Avatar billede sonnic Juniormester
14. oktober 2004 - 12:05 Der er 15 kommentarer og
1 løsning

Er der en der vil se denne Hijackhis log igennem

Da jeg ikke har en rygende f.. forstand på log og hvordan den skal se ud, har jeg brug for jeres hjælp.
Min maskine er igennem de sidst par md. blevet meget langsom i opstarten, og der kommer "forkerte" opstartssider på min Browswe når jeg starter.
Hvis der er en behjertet sjæl der kan hjælpe mig, er min dag reddet.


Logfile of HijackThis v1.98.2
Scan saved at 11:57:41, on 14-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\ipvv32.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programmer\Microsoft Works\WksSb.exe
C:\WINDOWS\system32\winya32.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programmer\Classic PhoneTools\CapFax.EXE
C:\Programmer\Medion\PowerCinema\My_TV\Agent.exe
C:\Programmer\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\WINDOWS\DitExp.exe
C:\Programmer\Labtec Trådløse Skrivebord\MagicKey.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\HijackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tiscali A/S - Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: (no name) - {D990B9E1-F168-13E8-1A21-97D04D3C2F96} - C:\WINDOWS\system32\adddp32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmer\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Folder Service ] C:\Program Files\Common Files\Services\wssdtu.exe
O4 - HKLM\..\Run: [Enumeration Service ] C:\Program Files\Common Files\Services\wsys.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [appwt32.exe] C:\WINDOWS\system32\appwt32.exe
O4 - HKLM\..\Run: [winya32.exe] C:\WINDOWS\system32\winya32.exe
O4 - HKLM\..\Run: [ipxw.exe] C:\WINDOWS\system32\ipxw.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [CapFax] C:\Programmer\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programmer\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [STOPzilla] "C:\Programmer\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmer\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [DeskMateAutoUpdate] C:\PROGRA~1\DESKMA~1\DeskMateAutoUpdate.exe
O4 - HKLM\..\Run: [ipqf32.exe] C:\WINDOWS\system32\ipqf32.exe
O4 - HKLM\..\RunOnce: [iemb.exe] C:\WINDOWS\system32\iemb.exe
O4 - HKLM\..\RunOnce: [apihg.exe] C:\WINDOWS\system32\apihg.exe
O4 - HKLM\..\RunOnce: [winfg.exe] C:\WINDOWS\system32\winfg.exe
O4 - HKLM\..\RunOnce: [addvp32.exe] C:\WINDOWS\system32\addvp32.exe
O4 - HKLM\..\RunOnce: [ieqg.exe] C:\WINDOWS\ieqg.exe
O4 - HKLM\..\RunOnce: [crbc.exe] C:\WINDOWS\system32\crbc.exe
O4 - HKLM\..\RunOnce: [atlvi.exe] C:\WINDOWS\system32\atlvi.exe
O4 - HKLM\..\RunOnce: [d3dt.exe] C:\WINDOWS\system32\d3dt.exe
O4 - HKLM\..\RunOnce: [d3av32.exe] C:\WINDOWS\system32\d3av32.exe
O4 - HKLM\..\RunOnce: [winsm32.exe] C:\WINDOWS\winsm32.exe
O4 - HKLM\..\RunOnce: [appjl.exe] C:\WINDOWS\appjl.exe
O4 - HKLM\..\RunOnce: [syslm32.exe] C:\WINDOWS\system32\syslm32.exe
O4 - HKLM\..\RunOnce: [netel.exe] C:\WINDOWS\system32\netel.exe
O4 - HKLM\..\RunOnce: [sdkne.exe] C:\WINDOWS\system32\sdkne.exe
O4 - HKLM\..\RunOnce: [ntki.exe] C:\WINDOWS\ntki.exe
O4 - HKLM\..\RunOnce: [msro.exe] C:\WINDOWS\system32\msro.exe
O4 - HKLM\..\RunOnce: [ntqc32.exe] C:\WINDOWS\system32\ntqc32.exe
O4 - HKLM\..\RunOnce: [iemb32.exe] C:\WINDOWS\iemb32.exe
O4 - HKLM\..\RunOnce: [addsb.exe] C:\WINDOWS\system32\addsb.exe
O4 - HKLM\..\RunOnce: [msrb.exe] C:\WINDOWS\msrb.exe
O4 - HKLM\..\RunOnce: [ieaq32.exe] C:\WINDOWS\ieaq32.exe
O4 - HKLM\..\RunOnce: [sdkek.exe] C:\WINDOWS\system32\sdkek.exe
O4 - HKLM\..\RunOnce: [syszv.exe] C:\WINDOWS\syszv.exe
O4 - HKLM\..\RunOnce: [iehq32.exe] C:\WINDOWS\iehq32.exe
O4 - HKLM\..\RunOnce: [mfcsg32.exe] C:\WINDOWS\mfcsg32.exe
O4 - HKLM\..\RunOnce: [msfv32.exe] C:\WINDOWS\system32\msfv32.exe
O4 - HKLM\..\RunOnce: [ntsx32.exe] C:\WINDOWS\system32\ntsx32.exe
O4 - HKLM\..\RunOnce: [ipgs.exe] C:\WINDOWS\system32\ipgs.exe
O4 - HKLM\..\RunOnce: [apiqo.exe] C:\WINDOWS\apiqo.exe
O4 - HKLM\..\RunOnce: [netrw.exe] C:\WINDOWS\system32\netrw.exe
O4 - HKLM\..\RunOnce: [netpv.exe] C:\WINDOWS\netpv.exe
O4 - HKLM\..\RunOnce: [d3fg32.exe] C:\WINDOWS\system32\d3fg32.exe
O4 - HKLM\..\RunOnce: [winue32.exe] C:\WINDOWS\system32\winue32.exe
O4 - HKLM\..\RunOnce: [apiyg32.exe] C:\WINDOWS\apiyg32.exe
O4 - HKLM\..\RunOnce: [javarc.exe] C:\WINDOWS\javarc.exe
O4 - HKLM\..\RunOnce: [d3xz32.exe] C:\WINDOWS\d3xz32.exe
O4 - HKLM\..\RunOnce: [apiok.exe] C:\WINDOWS\apiok.exe
O4 - HKLM\..\RunOnce: [javawc.exe] C:\WINDOWS\javawc.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programmer\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Aktiver Labtec Trådløse Skrivebord.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm777
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Backward &Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments Control) - https://webresponse.one.microsoft.com/oas/ActiveX/FileXfer.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Sådan viser hijackthis min log...

Hilsen Villy
Avatar billede andersenph Nybegynder
14. oktober 2004 - 12:13 #1
Jeg kigger på den med det samme...
Avatar billede fromsej Praktikant
14. oktober 2004 - 12:16 #2
Andersenph>>Vær lige opmærksom på at det er en ny version.
Løsningen ligger her:
http://forums.spywareinfo.com/lofiversion/index.php/t20003.html
Avatar billede andersenph Nybegynder
14. oktober 2004 - 12:21 #3
Tak Søren jeg kigger :O)
Avatar billede sonnic Juniormester
14. oktober 2004 - 12:26 #4
jeg har en mistanke om at alt fra R1 til R3 ikke skal være der.
Men som sagt ved jeg ikke noget om emnet.
Avatar billede fromsej Praktikant
14. oktober 2004 - 12:31 #5
Det er rigtigt, og en masse i 04 er også snavs, vent på svar fra Andersenph, vi skal nok få det bæst udryddet.
Hvis nogensinde en eller anden terroristgruppe fik lyst til at blæse CoolWebSearch af helvede til, har de min fulde velsignelse.
Avatar billede andersenph Nybegynder
14. oktober 2004 - 12:32 #6
Under dette fix, må du ikke have Internet Explorer åben, så det bedste er at printe instruktionen ud - næstbedst at kopiere den over i Notepad, så du kan læse den derfra.

0. Hvis du ikke har Adaware, så skal du lige hente, installere og opdatere den. (ikke scanne endnu):

http://www.lavasoft.de/support/download

...og så skal du hente CWShredder:

http://home8.inet.tele.dk/fbj/CWShredder.exe

...og endelig skal du hente AboutBuster:

http://www.malwarebytes.biz/AboutBuster.zip

...og pakke programmet ud til sin egen mappe.

1. For at kunne se alle filer:

Åbn en mappe, klik på Vis=>Mappeindstillinger=>Vis.
Fjern flueben i "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis alle filer".

2. Gå i Start -> Kør og skriv services.msc. Led efter én eller flere af disse services (der findes legale services, der hedder noget lignende, så du skal være sikker på navnene):

Network Security Service
Remote Procedure Call (RPC) Helper
Workstation NetLogon Service

... hvis du finder én af dem - højreklik på den og vælge Egenskaber. Klik "Stop" og vælg Starttype: "Deaktiveret".

3. Genstart i Fejlsikret tilstand (ved at taste F8 under opstart).

4. Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lryvc.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {D990B9E1-F168-13E8-1A21-97D04D3C2F96} - C:\WINDOWS\system32\adddp32.dll
O4 - HKLM\..\Run: [Folder Service ] C:\Program Files\Common Files\Services\wssdtu.exe
O4 - HKLM\..\Run: [Enumeration Service ] C:\Program Files\Common Files\Services\wsys.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [appwt32.exe] C:\WINDOWS\system32\appwt32.exe
O4 - HKLM\..\Run: [winya32.exe] C:\WINDOWS\system32\winya32.exe
O4 - HKLM\..\Run: [ipxw.exe] C:\WINDOWS\system32\ipxw.exe
O4 - HKLM\..\Run: [ipqf32.exe] C:\WINDOWS\system32\ipqf32.exe
O4 - HKLM\..\RunOnce: [iemb.exe] C:\WINDOWS\system32\iemb.exe
O4 - HKLM\..\RunOnce: [apihg.exe] C:\WINDOWS\system32\apihg.exe
O4 - HKLM\..\RunOnce: [winfg.exe] C:\WINDOWS\system32\winfg.exe
O4 - HKLM\..\RunOnce: [addvp32.exe] C:\WINDOWS\system32\addvp32.exe
O4 - HKLM\..\RunOnce: [ieqg.exe] C:\WINDOWS\ieqg.exe
O4 - HKLM\..\RunOnce: [crbc.exe] C:\WINDOWS\system32\crbc.exe
O4 - HKLM\..\RunOnce: [atlvi.exe] C:\WINDOWS\system32\atlvi.exe
O4 - HKLM\..\RunOnce: [d3dt.exe] C:\WINDOWS\system32\d3dt.exe
O4 - HKLM\..\RunOnce: [d3av32.exe] C:\WINDOWS\system32\d3av32.exe
O4 - HKLM\..\RunOnce: [winsm32.exe] C:\WINDOWS\winsm32.exe
O4 - HKLM\..\RunOnce: [appjl.exe] C:\WINDOWS\appjl.exe
O4 - HKLM\..\RunOnce: [syslm32.exe] C:\WINDOWS\system32\syslm32.exe
O4 - HKLM\..\RunOnce: [netel.exe] C:\WINDOWS\system32\netel.exe
O4 - HKLM\..\RunOnce: [sdkne.exe] C:\WINDOWS\system32\sdkne.exe
O4 - HKLM\..\RunOnce: [ntki.exe] C:\WINDOWS\ntki.exe
O4 - HKLM\..\RunOnce: [msro.exe] C:\WINDOWS\system32\msro.exe
O4 - HKLM\..\RunOnce: [ntqc32.exe] C:\WINDOWS\system32\ntqc32.exe
O4 - HKLM\..\RunOnce: [iemb32.exe] C:\WINDOWS\iemb32.exe
O4 - HKLM\..\RunOnce: [addsb.exe] C:\WINDOWS\system32\addsb.exe
O4 - HKLM\..\RunOnce: [msrb.exe] C:\WINDOWS\msrb.exe
O4 - HKLM\..\RunOnce: [ieaq32.exe] C:\WINDOWS\ieaq32.exe
O4 - HKLM\..\RunOnce: [sdkek.exe] C:\WINDOWS\system32\sdkek.exe
O4 - HKLM\..\RunOnce: [syszv.exe] C:\WINDOWS\syszv.exe
O4 - HKLM\..\RunOnce: [iehq32.exe] C:\WINDOWS\iehq32.exe
O4 - HKLM\..\RunOnce: [mfcsg32.exe] C:\WINDOWS\mfcsg32.exe
O4 - HKLM\..\RunOnce: [msfv32.exe] C:\WINDOWS\system32\msfv32.exe
O4 - HKLM\..\RunOnce: [ntsx32.exe] C:\WINDOWS\system32\ntsx32.exe
O4 - HKLM\..\RunOnce: [ipgs.exe] C:\WINDOWS\system32\ipgs.exe
O4 - HKLM\..\RunOnce: [apiqo.exe] C:\WINDOWS\apiqo.exe
O4 - HKLM\..\RunOnce: [netrw.exe] C:\WINDOWS\system32\netrw.exe
O4 - HKLM\..\RunOnce: [netpv.exe] C:\WINDOWS\netpv.exe
O4 - HKLM\..\RunOnce: [d3fg32.exe] C:\WINDOWS\system32\d3fg32.exe
O4 - HKLM\..\RunOnce: [winue32.exe] C:\WINDOWS\system32\winue32.exe
O4 - HKLM\..\RunOnce: [apiyg32.exe] C:\WINDOWS\apiyg32.exe
O4 - HKLM\..\RunOnce: [javarc.exe] C:\WINDOWS\javarc.exe
O4 - HKLM\..\RunOnce: [d3xz32.exe] C:\WINDOWS\d3xz32.exe
O4 - HKLM\..\RunOnce: [apiok.exe] C:\WINDOWS\apiok.exe
O4 - HKLM\..\RunOnce: [javawc.exe] C:\WINDOWS\javawc.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm777
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll


5. Find og slet (du finder nok ikke dem alle, men slet hvad du kan finde):

C:\WINDOWS\lryvc.dll>>>>slet kun filen lryvc.dll
C:\WINDOWS\system32\adddp32.dll>>>>slet kun filen adddp32.dll
C:\Program Files\Common Files\Services\wssdtu.exe>>>>slet kun filen wssdtu.exe
C:\Program Files\Common Files\Services\wsys.exe>>>>slet kun filen wsys.exe
C:\WINDOWS\system32\appwt32.exe>>>>slet kun filen appwt32.exe
C:\WINDOWS\system32\winya32.exe>>>>slet kun filen winya32.exe
C:\WINDOWS\system32\ipxw.exe>>>>slet kun filen ipxw.exe
C:\WINDOWS\system32\ipqf32.exe>>>>slet kun filen  ipqf32.exe

Alle exe filerne fra Runonce linierne


C:\WINDOWS\MSOPT.DLL >>>>slet kun filen  (Hvis ikke den vil gå væk, skal du fjerne den med Spybot: http://www.spywarefri.dk/vaerktoj.htm#spybot)

6. Kør CWShredder, luk alle vinduer, på nær CWSschredder, klik på "Fix", den scanner nu, når den er færdig klik på "Next", klik på "Finish".

7. Kør AboutBuster - to gange.

8. Stadig i Fejlsikret tilstand - kør en scanning med Adaware (kan springes over).

9. Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files, papirkurv og downloaded program files.

10. Genstart i Normal tilstand. Kør en scanning her:

http://housecall.trendmicro.com/housecall/start_corp.asp

11. Genstart i Normal tilstand, kør HijackThis og læg en frisk log herind.
Avatar billede sonnic Juniormester
14. oktober 2004 - 12:36 #7
Tusende tak jeg prøver mig frem udfra dine anvisninger.
Vender tilbage. :)
Avatar billede sonnic Juniormester
14. oktober 2004 - 14:10 #8
Hej igen. Phy! det var en større omgang.
Maskinen er helt klart blevet hurtiger og min startside virker igen, jeg lægger lige den nye log fil,så i kan gennemse den.

Logfile of HijackThis v1.98.2
Scan saved at 14:10:33, on 14-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programmer\Microsoft Works\WksSb.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Classic PhoneTools\CapFax.EXE
C:\WINDOWS\DitExp.exe
C:\Programmer\Medion\PowerCinema\My_TV\Agent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programmer\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmer\Labtec Trådløse Skrivebord\MagicKey.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\DESKMA~1\Update.exe
C:\HijackThis\hijackthis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tiscali A/S - Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: (no name) - {D990B9E1-F168-13E8-1A21-97D04D3C2F96} - C:\WINDOWS\system32\adddp32.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmer\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [CapFax] C:\Programmer\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programmer\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [STOPzilla] "C:\Programmer\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmer\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [DeskMateAutoUpdate] C:\PROGRA~1\DESKMA~1\DeskMateAutoUpdate.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programmer\Microsoft Works\WkDetect.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Aktiver Labtec Trådløse Skrivebord.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Backward &Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments Control) - https://webresponse.one.microsoft.com/oas/ActiveX/FileXfer.cab

OK.
Avatar billede andersenph Nybegynder
14. oktober 2004 - 14:19 #9
Jo tak det er meget bedre nu, men der mangler lidt:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {D990B9E1-F168-13E8-1A21-97D04D3C2F96} - C:\WINDOWS\system32\adddp32.dll (file missing)

Disse skal du lige fixe.

Se om du i fejlsikret tilstand kan finde:
C:\WINDOWS\system32\adddp32.dll>>>>filen adddp32.dll
slet den, hvis den er der.

Kom med en ny log efter du har genstartet :O)
Avatar billede sonnic Juniormester
14. oktober 2004 - 14:23 #10
Hej igen andersenph

Jeg er desværre nød til at løbe nu, Jeg skal ind på avisen, men i aften når jeg kommer hjem vil jeg flerne det sidste.

Det har været utroligt posektivt og pro. at blive hjulpet igennem dette for mig store problem.
Jeg takker mange gange for din indsats.

Hilsen Villy.
Avatar billede andersenph Nybegynder
14. oktober 2004 - 14:29 #11
Det er bare i orden :O)

Det er ikke sikkert jeg får kigget ind i aften, men så snakkes vi bare ved i morgen.
Avatar billede sonnic Juniormester
14. oktober 2004 - 16:09 #12
Er kommet ind på Politiken nu.
Det er helt fint, hvis du kan afse et par min. til at scanne min nye log fil i morgen, nu har jeg jo levet med det i flere uger, så det haster bestemt ikke.

Jeg kan ikke lade være med at undre mig over den hurtighed og ekspatise i (du) har på dette område, er det kun en hobby, eller der det noget du lever af, de fleste firmaer betaler i dyre domme for at få renset deres netværk og maskiner for defekte Anti virus programmer, som deres konsulentfirma skulle tager sig af.

Der må da være en niche for at starte en virksomhed her, nå det var bare en strø tanke på vej på arbejde.

Vi snakkes i morgen.

Villy
Avatar billede sonnic Juniormester
14. oktober 2004 - 22:44 #13
Hej
Her så den nyeste log fil.

Men som du kan se er det ikke lykkedes mig at få fjernet disse to ?:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
------------------
Filen:C:\WINDOWS\system32\adddp32.dll
Kunne jeg ikke finde, men den mulighed beskrev du også.

AD-Aware og Norman siger at systemet er renset for virus, så tilsyneladene er alt ok, eller også kan de ikke se alt ?
-------------------
Hvis du mener at, det ser tilforladeligt ud nu, er jeg også meget tilfreds.

Logfile of HijackThis v1.98.2
Scan saved at 22:34:17, on 14-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.politiken.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tiscali A/S - Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmer\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [CapFax] C:\Programmer\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programmer\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [STOPzilla] "C:\Programmer\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmer\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [DeskMateAutoUpdate] C:\PROGRA~1\DESKMA~1\DeskMateAutoUpdate.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programmer\Microsoft Works\WkDetect.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Aktiver Labtec Trådløse Skrivebord.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Backward &Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments Control) - https://webresponse.one.microsoft.com/oas/ActiveX/FileXfer.cab

Hilsen Villy
Avatar billede andersenph Nybegynder
15. oktober 2004 - 07:26 #14
Hejsa Villy

1.) De to linier du ikke kan få væk, lader vi bare være. De er ikke snavs.

2.) Din log er ren nu :O)

3.) Du skal lige deaktivere din systemgendannelse. Højreklik på "denne computer".
Gå i "egenskaber". Find fanebladet "systemgendannelse".
Fjern vingen i aktiver systemgendannelse.
Genstart et par gange, og aktiver den så igen. Så skulle alt være tip top.

4.) Jeg løser Hijackthis logs som en hobby, men ville da gerne lave af det, hvis det var muligt.
Foreløbig arbejder jeg her på Eksperten og på www.spywarefri.dk i min fritid.
Vi har da snakket om at starte op, men vi skal jo lige se om "markedet" kan bære.

5.) Du skal lige have et par tips med i bagagen :O)
http://www.spywarefri.dk/pakken.htm
Her er gode råd om, hvordan du passer godt på din maskine fremover.

Med venlig hilsen
Andersenph
Avatar billede sonnic Juniormester
15. oktober 2004 - 14:13 #15
HEj andersenph

3: ok
4: Det må da være et grundlag for at starte en mindre konsulentvirksomhed op i denne niche, både private og virksomheder er i de sidste års tid blevet gjort opmærksom på de farer der er forbundet med virus og spayware.
Jeg ved af erfaring fra Politiken, at vi dagligt har problemer med dette, på trods af firewald og ander tiltag.
Vores It afd. bruger ca 30% af deres tid på netop dette.
Så hvis en stor virksomhed som Politiken bruger så storer recurer på ovennævnte, kan det for små firmaer og private kun være et alternativ, nemlig at betale sig fra problemerne, (hvis de ikke kender Eksperten.dk)
Problemet er nok bare at få alle gjort opmærksom på et der findes et firma der hurtigt og effektivt kan give førstehjælp.
Langt skriv :) Undskyld jeg kunne ikke lade være.

5: Jeg har installeret Spayware Doktor, som tilsyneladene fungere fint sammen med Norma som jeg betaler for.
Men efter en scanning kom den op med tyve emner som den anbefalede at jeg fjernede.
Det virker som at det er nødvendig at have en registreret ver. for at kunne fjerne disse filer. ??

  Altnet Software (HKLM\SOFTWARE\Microsoft\DownloadManager) Registry *
  C-Dilla (HKLM\SOFTWARE\C07ft5Y) Registry *
  eBates (HKLM\software\microsoft\windows\currentversion\app management\arpcache\ebatesver2.xml) Registry *
  FUNWEBPRODUCTS (HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}) Registry *
  Slotchbar (HKLM\SOFTWARE\Microsoft\DownloadManager) Registry *
  Virtual Bouncer (HKCR\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}) Registry *
  Virtual Bouncer (HKCR\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}) Registry *
  Virtual Bouncer (HKCR\CLSID\{48E59295-9880-11CF-9754-00AA00C00908}) Registry *
  Virtual Bouncer (HKCR\InetCtls.Inet) Registry *
  Virtual Bouncer (HKCR\InetCtls.Inet.1) Registry *
  Virtual Bouncer (HKCR\Interface\{48E59291-9880-11CF-9754-00AA00C00908}) Registry *
  Virtual Bouncer (HKCR\Interface\{48E59292-9880-11CF-9754-00AA00C00908}) Registry *
  Virtual Bouncer (HKCR\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}) Registry *
  WhenU (HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\1\3##MRUListEx) Registry *
  Zango Search Assistant (HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\i-lookup.com) Registry *
  Zango Search Assistant (HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\teensguru.com) Registry *
  Zango Search Assistant (HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com) Registry *
  Tracking Cookie (villy sonnichsen@adtech[2].txt) cookie file *
  Tracking Cookie (villy sonnichsen@cgi-bin[1].txt) cookie file *
  Tracking Cookie (villy sonnichsen@tribalfusion[1].txt) cookie file *

Er der en måde at fjerne disse på, eller skal jeg købe Spayware Doktor for at den selv fjerne disse.

Igen tak for megen hjælp.
Villy.
Avatar billede andersenph Nybegynder
15. oktober 2004 - 14:28 #16
Hejsa Villy

Jeg tror at Ad-aware og Spybot kan fjerne de ting som Spywaredoctor har fundet.
De er kombineret, næsten lige så gode som Spywaredoctor.
Du kan hente dem i "pakken".
Og de er gratis :O)

Kort fortalt, så henter du dem, og installerer dem. Derefter opdaterer du dem og tilsidst scanner du.
Fjern det de finder.

Tak for point i øvrigt :O)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester