Avatar billede bottos Nybegynder
21. september 2004 - 22:32 Der er 13 kommentarer og
1 løsning

Hijackthis, har problemer med explorer

Hej

Mit Internet kører hammer langsomt, og kan dårlig åbne sider, og når det kan kører det meget langsomt, bare at oprette et
spørgsmål her er pissesvært, gider i at kigge igennem og se om der er noget spøjst?



Logfile of HijackThis v1.97.7
Scan saved at 22:11:35, on 21-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\WINDOWS\SOUNDMAN.EXE
G:\Programmer\Microsoft IntelliPoint\point32.exe
G:\Programmer\NavNT\vptray.exe
G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
G:\Program Files\Winad Client\Winad.exe
G:\Programmer\Web_Rebates\WebRebates0.exe
G:\Programmer\Logitech\Profiler\lwemon.exe
G:\WINDOWS\system32\winsrv.exe
G:\Program Files\Winad Client\WinClt.exe
G:\WINDOWS\System32\DVDRAMSV.exe
G:\Programmer\NavNT\rtvscan.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\MsgSys.EXE
G:\Programmer\Web_Rebates\WebRebates1.exe
G:\WINDOWS\system32\wuauclt.exe
D:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - G:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [IntelliPoint] "G:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [vptray] G:\Programmer\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ViewMgr] G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [Winad Client] G:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [cmmuumotmdca] G:\WINDOWS\System32\fbjvbxg.exe
Avatar billede jpvj Nybegynder
21. september 2004 - 22:36 #1
Winad.exe er spyware.

En mulighed: Hent spybot, kør den og husk at lade den hente opdateringer.
Lad den desuden "immunize" dit system. http://www.safer-networking.org/en/index.html

fbjvbxg.exe aner jeg ikke hvad er, men den ser en anelse skummel ud :-o
Avatar billede andersenph Nybegynder
21. september 2004 - 22:37 #2
Jeg kommer lige med en mere fyldestgørende instrultion *S*
Avatar billede andersenph Nybegynder
21. september 2004 - 22:40 #3
http://danborg.org/spy/HJT/hijackthis.exe
Hent lige den nyeste version af Hijackthis og kom med en ny log.

Du skal også lige forbi Windows update.
Det gør du i start ->programmer -> windows update. Du mangler SP4.
Avatar billede bottos Nybegynder
21. september 2004 - 22:43 #4
Jeg har hentet alt i windows update, der er ikke mere at hente. Jeg hentede sent lørdag Service pack2, den nye store, men det her problem har jeg først fået i går aftes.

Men henter lige hijack, hvis jeg kan8)
Avatar billede bottos Nybegynder
21. september 2004 - 22:44 #5
kan ikke komme ind på det link der8(
Avatar billede andersenph Nybegynder
21. september 2004 - 22:47 #6
Det er mig der vrøvler.
Du har jo SP" til XP.
Jeg kiggede forkert, Jeg troede det var Win2k sorry....
Avatar billede bottos Nybegynder
21. september 2004 - 22:48 #7
Logfile of HijackThis v1.98.2
Scan saved at 22:46:54, on 21-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\WINDOWS\SOUNDMAN.EXE
G:\Programmer\Microsoft IntelliPoint\point32.exe
G:\Programmer\NavNT\vptray.exe
G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
G:\Program Files\Winad Client\Winad.exe
G:\WINDOWS\System32\fbjvbxg.exe
G:\Programmer\Logitech\Profiler\lwemon.exe
G:\WINDOWS\system32\winsrv.exe
G:\Program Files\Winad Client\WinClt.exe
G:\Programmer\NavNT\defwatch.exe
G:\WINDOWS\System32\DVDRAMSV.exe
G:\WINDOWS\system32\cba\pds.exe
G:\Programmer\NavNT\rtvscan.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\cba\xfr.exe
G:\WINDOWS\system32\MsgSys.EXE
D:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - G:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [IntelliPoint] "G:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [vptray] G:\Programmer\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ViewMgr] G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [Winad Client] G:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [cmmuumotmdca] G:\WINDOWS\System32\fbjvbxg.exe
O4 - HKLM\..\Run: [WebRebates0] "G:\Programmer\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [Start WingMan Profiler] "G:\Programmer\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [Spamihilator] "G:\Programmer\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Windows Manager] G:\WINDOWS\system32\winsrv.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programmer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programmer\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c0d3036c7643bcac606d8e50549dd75a2a42c9b1e73f865a9aeca4f4fd391fe2740d086d32be70ad3dc7c551d4cb1492803e0d307bfcf33e8052977a054c538af:e2d3c5cc2079d7593465bf58cad3f091
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk/foto/components/photoupload.ocx
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - https://mysupport.nai.com/AmIUpToDate/bin/1,0,0,7/McUpdatePortal.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092951410796
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede andersenph Nybegynder
21. september 2004 - 22:51 #8
Jeg kigger den lige igennem nu. Så må vi håbe det går lidt bedre med at læse denne gang *LOL*
Avatar billede andersenph Nybegynder
21. september 2004 - 22:56 #9
Følg vejledningen her: http://www.spywarefri.dk/hjtanv.htm (punkt 6). Fix disse med HijackThis:

O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - G:\WINDOWS\localNRD.dll
O4 - HKLM\..\Run: [Winad Client] G:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [cmmuumotmdca] G:\WINDOWS\System32\fbjvbxg.exe
O4 - HKLM\..\Run: [WebRebates0] "G:\Programmer\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [Windows Manager] G:\WINDOWS\system32\winsrv.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c0d3036c7643bcac606d8e50549dd75a2a42c9b1e73f865a9aeca4f4fd391fe2740d086d32be70ad3dc7c551d4cb1492803e0d307bfcf33e8052977a054c538af




Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer og mapper

G:\WINDOWS\localNRD.dll>>>>slet filen localNRD.dll
G:\Program Files\Winad Client>>>>slet mappen Winad Client
G:\WINDOWS\System32\fbjvbxg.exe>>>>slet filen fbjvbxg.exe
G:\Programmer\Web_Rebates>>>>slet mappen Web_Rebates
G:\WINDOWS\system32\winsrv.exe>>>>slet filen winsrv.exe


Hent denne scanner:
http://www.mwti.net/antivirus/free_utilities.asp
Det er ligegyldigt hvilket af de 7 links du downloader fra.
Inde i opsætningen sætter du den til at scanne alt.
Kør scan/clean.


Derefter genstarter du og sender en ny log ind til check
Avatar billede bottos Nybegynder
21. september 2004 - 23:19 #10
Logfile of HijackThis v1.98.2
Scan saved at 23:19:04, on 21-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\WINDOWS\SOUNDMAN.EXE
G:\Programmer\Microsoft IntelliPoint\point32.exe
G:\Programmer\NavNT\vptray.exe
G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
G:\Programmer\Logitech\Profiler\lwemon.exe
G:\Programmer\NavNT\defwatch.exe
G:\WINDOWS\System32\DVDRAMSV.exe
G:\WINDOWS\system32\cba\pds.exe
G:\Programmer\NavNT\rtvscan.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\cba\xfr.exe
G:\WINDOWS\system32\MsgSys.EXE
D:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [IntelliPoint] "G:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [vptray] G:\Programmer\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ViewMgr] G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [xyyblusjvnjj] G:\WINDOWS\System32\fbjvbxg.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "G:\Programmer\Logitech\Profiler\lwemon.exe" /noui
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programmer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programmer\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk/foto/components/photoupload.ocx
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - https://mysupport.nai.com/AmIUpToDate/bin/1,0,0,7/McUpdatePortal.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?109295


allerede da jeg slettede det første i hijackthis, hjalp det, men nu har jeg kørt det hele.
Avatar billede spywarewarrior Nybegynder
22. september 2004 - 07:04 #11
Opret lige en ny mappe og lig HijackThis.exe (og diverse filer) derover i!
Avatar billede andersenph Nybegynder
22. september 2004 - 07:49 #12
Se venligst bort fra spywarewaarriors totalt inkompetente kommentar.....

Så er din log ren.
Du skal lige gøre een ting mere.
Deaktiver din systemgendannelse:
Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.
Aktiver den igen. Så skulle alt være i orden. Og husk at sætte dine mappeindstillinger tilbage.

http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254

Her er lidt læsning om sikker surfing på nettet.
Avatar billede bottos Nybegynder
22. september 2004 - 09:25 #13
Fino jeg gør det når jeg kommer hjem fra job, den virkede også glimrende i går aftes og i morges, så det er da lækkert, må håbe at det så fortsætter med at virke8)
Avatar billede andersenph Nybegynder
22. september 2004 - 09:28 #14
Tak for point :O)

Hvis du skulle få problemer igen, er jeg kun en mail herinde væk *G*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester