Avatar billede hrskitzo Nybegynder
11. november 2004 - 09:01 Der er 7 kommentarer og
1 løsning

Nogle som vil tjekke min HijackThis-Log fil?

Hej Experter

Min computer har været utrolig langsom her på det sidste og jeg kan også mærke det når jeg spiller counter, for normalt køre det Super men nu hakker det som bar fanden. Så er der noge som lige vil tjekke min HijackThis fil? Efter at have læst nogle andre indlæg kan jeg selv se at jeg nok har lidt "lort" i computeren iform af sndloader.exe mm.


Her er HijackThis-Log filen:

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\sndloader.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\Casper Blicher\Application Data\aeas.exe
C:\Programmer\3\Mobilt modem\autoupdate_srv.exe
C:\Programmer\Valve\Steam\Steam.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Casper Blicher\Skrivebord\Programmer\hjt.exe


                    På forhånd tak
Avatar billede ejvindh Ekspert
11. november 2004 - 09:17 #1
Det du har lagt der er ikke en HJT-log, men derimod blot en oversigt over running processes. Prøv at se her, hvordan du får lavet en HJT-log (og får sat nogle indledende rensnings-foranstaltninger i gang). Pkt 1-4:
http://www.spywarefri.dk/hjtanv.htm

Når du har fået lavet loggen, kan du vælge at lægge den hos Spywarefri, eller lægge den ind i denne tråd, hvor der også nok skal være nogle der hjælper med at rense den (det er mere eller mindre de samme folk, der sidder begge steder).
Avatar billede andersenph Nybegynder
11. november 2004 - 10:15 #2
Det er sande ord for pengene ejvindh ;O)

Vi skal se _hele_ loggen for at kunne hjælpe dig :O)
Avatar billede hrskitzo Nybegynder
11. november 2004 - 17:02 #3
Her er så Loggen ;)

Logfile of HijackThis v1.98.2
Scan saved at 17:01:36, on 11-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\sndloader.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Casper Blicher\Application Data\aeas.exe
C:\WINDOWS\System32\??oolsv.exe
C:\Programmer\3\Mobilt modem\autoupdate_srv.exe
C:\Programmer\eDonkey2000\edonkey2000.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Casper Blicher\Skrivebord\Programmer\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lrpab.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lrpab.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lrpab.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lrpab.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lrpab.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmer\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programmer\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Hsua] C:\Documents and Settings\Casper Blicher\Application Data\aeas.exe
O4 - HKCU\..\Run: [Zqls] C:\WINDOWS\System32\??oolsv.exe
O4 - Global Startup: Mobilt modem Update Agent.lnk = C:\Programmer\3\Mobilt modem\autoupdate_srv.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O15 - Trusted Zone: messenger.hotmail.com
O15 - Trusted Zone: *.msn.dk
O15 - Trusted Zone: loginnet.passport.com
O15 - Trusted Zone: login.passport.net
O15 - Trusted Zone: memberservicesnet.passport.net
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ecwplugins/ncs.cab
Avatar billede andersenph Nybegynder
11. november 2004 - 17:47 #4
Hent følgende engangsantivirusscanner fra Kaspersky (den skal du bruge senere):

http://www.spywareinfo.dk/download/mwav.exe

- den skal ikke installeres, men kan køres direkte.
Sæt den til at scanne alt.
___________________________________________________

Hent Aboutbuster:

http://www.atribune.org/downloads/AboutBuster.zip

Pak zipfilen ud til en mappe du kan finde igen (den skal du også bruge senere).
___________________________________________________

Hent og Installer ReSupreme:

http://www.macecraft.com/brief_rs/

Gratis i 30 dage og giver fuld funktionalitet i 30 dage. (den skal du bruge senere)
___________________________________________________

[Du bliver nød til at skrive denne vejledning ud, da du ikke kan have forbindelse med nettet eller have andre programmer åbne end de anførte]

Løsnings procedure:

1) Du skal nu trække netstikket ud af din computer, således at du ved med garanti, at du ikke har Internet forbindelse.

2) Åben "Task Manager"/"Windows jobliste" (fanebladet Processer) (du åbner den ved at taste Ctrl+Alt+Del). Find disse processer, højreklik på dem og vælg Afslut job:

sndloader.exe
??oolsv.exe

3) Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lrpab.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lrpab.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lrpab.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lrpab.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lrpab.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKCU\..\Run: [Hsua] C:\Documents and Settings\Casper Blicher\Application Data\aeas.exe
O4 - HKCU\..\Run: [Zqls] C:\WINDOWS\System32\??oolsv.exe


4) Luk HijackThis og kør AboutBuster (den du hentede tidligere) - tryk ok til meddelelsen, tryk på start. Når den er færdig med sin scanning, kopier da den log, som kommer frem i den anden hvide boks. Gem den i notesblok, da du skal bruge den lidt senere.

5) For at kunne se alle filer:

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


6) Nu skal der rydes op i dine temp filer: Start -> Alle Programmer -> Tilbehør -> System værktøjer -> Diskoprydning. Lad den rense alle dine drev.

Gå nu i stifinder og find mappen c:\windows\temp – og slet alt indholdet.

7) Åbn Notepad/Notesblok du finder det under; Start -> Programmer -> Tilbehør. Kopier det her ind i Notepad/Notesblok:

del C:\WINDOWS\ System32\??oolsv.exe /f
del C:\WINDOWS\system32\ sndloader.exe /f



Gem filen på Skrivebordet som: RENS.bat
I filtyper skal der stå ”Alle filer”
Klik derefter på gem.

Luk ALLE vinduer - dobbeltklik på filen RENS.bat - det kan du roligt gøre et par gange.

For en sikkerheds skyld skal du bagefter, tjekke om disse filer er blevet slettet. Så søg efter dem og slet hvis de findes. Hvis du ikke kan slette dem, og der opstår fejl, prøv da at trykke ”ctrl+alt+del” og afslut dem i ”Task Manager” og prøv så at slette dem igen.

8) Kør HijackThis igen og se om de ting du lige har slettet er kommet igen. Hvis de er kommet igen, marker da disse filer igen ligesom før og fix dem, og kør igen AboutBuster… dvs. Gentag om nødvendigt punkt 2, 3,4,6 og 7.

9) Start så op i fejlsikret og find disse filer: ( Du trykker F8 nogle gange lige når Windows starter op)
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe>>>>slet kun filen realsched.exe
C:\Documents and Settings\Casper Blicher\Application Data\aeas.exe>>>>slet kun filen aeas.exe


10) Kør så RegSupreme, som du har hentet tidligere og fix/fjern det den finder.

11) Kør Engangsantivirusscanneren fra Kaspersky; Aktiver det hele i opsætningen derinde, så du får scannet alt igennem.

12) Følg det råd her med at få lagt omtalte adresse i klassificeret zone og evt. også i firewall http://www.spywarefri.dk/virus.htm#snedig

13) Genstart din computer

14) Tilslut din internet forbindelse igen og læg en frisk HijackThis log herind sammen med den rapport du kopierede i pkt. 4.
Avatar billede hrskitzo Nybegynder
11. november 2004 - 21:15 #5
Her er så en frisk HijackThis log:

Logfile of HijackThis v1.98.2
Scan saved at 21:14:01, on 11-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\3\Mobilt modem\autoupdate_srv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Casper Blicher\Skrivebord\Programmer\hjt.exe
C:\Programmer\Internet Explorer\iexplore.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmer\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programmer\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Mobilt modem Update Agent.lnk = C:\Programmer\3\Mobilt modem\autoupdate_srv.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O15 - Trusted Zone: messenger.hotmail.com
O15 - Trusted Zone: *.msn.dk
O15 - Trusted Zone: loginnet.passport.com
O15 - Trusted Zone: login.passport.net
O15 - Trusted Zone: memberservicesnet.passport.net
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ecwplugins/ncs.cab
Avatar billede andersenph Nybegynder
11. november 2004 - 21:54 #6
Din log er nu helt ren.

Efter sådan en tur er det altid en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så skal du også lige skjule dine filer og mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.


Lidt råd med på vejen herfra skal du da også have.
For at sikre din pc fremover ville det være en god idé at bruge nogle af programmerne fra denne lille pakke som du kan se her:
http://www.spywarefri.dk/pakken.htm
Avatar billede hrskitzo Nybegynder
11. november 2004 - 22:27 #7
Du har gjordt et flot stykke arbejde, tak skal du have ;)

MVH
Hrskitzo
Avatar billede andersenph Nybegynder
12. november 2004 - 07:25 #8
Jamen det var da så lidt :O)

Du skal tilgengæld have mange tak for point ;O)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester