CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede miss-g Seniormester
28. november 2003 - 22:29 Der er 47 kommentarer og
1 løsning

Er jeg blevet hijacked?

Er det virkelig min tur nu?

Jeg har en mappe som lægger sig i C:\WINDOWS\system32 og kalder sig drivers32. Den indeholder en masse crackfiler som jeg overhovedet ikke har bedt om.

Jeg kan godt slette mappen, men når jeg genstarter computeren er den der igen.

Hvor kommer den fra?
Avatar billede skraldemanden Nybegynder
28. november 2003 - 22:34 #1
Virus. Du skal ind i dos hvis du kan og slette dem. Hved ikke hvilken OS du har ??
-Skraldemanden
Avatar billede arlet Juniormester
28. november 2003 - 22:36 #2
Vi skal nok igennem hijackthis, for at fjerne den helt.

For at løse problemet skal du hente 2 programmer.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, alle filer den har fundet, der er røde skal markeres, tryk så på afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.


DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...


Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm
Avatar billede miss-g Seniormester
28. november 2003 - 22:37 #3
Win XP og har overhovedet ikke forstand på DOS.

Har scannet med mit nuværende virusprogram: Antivir, og Ad-Aware - fandt intet.
Avatar billede miss-g Seniormester
28. november 2003 - 22:38 #4
Ja, jeg har kørt en Hijack this - og selvfølgelig ikke gjort noget på egen hånd. Har også Spyboot - prøver lige at køre den.
Avatar billede arlet Juniormester
28. november 2003 - 22:39 #5
glem spybot, kom bare med hjt loggen
Avatar billede miss-g Seniormester
28. november 2003 - 22:41 #6
Ja, spybot er der også ged i - den vil ikke downloade opdateringen. Her er Hijack logen:

Logfile of HijackThis v1.97.7
Scan saved at 22:25:53, on 28-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\WINCFG32.EXE
C:\Programmer\PestPatrol\PPControl.exe
C:\Programmer\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\iexplore32.exe
C:\Programmer\PestPatrol\PPMemCheck.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Konen\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0 - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084 - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B0848 - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Win Startup] WINCFG32.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [IELoader32] iexplore32.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [Win Startup] WINCFG32.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.1490856481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
Avatar billede miss-g Seniormester
28. november 2003 - 22:41 #7
Ved ikke hvad superwebsearch er - ikke noget jeg har bedt om.
Avatar billede metal_hansen Nybegynder
28. november 2003 - 22:44 #8
det er vist en kazaa-virus, mener jeg
Avatar billede miss-g Seniormester
28. november 2003 - 22:45 #9
Har lige hentet en ny version af spybot - underligt at den stadig ikke vil hente opdateringerne..... hm.
Avatar billede arlet Juniormester
28. november 2003 - 22:46 #10
ja, den er grim den log..

Tjekker den lige, der går en halv times tid..

Slet ikke noget imens
Avatar billede miss-g Seniormester
28. november 2003 - 22:47 #11
Bare ok *S*
Avatar billede skraldemanden Nybegynder
28. november 2003 - 22:55 #12
Jeg bruger Limewire nu da der ikke er saa meget virus i omloeb. Ellers husk og tjeck alle filer du downloader for virus inden du hoerer eller bruger cracks.
Avatar billede miss-g Seniormester
28. november 2003 - 22:57 #13
Jeg downloader ikke cracks *G* Jeg troede også et virusprogram automatisk tjekkede filer man henter fra nettet? Det gør de måske ikke?
Avatar billede skraldemanden Nybegynder
28. november 2003 - 22:59 #14
ikke alle . hvilken en bruger du ??
Avatar billede arlet Juniormester
28. november 2003 - 23:01 #15
Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0 - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084 - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B0848 - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Win Startup] WINCFG32.EXE
O4 - HKLM\..\Run: [IELoader32] iexplore32.exe
O4 - HKCU\..\RunOnce: [Win Startup] WINCFG32.EXE
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab


Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\WINDOWS\System32\WINCFG32.EXE
C:\WINDOWS\System32\iexplore32.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må de aktiver din systemgendannelse igen.
Avatar billede miss-g Seniormester
28. november 2003 - 23:08 #16
Nu er de markeret.
Skal jeg første genstarte normalt, og derefter i fejlsikret tilstand?
Avatar billede arlet Juniormester
28. november 2003 - 23:09 #17
Nej, genstart i fejlsikret
Avatar billede miss-g Seniormester
28. november 2003 - 23:10 #18
Og hvis den smutter forbi fejlsikret...? Har prøvet det før *G*
Avatar billede arlet Juniormester
28. november 2003 - 23:11 #19
Hvis den ikke vil i fejlsikret, prøver du bare efter alm genstart
Avatar billede miss-g Seniormester
28. november 2003 - 23:11 #20
Jeg prøver....
Avatar billede miss-g Seniormester
28. november 2003 - 23:22 #21
Jeg kunne altså ikke finde denne:

C:\WINDOWS\System32\WINCFG32.EXE


NY logfil:

Logfile of HijackThis v1.97.7
Scan saved at 23:21:50, on 28-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\PestPatrol\PPControl.exe
C:\Programmer\PestPatrol\CookiePatrol.exe
C:\Programmer\PestPatrol\PPMemCheck.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\WINCFG32.EXE
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Documents and Settings\Konen\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Win Startup] WINCFG32.EXE
O4 - HKCU\..\RunOnce: [Win Startup] WINCFG32.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.1490856481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
Avatar billede miss-g Seniormester
28. november 2003 - 23:24 #22
Men mappen er ikke kommet igen - så noget er der sket.

Må jeg slette alle de back-up filer hijackthis har lagt på skrivebordet?
Avatar billede aovergaard Nybegynder
29. november 2003 - 03:58 #23
Hej miss-g

Så må vi prøve noget andet, for de ligger der endnu.

Genstart i fejlsikret tilstand og fix disse:
Der ligger noget mere i din log, som ikke er væk
O4 - HKLM\..\Run: [Win Startup] WINCFG32.EXE
O4 - HKCU\..\RunOnce: [Win Startup] WINCFG32.EXE
C:\WINDOWS\System32\WINCFG32.EXE


Så er der et par stykker som du rolig kan fjerne i msconfig som bare ligger og "sluger" dine kræfter
Start - kør - msconfig
Sæt en vinge ud for disse:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE

Alle de backup filer du har fået, kan du rolig slette hvis du ikke vil lave backup på dit utøj *S*

mvh. Aovergaard/Team Spywarefri
Avatar billede aovergaard Nybegynder
29. november 2003 - 04:17 #24
C:\WINDOWS\System32\WINCFG32.EXE
Denne skal  ikke fixes, men skal findes og slettes. Du må evt. ty til Dr. Delete som du finder på vores side her: http://www.spywarefri.dk/tipsogtricks.htm#dr.delete
Avatar billede miss-g Seniormester
29. november 2003 - 19:17 #25
Hej aovergaard - ja, det blev min tur nu.

Jeg har først læst dit svar nu, så jeg prøver lige at få tid til at fjerne resten i aften - ellers bliver det først i morgen.

Skal lige høre ....

Kan jeg køre Hijackthis i fejlsikret tilstand siden du skriver:
"Genstart i fejlsikret tilstand og fix disse:"
??
Avatar billede fromsej Praktikant
29. november 2003 - 19:47 #26
Ja, du kan sagtens køre Hijackthis i fejlsikret tilstand.
Avatar billede aovergaard Nybegynder
30. november 2003 - 01:03 #27
Husk at ligge en ny log, så vi kan tjekke at du nu også er clean. Og med hensyn til at slette fra fejlsikret tilstand, så valgte jeg denne løsning, da de jo ikke forsvandt først gang du fixede. Chancerne er meget større fra fejlsikret tilstand. Ved jo, at du har brug for at din computer er helt oppe og køre. *S*
Avatar billede miss-g Seniormester
01. december 2003 - 16:53 #28
Jeg kan simpelthen ikke finde C:\WINDOWS\System32\WINCFG32.EXE

søgte på den og fik dette resultat:
http://www.nicolin.dk/div/hijack.htm

Jeg kan derfor ikke slette den med Dr.Delete - kan jo ikke finde den, medmindre mit link siger jer noget?

Lægger en ny logfil ud....
Avatar billede miss-g Seniormester
01. december 2003 - 17:03 #29
Ny logfil:

Logfile of HijackThis v1.97.7
Scan saved at 16:57:40, on 01-12-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\PestPatrol\PPControl.exe
C:\Programmer\PestPatrol\CookiePatrol.exe
C:\Programmer\PestPatrol\PPMemCheck.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\WINCFG32.EXE
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\Konen\Skrivebord\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Win Startup] WINCFG32.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\RunOnce: [Win Startup] WINCFG32.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.1490856481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
Avatar billede fromsej Praktikant
01. december 2003 - 17:06 #30
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Så burde du kunne finde den.
Avatar billede arlet Juniormester
01. december 2003 - 17:09 #31
ja, eller når du går i søg, hak i søg i skjulte filer og mapper
Avatar billede miss-g Seniormester
01. december 2003 - 18:33 #32
Søger og søger....

Imellemtiden dukkede mit virusprogram op, og sagde at der var virus i nogle filer som jeg igen ikke selv har placeret på computeren. Denne gang lå de i en mappe som hedder:

D:\Dokumenter\Musik
(Ja, min dokument mappe har jeg lagt på D drevet)

Umiddelbart kunne de ligne de første filer - nemlig en masse NO-CD filer. Der var imidlertidig kun 6 af dem i mappen. Slettede dem med virusprogrammet, da de tilsyneladende indholde en virus - fik selvfølgelig ikke fat i navnet...

Mit virusprogram virker - dejligt!
Avatar billede miss-g Seniormester
01. december 2003 - 18:35 #33
Jo, mit virusprogram skriver:

Last detection: Worm/KWbot.220

Underlige ting der sker!!
Avatar billede arlet Juniormester
01. december 2003 - 18:37 #34
har du fundet den fil C:\WINDOWS\System32\WINCFG32.EXE
Avatar billede miss-g Seniormester
01. december 2003 - 18:38 #35
Den leder stadig.
Avatar billede arlet Juniormester
01. december 2003 - 18:40 #36
ellers så gør som fromsej siger, derefter kan du finde den i system32 mappen manuelt
Avatar billede gil-galad Nybegynder
01. december 2003 - 18:44 #37
du skriver at du ikke kan opdatere spybot... det er en eller anden fejl i programmet... Du skal hente fra USA, og så virker det
Avatar billede miss-g Seniormester
01. december 2003 - 19:19 #38
Selvfølgelig....

Jeg har lige slået den til "vis skjulte mapper og filer"....så hvis jeg går i stifinder nu - kan jeg se filen.

Må nok slette den i fejlsikret tilstand, da jeg ikke kan få lov at slette den nu - siger at den er i brug.

Ser lige om dr. delete kan klare den i første omgang.

Smider en ny log ...
Avatar billede arlet Juniormester
01. december 2003 - 19:22 #39
når du kan browse den så kan dr.delete slette den, det er næsten sikkert, ellers i fejlsikret som du siger*S*

Glæder mig til en sikkert ren log.
Avatar billede miss-g Seniormester
01. december 2003 - 19:44 #40
Hvordan ser det ud nu:

Logfile of HijackThis v1.97.7
Scan saved at 19:44:03, on 01-12-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\PestPatrol\PPControl.exe
C:\Programmer\PestPatrol\CookiePatrol.exe
C:\Programmer\PestPatrol\PPMemCheck.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Documents and Settings\Konen\Skrivebord\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.1490856481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DBB7FF4-A58E-4B3D-B736-149580DD6BE3}: NameServer = 193.162.159.194,193.162.145.130
Avatar billede arlet Juniormester
01. december 2003 - 19:52 #41
Så er du ren og kan aktiver din systemgendannelse igen.

Du skal lige huske at opdater din windows og IE

For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende freeware programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Empty Temp Folders

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..

Alt sammen skal løbende opdateres, ligesom dit windows og IE..

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.
Avatar billede aovergaard Nybegynder
01. december 2003 - 20:12 #42
Det var dejligt var miss-g det var en sur omgang den der.
Avatar billede miss-g Seniormester
01. december 2003 - 21:02 #43
Tak for hjælpen allesammen!!
Avatar billede miss-g Seniormester
01. december 2003 - 21:06 #44
Att.: Spywarefri - team

Hvor er jeres ikoner blevet af, dem man skal klikke på for at downloade?
Avatar billede fromsej Praktikant
01. december 2003 - 21:08 #45
Velbekomme, selvom min del ikke var så stor. ;o)
Avatar billede arlet Juniormester
01. december 2003 - 21:24 #46
Velbekommen og tak for point*S*
Avatar billede aovergaard Nybegynder
01. december 2003 - 21:45 #47
De ikoner er da vist pist væk, jeg skal sørge for at de kommer på igen *S* Jeg havde ikke engang set de var smuttet sig en tur. Tak for oplysningen.
Avatar billede aovergaard Nybegynder
01. december 2003 - 23:04 #48
http://www.spywarefri.dk/kontaktmm.htm#kontakt
Her ligger de aller nederst, jeg kiggede på den forkerte side. *S*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Automatisering af certifikat proces - Danske virksomheder Af Søren i Andet sikkerhed 1 29/05/202414:23 30/05/202409:03
VPN i forhold til facebook? Af Novice-1 i Andet sikkerhed 2 26/05/202412:09 26/05/202420:54
Fjerne adgangskode Af Geo" søster i Andet sikkerhed 4 25/04/202418:19 26/04/202422:46
Krypetring af USB -stick Af FinBalance i Andet sikkerhed 16 04/03/202412:39 08/03/202415:52
Hvorfor nævnes VPN beskyttelse aldrig af eksperter? Af jcr18 i Andet sikkerhed 11 01/03/202419:47 04/03/202411:25
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
IT-JOB

Capgemini Danmark A/S

Salesforce CTO - Nordics

Udviklings- og Forenklingsstyrelsen

Projektkonsulent med flair for ledelsesrapportering og koordinering

Udlændinge- og Integrationsministeriet

Forretningsudvikler med fokus på digitalisering og AI

Netcompany A/S

Data Management Consultant

Udviklings- og Forenklingsstyrelsen

Business Analyst med flair for test
Seneste spørgsmål Seneste aktivitet
27 min siden Kan min mobil hackes Af SBS i Mobiltelefoner
I dag 12:56 Forskellige billeder til forskellige skærme ? Af snedker1 i Mac
I dag 11:56 Om brug af funktionen sumprodukt Af Erik R i Excel
I går 22:41 Hjælp til at skrive opgave Af Needhelp i Småopgaver
I går 14:04 Pixeline cd’er til PC Af Mathilde i Windows
White papers
Flere white papers »


Premium
Teaser billede
Dynamics-kæmpen Cepheo leverer røde tal i første regnskab som selvstændigt selskab
Læs mere »
IBM-direktør efter blodrødt regnskab: “Vi er godt på vej ud af det stormvejr, som ramte os i 2023”
Stiftere overvejer at gøre Flatpay til en bank – krav om compliance er en stopklods
Rejsekort reducerer kraftigt den tid, som selskabet vil beholde dine lokationsdata i: Vil nu slette dem efter få måneder
Se alle »
Computerworld
Teaser billede
Test: Endelig en skærm der er god til alt - lige fra gaming og underholdning til kontorbrug
Læs mere »
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
700.000 Linux-systemer kan været truet af ny alvorlig sårbarhed
Wordperfect-stifteren Bruce Bastian er død: Han revolutionerede tekstbehandlingen, men tabte slaget til Microsoft
Se alle »
CIO
Teaser billede
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Læs mere »
Russisk hack af Microsoft er meget større end først antaget
Halter mange år bagefter: Langsom software-udvikling udfordrer kæmpe digitalt løft af Billund Lufthavn
Efter forbud fra Datatilsynet: Nu ændres data-håndteringen i din kørekort-app
Se alle »
Job & Karriere
Teaser billede
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Informationshåndtering på frontlinjen: Sådan optimerer du med automatisering
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »