, prøver du bare efter alm genstart
Avatar billede miss-g Seniormester
28. november 2003 - 23:11 #20
Jeg prøver....
Avatar billede miss-g Seniormester
28. november 2003 - 23:22 #21
Jeg kunne altså ikke finde denne:

C:\WINDOWS\System32\WINCFG32.EXE


NY logfil:

Logfile of HijackThis v1.97.7
Scan saved at 23:21:50, on 28-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\PestPatrol\PPControl.exe
C:\Programmer\PestPatrol\CookiePatrol.exe
C:\Programmer\PestPatrol\PPMemCheck.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\WINCFG32.EXE
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Documents and Settings\Konen\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Win Startup] WINCFG32.EXE
O4 - HKCU\..\RunOnce: [Win Startup] WINCFG32.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.1490856481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
Avatar billede miss-g Seniormester
28. november 2003 - 23:24 #22
Men mappen er ikke kommet igen - så noget er der sket.

Må jeg slette alle de back-up filer hijackthis har lagt på skrivebordet?
Avatar billede aovergaard Nybegynder
29. november 2003 - 03:58 #23
Hej miss-g

Så må vi prøve noget andet, for de ligger der endnu.

Genstart i fejlsikret tilstand og fix disse:
Der ligger noget mere i din log, som ikke er væk
O4 - HKLM\..\Run: [Win Startup] WINCFG32.EXE
O4 - HKCU\..\RunOnce: [Win Startup] WINCFG32.EXE
C:\WINDOWS\System32\WINCFG32.EXE


Så er der et par stykker som du rolig kan fjerne i msconfig som bare ligger og "sluger" dine kræfter
Start - kør - msconfig
Sæt en vinge ud for disse:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE

Alle de backup filer du har fået, kan du rolig slette hvis du ikke vil lave backup på dit utøj *S*

mvh. Aovergaard/Team Spywarefri
Avatar billede aovergaard Nybegynder
29. november 2003 - 04:17 #24
C:\WINDOWS\System32\WINCFG32.EXE
Denne skal  ikke fixes, men skal findes og slettes. Du må evt. ty til Dr. Delete som du finder på vores side her: http://www.spywarefri.dk/tipsogtricks.htm#dr.delete
Avatar billede miss-g Seniormester
29. november 2003 - 19:17 #25
Hej aovergaard - ja, det blev min tur nu.

Jeg har først læst dit svar nu, så jeg prøver lige at få tid til at fjerne resten i aften - ellers bliver det først i morgen.

Skal lige høre ....

Kan jeg køre Hijackthis i fejlsikret tilstand siden du skriver:
"Genstart i fejlsikret tilstand og fix disse:"
??
Avatar billede fromsej Praktikant
29. november 2003 - 19:47 #26
Ja, du kan sagtens køre Hijackthis i fejlsikret tilstand.
Avatar billede aovergaard Nybegynder
30. november 2003 - 01:03 #27
Husk at ligge en ny log, så vi kan tjekke at du nu også er clean. Og med hensyn til at slette fra fejlsikret tilstand, så valgte jeg denne løsning, da de jo ikke forsvandt først gang du fixede. Chancerne er meget større fra fejlsikret tilstand. Ved jo, at du har brug for at din computer er helt oppe og køre. *S*
Avatar billede miss-g Seniormester
01. december 2003 - 16:53 #28
Jeg kan simpelthen ikke finde C:\WINDOWS\System32\WINCFG32.EXE

søgte på den og fik dette resultat:
http://www.nicolin.dk/div/hijack.htm

Jeg kan derfor ikke slette den med Dr.Delete - kan jo ikke finde den, medmindre mit link siger jer noget?

Lægger en ny logfil ud....
Avatar billede miss-g Seniormester
01. december 2003 - 17:03 #29
Ny logfil:

Logfile of HijackThis v1.97.7
Scan saved at 16:57:40, on 01-12-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\PestPatrol\PPControl.exe
C:\Programmer\PestPatrol\CookiePatrol.exe
C:\Programmer\PestPatrol\PPMemCheck.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\WINCFG32.EXE
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\Konen\Skrivebord\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Win Startup] WINCFG32.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\RunOnce: [Win Startup] WINCFG32.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.1490856481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
Avatar billede fromsej Praktikant
01. december 2003 - 17:06 #30
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Så burde du kunne finde den.
Avatar billede arlet Juniormester
01. december 2003 - 17:09 #31
ja, eller når du går i søg, hak i søg i skjulte filer og mapper
Avatar billede miss-g Seniormester
01. december 2003 - 18:33 #32
Søger og søger....

Imellemtiden dukkede mit virusprogram op, og sagde at der var virus i nogle filer som jeg igen ikke selv har placeret på computeren. Denne gang lå de i en mappe som hedder:

D:\Dokumenter\Musik
(Ja, min dokument mappe har jeg lagt på D drevet)

Umiddelbart kunne de ligne de første filer - nemlig en masse NO-CD filer. Der var imidlertidig kun 6 af dem i mappen. Slettede dem med virusprogrammet, da de tilsyneladende indholde en virus - fik selvfølgelig ikke fat i navnet...

Mit virusprogram virker - dejligt!
Avatar billede miss-g Seniormester
01. december 2003 - 18:35 #33
Jo, mit virusprogram skriver:

Last detection: Worm/KWbot.220

Underlige ting der sker!!
Avatar billede arlet Juniormester
01. december 2003 - 18:37 #34
har du fundet den fil C:\WINDOWS\System32\WINCFG32.EXE
Avatar billede miss-g Seniormester
01. december 2003 - 18:38 #35
Den leder stadig.
Avatar billede arlet Juniormester
01. december 2003 - 18:40 #36
ellers så gør som fromsej siger, derefter kan du finde den i system32 mappen manuelt
Avatar billede gil-galad Nybegynder
01. december 2003 - 18:44 #37
du skriver at du ikke kan opdatere spybot... det er en eller anden fejl i programmet... Du skal hente fra USA, og så virker det
Avatar billede miss-g Seniormester
01. december 2003 - 19:19 #38
Selvfølgelig....

Jeg har lige slået den til "vis skjulte mapper og filer"....så hvis jeg går i stifinder nu - kan jeg se filen.

Må nok slette den i fejlsikret tilstand, da jeg ikke kan få lov at slette den nu - siger at den er i brug.

Ser lige om dr. delete kan klare den i første omgang.

Smider en ny log ...
Avatar billede arlet Juniormester
01. december 2003 - 19:22 #39
når du kan browse den så kan dr.delete slette den, det er næsten sikkert, ellers i fejlsikret som du siger*S*

Glæder mig til en sikkert ren log.
Avatar billede miss-g Seniormester
01. december 2003 - 19:44 #40
Hvordan ser det ud nu:

Logfile of HijackThis v1.97.7
Scan saved at 19:44:03, on 01-12-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\PestPatrol\PPControl.exe
C:\Programmer\PestPatrol\CookiePatrol.exe
C:\Programmer\PestPatrol\PPMemCheck.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Documents and Settings\Konen\Skrivebord\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.1490856481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
Avatar billede arlet Juniormester
01. december 2003 - 19:52 #41
Så er du ren og kan aktiver din systemgendannelse igen.

Du skal lige huske at opdater din windows og IE

For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende freeware programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Empty Temp Folders

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..

Alt sammen skal løbende opdateres, ligesom dit windows og IE..

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.
Avatar billede aovergaard Nybegynder
01. december 2003 - 20:12 #42
Det var dejligt var miss-g det var en sur omgang den der.
Avatar billede miss-g Seniormester
01. december 2003 - 21:02 #43
Tak for hjælpen allesammen!!
Avatar billede miss-g Seniormester
01. december 2003 - 21:06 #44
Att.: Spywarefri - team

Hvor er jeres ikoner blevet af, dem man skal klikke på for at downloade?
Avatar billede fromsej Praktikant
01. december 2003 - 21:08 #45
Velbekomme, selvom min del ikke var så stor. ;o)
Avatar billede arlet Juniormester
01. december 2003 - 21:24 #46
Velbekommen og tak for point*S*
Avatar billede aovergaard Nybegynder
01. december 2003 - 21:45 #47
De ikoner er da vist pist væk, jeg skal sørge for at de kommer på igen *S* Jeg havde ikke engang set de var smuttet sig en tur. Tak for oplysningen.
Avatar billede aovergaard Nybegynder
01. december 2003 - 23:04 #48
http://www.spywarefri.dk/kontaktmm.htm#kontakt
Her ligger de aller nederst, jeg kiggede på den forkerte side. *S*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Bilkøb Af arnepedersen i Andet sikkerhed 7 15/11/202415:55 18/11/202412:57
ONVIF??? Af johnnylassen i Andet sikkerhed 9 22/10/202412:50 24/10/202410:00
Synology surveillance bogmærker. Af johnnylassen i Andet sikkerhed 2 30/09/202408:37 30/09/202409:48
Kode på USB nøgle Af Peter Olsen i Andet sikkerhed 13 29/09/202409:55 01/10/202418:15
Hjælp til wifi Af Kim1998 i Andet sikkerhed 2 07/09/202412:25 09/09/202409:37
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 18:09 Billedoverførsel Af Laurids i iOS, iPhone & iPad
I dag 13:30 Hvordan ændres UniFi Dream Machine UDM til switch mode Af Kasper4450 i Internetforbindelser
I dag 13:01 Film går i stå midt i afspilningen Af ole falsted i Musik & videoafspillere
I dag 11:40 Fjerne mappe i stifinder Af Peter Olsen i Andet software
I dag 11:27 renteberegning Af Pil i Excel
White papers
Flere white papers »


Premium
Teaser billede
Vil købe tele-løsninger til det offentlige for 370 millioner kroner
Læs mere »
Efterspørgslen på AI-regnekraft er enorm - og det smitter af på priserne: "Vi kan sælge næsten alt, hvad vi får ind"
Nyt værtøj fra Microsoft: Snart kan du reparere nedbrudte Windows-enheder på distancen
Politiet skriver kontrakt på 75 millioner kroner med dansk it-firma: Medarbejdere skal flytte ind hos politiet
Se alle »
Computerworld
Teaser billede
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Læs mere »
Test: Prøv kun disse B&O-hovedtelefoner, hvis du har råd
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Telegigant klar med AI-baseret mormor: Holder telefon-svindlere fast i røret med sniksnak og dumme spørgsmål
Se alle »
CIO
Teaser billede
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Læs mere »
Kæmpe-opgave for Danske Bank har banet vej for fuldautomatiseret migrering til cloud: Nu udbredes metoden i hele AWS
Microsofts store årlige event: De tre vigtigste nøglebudskaber fra Satya Nadella om Microsofts fremtid
Tre vigtige erkendelser, som Computerworld tog med hjem fra Gartners store topmøde i Barcelona
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Topchef Sara Green mener, at der er brug for et radikalt nyt syn på it-ledelse - særligt én ny trend hader hun som pesten
Se alle »
White paper
Teaser billede
Styrk compliance, sikkerhed og overblik med ét hug
Læs mere »
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Sådan får du overblik og beskytter dine cloudapplikationer
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »