CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede tzag_dk Nybegynder
28. maj 2004 - 20:30 Der er 13 kommentarer og
1 løsning

Se om der er noget snavs med HJT & underlige mapper

Hej.

Er der en venlig en der vil se om der er noget snavs?

Det er fordi at jeg har opdaget at der er blevet oprettet en masse underlige mapper i min web root :-/
Det er fx:
46391
F 43622

Hvis jeg forsøger at slette dem, får jeg beskeden: Cannot delete file: Cannot read from source file or disk.

Jeg kan godt gå ind i mappen, og der ligger fx følgende filer:
    . %d .con    1.31
  . %d .com3  4.03
Men hvis jeg forsøger at slette dem får jeg samme fejl. Og hvis jeg vil åbne mappen, så siger den bare: Access is denied

Her er HJT loggen:

Logfile of HijackThis v1.97.7
Scan saved at 20:35:57, on 28-05-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINNT\System32\llssrv.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\WINNT\System32\lserver.exe
c:\program files\microsoft enterprise instrumentation\bin\trace service\tracesessionmanager.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\mysql\bin\winmysqladmin.exe
C:\WINNT\system32\logon.scr
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Administrator\Desktop\hjt\hjt.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Adgang for alle fjernbetjening (HKLM)
O9 - Extra 'Tools' menuitem: Adgang for alle fjernbetjening (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38071.0961458333
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.aspupload.com/xupload/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{090D8D0C-28A4-4F8C-8E98-5F4D677A7D9A}: NameServer = 62.61.157.249,62.61.157.248
O17 - HKLM\System\CS1\Services\Tcpip\..\{090D8D0C-28A4-4F8C-8E98-5F4D677A7D9A}: NameServer = 62.61.157.249,62.61.157.248
O17 - HKLM\System\CS2\Services\Tcpip\..\{090D8D0C-28A4-4F8C-8E98-5F4D677A7D9A}: NameServer = 62.61.157.249,62.61.157.248


På forhånd tal :-)
// Rene
Avatar billede blitz Nybegynder
28. maj 2004 - 22:27 #1
Kikker lige på den.
Avatar billede tzag_dk Nybegynder
28. maj 2004 - 22:28 #2
tak :-)
Avatar billede blitz Nybegynder
28. maj 2004 - 22:52 #3
syntes ikke lige jeg kan finde noget, har du genstartet i fejlsikret tilstand og prøvet at slette det ?, Tryk F8 ved opstart og vælg Fejlsikret tilstand, prøv så at slette, meld tilbage hvis det ikke fungerer.

Er disse noget du selv kender til, hvis ikke slet dem i HJT.

-BLiTZ
Avatar billede blitz Nybegynder
28. maj 2004 - 22:52 #4
http://www.aspupload.com/xupload/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{090D8D0C-28A4-4F8C-8E98-5F4D677A7D9A}: NameServer = 62.61.157.249,62.61.157.248
O17 - HKLM\System\CS1\Services\Tcpip\..\{090D8D0C-28A4-4F8C-8E98-5F4D677A7D9A}: NameServer = 62.61.157.249,62.61.157.248
O17 - HKLM\System\CS2\Services\Tcpip\..\{090D8D0C-28A4-4F8C-8E98-5F4D677A7D9A}: NameServer = 62.61.157.249,62.61.157.248

dem her mener jeg ...
Avatar billede blitz Nybegynder
28. maj 2004 - 23:10 #5
prøv at downloade dette : http://download.com.com/3001-8022-10214379.html
efter installation, tryk på planeten, for at update til den nyeste reference fil, og derefter lav en scan, vær opmærksom på, at du ikke sletter dem der hedder 'windows registry', da de kan være en del af windows media player, men det kan du se nå du klikker på dem.

Rapporter lige tilbage.

-BLiTZ
Avatar billede tzag_dk Nybegynder
28. maj 2004 - 23:16 #6
Jeg kikker lige på det.
Det sidste har jeg kørt :-)

Jeg vender tilbage så hurtigt at jeg kan...
Avatar billede tzag_dk Nybegynder
28. maj 2004 - 23:21 #7
Jeg kan forresten ikke genstarte i fejlsikret tilstand, da jeg sidder på en terminal :-(

Har du ikke et andet forslag?

Og mht. dem her:
O17 - HKLM\System\CCS\Services\Tcpip\..\{090D8D0C-28A4-4F8C-8E98-5F4D677A7D9A}: NameServer = 62.61.157.249,62.61.157.248
O17 - HKLM\System\CS1\Services\Tcpip\..\{090D8D0C-28A4-4F8C-8E98-5F4D677A7D9A}: NameServer = 62.61.157.249,62.61.157.248
O17 - HKLM\System\CS2\Services\Tcpip\..\{090D8D0C-28A4-4F8C-8E98-5F4D677A7D9A}: NameServer = 62.61.157.249,62.61.157.248

Det er mine dns´er. Men skal der være 3 af dem?
Avatar billede blitz Nybegynder
28. maj 2004 - 23:31 #8
Når du sidder tilsluttet en terminal, kan jeg ikke hjælpe så meget , det eneste jeg kan råde dig til er at køre en fuld windows update på din maskine, og sørge for at du har en opdateret firewall og antivirus løsning, hvis problemet stadigt er der, kan det måske være at den terminal du tilslutter har problemet.

Er det via vpn eller andet du tilslutter terminalen ?
Avatar billede tzag_dk Nybegynder
28. maj 2004 - 23:32 #9
Det er med remote desktop
Avatar billede blitz Nybegynder
28. maj 2004 - 23:44 #10
efter du tilsluttede remote desktop, til serveren, det var der du opdagede mapperne ?, prøv at tage egenskaber på dem og se hvornår de blev oprettet, for det er jo ikke sikkert at det er pga af terminalen, på den måde kan du se hvornår der er blevet modificeret sidst.

-BLiTZ
Avatar billede tzag_dk Nybegynder
28. maj 2004 - 23:53 #11
Det stemmer ikke over ens med hvornår jeg har logget ind.
Avatar billede blitz Nybegynder
29. maj 2004 - 00:00 #12
Kan ikke se nogle problemer på din pc, men du siger at du kører remote, tilsluttert en terminal, er der andre der har tilgang til den, så er det måske der problemet ligger.
Avatar billede tzag_dk Nybegynder
01. juni 2004 - 10:08 #13
Hej igen... Så er jeg tilbage efter påsken :-)

Det er kun der har adgang til serveren ude fra.
Der hvor serveren er placeret, har de også adgang til den. Men det er kun internt, så det skulle ikke have noget at sige.
Avatar billede tzag_dk Nybegynder
10. juni 2004 - 13:41 #14
Der kommer vist ikke flere indlæg i denne her, så jeg lukker :-(

LUKKET!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 12:26 4 GB Ram er blevet væk Af Marianne Tidemann i PC
I går 12:24 strømforsyning Af Shamanji i Andet software
24/0720:17 vlc viser kegle-icon Af casablanca i Andet software
24/0714:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
24/0711:14 Bærbar til Sims 3? Af idamarie i PC
White papers
Flere white papers »


Premium
Teaser billede
Tidligere Tradeshift-CEO Christian Lanng skyder tilbage efter sexslave-anklager: Deler dagbøger og private beskeder
Læs mere »
”Det største it-nedbrud i historien” lammede store dele af verden: CrowdStrike giver nu kunder en kop kaffe som undskyldning
Top-CIO Rasmus Lundgaard Pedersen balancerer hele tiden mellem to poler
5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Sådan høster du forretningsfordelene ved Internet of Things
Læs mere »
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
MDR: Transparent sikkerhed og overvågning i realtid
Samlet platform sikrer sammenhæng, kontrol og sikkerhed i hybrid cloud
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »