CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

denwous Nybegynder

23. september 2004 - 01:40 Der er 9 kommentarer og
1 løsning

Syncroad.exe + andre

hmm tror at det er en af de rigtig grimme, jeg kan i hvert fald ikke slippe af med den

ad-aware spybot S&D kan ikke fjerne den

spybot anbefaler spyblaster et eller andet, men hver gang jeg prøver at køre setuppen siger den at den er corupt.

anyways har manuelt været i regedit og slette alle oplysninger om den der, og derefter i msconfig og og forhindre opstart, men den starter op alligevel, den kan ikke lukkes i ctrl-alt-del under processer, den starter bare op igen efter et øjeblik

mappen til den ligger under "program files" og den vil heller ikke lade sig slette, den siger bare adgang nægtet

jeg kan se at der ligger noget lort, men hvor meget ved jeg ikke

en der har tid og lyst til at hjælpe lille mig endnu engang?

Logfile of HijackThis v1.98.2
Scan saved at 01:40:00, on 23-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\D-Tools\daemon.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\Pulse\Pulse.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\ANTIVIRUSSPYADAWARE\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.svkmedical.se/DC/TNO/index.php?sid=9c148def5698ae19e85e1f26086ba19c
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [Pulse] C:\Programmer\Pulse\Pulse.exe -splash
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=8c4f4634a6cb3563992c4afb91102a05d8cb6fabaea1d720dfb649ed4800f9e347d3b936bd4ef578beff3de5a7f1248299b0:61c349ac2c9d0346d02ce89775140bcf
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093397859968

spybot finder også en der hedder DSO Exploit
selvom at spybot siger at den er fixet, så når jeg kører søgningen igen lige efter, ja så er den der igen

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1 -5-1 8\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1 004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1 -5-21-842925246-261478967-839522115-1 003\Software\Microsoft\Windows\CurrentVersion\I nternet Settings\Zones\0\14!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1 -5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1 004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1 -5-1 9\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1 004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1 004!=W=3
Spybot - Search && Destroy version: 1.3
2004-08-11 Includes\Cookies.sbi
2004-08-30 Includes\Dialer.sbi
2004-08-30 Includes\Hijackers.sbi
2004-08-20 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-08-30 Includes\Malware.sbi
2004-08-12 I ncludes\Revision.sbi
2004-08-11 Includes\Security.sbi
2004-08-30 Includes\Spybots.sbi
2004-08-30 Includes\Tracks.uti
2004-08-30 Includes\Trojans.sbi

det er de oplysninger jeg har på den fra spybot

Synes godt om

tonnybrandt Nybegynder

23. september 2004 - 07:34 #1

Det er ikke en jeg har mødt før, men vi prøver lige alligevel ....

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=8c4f4634a6cb3563992c4afb91102a05d8cb6fabaea1d720dfb649ed4800f9e347d3b936bd4ef578beff3de5a7f1248299b0:61c349ac2c9d0346d02ce89775140bcf

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
C:\Program Files\Windows SyncroAd

Filer:
<ingen>

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

Synes godt om

denwous Nybegynder

23. september 2004 - 07:45 #2

hehe du er simpelthen en gud tonnybrandt, jeg gør det når jeg kommer hjem fra arb

Synes godt om

denwous Nybegynder

23. september 2004 - 12:32 #3

så lykkedes det vist, efter en lang kamp

jobliste->processer-> wuauclt.exe
<--- hvad er det for nogen?
jobliste->processer-> spoolsv.exe

Logfile of HijackThis v1.98.2
Scan saved at 12:28:41, on 23-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Pulse\Pulse.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
D:\ANTIVIRUSSPYADAWARE\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.svkmedical.se/DC/TNO/index.php?sid=9c148def5698ae19e85e1f26086ba19c
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Pulse] C:\Programmer\Pulse\Pulse.exe -splash
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093397859968

Synes godt om

denwous Nybegynder

23. september 2004 - 12:44 #4

øhh og jeg kan stadig ikke komme af med der hedder DSO exploit, den er nævnt i min første post

Synes godt om

tonnybrandt Nybegynder

23. september 2004 - 13:27 #5

Din log er fin og ren nu.

wuauclt.exe = automatisk opdatering af windows (windowsupdate)
spoolsv.exe = Print spooleren.

Begge skal være der og er der altid, også selvom man ikke har sat automatisk opdatering af windows til.

Jeg gik lidt let henover SpyBot's rapportering af en dso-exploit, men forklaringen kommer her.
Det er en kendt "bug" i Spybot at den melder denne fejl og du skal blot ignorere fejlen. Finn fra Spywarefri har skrevet lidt om fejlen her:
http://home8.inet.tele.dk/fbj/spybot_melder_om_dso_exploit.htm

Du kan hente lidt info om sikker færden på nettet her: http://www.spywarefri.dk/pakken.htm

Har du ellers nogle spørgsmål.

Synes godt om

denwous Nybegynder

23. september 2004 - 13:51 #6

hehe ja det har jeg min ven :o)

adaware finder nu også noget skrammel

Winad en eller anden form for data miner

blazefind en malware tingest

dem kan jeg heller ikke slette, de dukker bare op igen

C:\System Volume Information\_restore{B91A9AA1-6E9D-42FF-B2C1-8D49CE95CC55}\RP32\

og dette her er jo nok grunden til at den dukker op igen, men hvad gør jeg så?

du er sgu en guttermand :o)

Synes godt om

tonnybrandt Nybegynder

23. september 2004 - 13:58 #7

Prøv at gå i fejlsikret tilstand og udfør denne lille manøvre:

Slå systemgendannelse fra. Det gør du her:
Klik start | indstillinger | kontrol panel | System, fanebladet systemgendannelse.

Scan så med de værktøjer igen og se om de kan finde noget og fjerne det.
C:\System Volume Information\_restore er et beskyttet område som man ingen programmer kan skrive i eller slette fra, når systemgendannelse er slået til.

Husk at sætte systemgendannelse til igen, når du har kørt værktøjerne.

Synes godt om

denwous Nybegynder

23. september 2004 - 16:13 #8

så lykkedes det, jeg har endnu ikke helt fattet det system gendannelses princip

man går ind og opretter et gendannelses punkt(efter at man ha lavet hvad man skulle)
derefter går man ind og vælder dette punkt via msconfig, og maskinen genstarter, men hver gang at jeg siger ok til det og maskinen er genstartet, så popper msconfig op igen, og når man så siger ok genstarter den igen, og sådan bliver det ved, der er noget her jeg overser

Synes godt om

tonnybrandt Nybegynder

23. september 2004 - 17:51 #9

Åbenbart ikke *s*
Jeg har aldrig brugt systemgendannelse inde fra msconfig, så jeg er ikke helt klar over hvad du laver derinde.

Meningen var blot at du skulle ind i:
Klik start | indstillinger | kontrol panel | System, fanebladet systemgendannelse.
og slå systemgendannelse til igen efter du havde fjernet snavset.

Den skal nok selv finde ud af at labe gendannelses punkter.

Takker for point :)

Synes godt om

denwous Nybegynder

23. september 2004 - 19:23 #10

jamen det var så lidt, jeg takker for hjælpen.......det er 3 gange du har hjulpet mig nu.........

så tak for det

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Windows kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Bios Af oldemor i Windows	2	I går 12:45	I går 17:04
Bitlocker låser ikke C-drevet Af valby i Windows	8	06/01/202516:19	06/01/202520:25
Starte automatisk i Windows Media Player - Ikke VLC Media layer Af Ikke-ekspert i Windows	17	31/12/202414:16	01/01/202510:51
Windows 11 på hardware der ikke opfylder hardware kravene fra Microsoft. Af kurt54 i Windows	8	31/12/202414:08	01/01/202515:04
fuld sprogpakke på dansk til windows 7 Af sjass i Windows	10	31/12/202412:32	02/01/202517:44

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS