CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede stroke1 Nybegynder
10. december 2004 - 12:59 Der er 20 kommentarer

hijack log

Hej.
Jeg har en hijack logfil efter kørsel af "hijack this" progammet. Den ser sådan ud ( Er der noget som jeg bør slette ?? ) :

Logfile of HijackThis v1.98.2
Scan saved at 12:55:28, on 10-12-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Messenger\msmsgs.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\eMule\emule.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
c:\documents and settings\michael højgård\lokale indstillinger\temp\fsg_4203.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Michael \Lokale indstillinger\Temporary Internet Files\Content.IE5\4LOJGZW3\hijackthis[1].exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [xvwiz32] C:\WINDOWS\system32\xvwizard32.hta
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programmer\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKLM\..\RunOnce: [DRU] C:\Documents and Settings\BB443B11-7D12-450c-9F85-2D32804655F9\temp\DirectoryRemovalUtility.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xvwiz32] C:\Documents and Settings\Michael \Dokumenter\xvwizard32.hta
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: DLHelperEXE.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: GStartup.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Avatar billede victor-1 Nybegynder
10. december 2004 - 13:02 #1
Jeg kigger den lige igennem for dig *S*
Avatar billede victor-1 Nybegynder
10. december 2004 - 13:05 #2
Du skal først få installeret Service Pack 1 (SP1) - dernæst komme med en ny log.

OBS:
Lad være med at installere SP2 - det må KUN gøres på en HELT ren maskine og det er din ikke.
Avatar billede victor-1 Nybegynder
10. december 2004 - 13:06 #3
Glemte lige dette link til dig, hvor du kan hente SP1
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Avatar billede stroke1 Nybegynder
10. december 2004 - 13:14 #4
hvorfor skal jeg inst. SP1 ??
Avatar billede stroke1 Nybegynder
10. december 2004 - 13:18 #5
og tror iøvrigt jeg har SP1 på maskinen..
Avatar billede andersenph Nybegynder
10. december 2004 - 13:27 #6
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Nej det har du ikke, og det skal du altså have, for at sikre dig mod blaster og sasser vira
Den opdaterede maskine får heller ikke gaobot worms som din har i øjeblikket....
Avatar billede stroke1 Nybegynder
10. december 2004 - 13:32 #7
okay jeg inst. lige sp1 og vender tilbage !
Avatar billede stroke1 Nybegynder
10. december 2004 - 13:35 #8
hvor ser du iøvrigt at jeg har gaobot worms ?
Avatar billede andersenph Nybegynder
10. december 2004 - 14:03 #9
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
Avatar billede andersenph Nybegynder
10. december 2004 - 14:16 #10
Faktisk nu når jeg finkigger i din log, så kan jeg jo se at du har noget P2Pnetworking liggende. Det er jo en sikker måde at få de worms som du har pådraget dig :O)

Gå i kontrolpanel -> tilføj/fjern programmer og slet dit P2Pnetworking.

Genstart og følg denne vejledning. Vi bliver nødt til at rense dinmaskine inden du lægger SP1 ind.Følg vejledningen her: http://www.spywarefri.dk/hjtanv.htm (punkt 6). Fix disse med HijackThis:

O4 - HKLM\..\Run: [xvwiz32] C:\WINDOWS\system32\xvwizard32.hta
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programmer\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKLM\..\RunOnce: [DRU] C:\Documents and Settings\BB443B11-7D12-450c-9F85-2D32804655F9\temp\DirectoryRemovalUtility.exe
O4 - HKCU\..\Run: [xvwiz32] C:\Documents and Settings\Michael \Dokumenter\xvwizard32.hta
O4 - Startup: DLHelperEXE.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: GStartup.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Gå i start -> søg og søg efter disse filer og mapper:

Mapper:

C:\Programmer\Common files\SearchUpgrader


Filer:

C:\WINDOWS\system32\xvwizard32.hta
C:\Documents and Settings\BB443B11-7D12-450c-9F85-2D32804655F9\temp\DirectoryRemovalUtility.exe

C:\Documents and Settings\Michael \Dokumenter\xvwizard32.hta
Hent cwshredder her:


Derefter genstarter du og sender en ny log ind til check
Avatar billede stroke1 Nybegynder
10. december 2004 - 14:25 #11
hmmmm.... er godt i gang med at installere SP1, skal jeg så starte forfra med det ??
Avatar billede stroke1 Nybegynder
10. december 2004 - 15:01 #12
Herunder  står der at man skal inst. SP1 først, men du siger at jeg skal rense maskinen først ???? Hvad skal jeg dog gøre :-)???


1. VIGTIGT: Windows Update

Hent og installer Service Pack 1 (SP1 el. SP2 gælder for dem som har Windows XP) til Windows og Internet Explorer samt alle kritiske opdateringer her:
http://v4.windowsupdate.microsoft.com/da/default.asp Det er næsten umuligt at rense en computer, som ikke er opdateret med disse.

Er du det mindste i tvivl om du har spyware liggende, så må du endlig Ikke opdatere til SP2, da din maksine i værste fald kan bryde ned. Du skal dog stadig installere SP1. Du finder SP1 her
Avatar billede stroke1 Nybegynder
10. december 2004 - 17:05 #13
sidste log efter hijack og spyboot er udført :
Logfile of HijackThis v1.98.2
Scan saved at 17:03:03, on 10-12-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\eMule\emule.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Michael\Lokale indstillinger\Temporary Internet Files\Content.IE5\4LOJGZW3\hijackthis[1].exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [xvwiz32] C:\Documents and Settings\Michael\Dokumenter\xvwizard32.hta
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
Avatar billede stroke1 Nybegynder
10. december 2004 - 17:05 #14
er det ok ?
Avatar billede andersenph Nybegynder
10. december 2004 - 20:41 #15
Loggen er ren

Se du at få opdateret i en fart.
Kom med en log når du er oppe på ServicePack 2, så jeg kan se alt er i orden.

Du må undskylde at vi forvirrer dig lidt mht. hvornår man skal rense og hvornår man skal opdatere. Det er vi til tider ikke helt enige om.
Men nu kan du godt opdatere. Hellere i dag end i morgen.
Avatar billede stroke1 Nybegynder
10. december 2004 - 21:58 #16
Har prøvet at opdatere til SP1 men det ka ikke lade sig gøre da min windows xp ikke er en original udgave ....
Avatar billede andersenph Nybegynder
11. december 2004 - 00:18 #17
Så synes jeg du skulle se at få KØBT en original udgave for den kan nemlæig OPDATERES så man undgår VIRUS og WORMS og andet L***

Nu er det jo sådan at jeg giver dig en chance her for at få renset din pc, og så er det alligevel en piratkopi når det kommer til stykket.
Det er jeg overhovedet IKKE ligeglad med :O(

Nu kan du jo hygge dig med dine vira indtil du får købt en original.

Jeg tillader mig den frækhed at anmelde dig for kopivarer!!!
Avatar billede andersenph Nybegynder
11. december 2004 - 00:22 #18
Det er hermed gjort!!
Avatar billede stroke1 Nybegynder
11. december 2004 - 12:21 #19
hmm.. lidt grinagtigt, tror også jeg vil melde ham der har holdt parkeret for længe her uden for mit vindue...
Tak for hjælpen, og god weekend :-)
Avatar billede fcs Novice
23. december 2004 - 00:17 #20
Stroke1>> Eksperten er ikke til for at hjælpe dig med dine ulovlige programmer. For fremtiden bedes du lade være med at spørge om hjælp der involverer dine ulovlige programmer

Du tildeles hermed en advarsel og sker der noget lignende igen vil din bruger blive deaktiveret

FCS/Coadmin
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 00:51 LibreOffice blokeres ved start Af Nobbernitte i Office & Kontorpakker
I går 12:26 4 GB Ram er blevet væk Af Marianne Tidemann i PC
I går 12:24 strømforsyning Af Shamanji i Andet software
24/0720:17 vlc viser kegle-icon Af casablanca i Andet software
24/0714:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
White papers
Flere white papers »


Premium
Teaser billede
Færre studerende på landets it-uddannelser: "Vi går glip af unge mennesker, der gerne vil læse en it-uddannelse"
Læs mere »
Overblik: Sådan forløb årets største databrud - mindst 165 organisationer ramt
Tidligere Tradeshift-CEO Christian Lanng skyder tilbage efter sexslave-anklager: Deler dagbøger og private beskeder
”Det største it-nedbrud i historien” lammede store dele af verden: CrowdStrike giver nu kunder en kop kaffe som undskyldning
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Samlet platform sikrer sammenhæng, kontrol og sikkerhed i hybrid cloud
Læs mere »
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Sådan får du overblik og beskytter dine cloudapplikationer
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »