CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede stroke1 Nybegynder
10. december 2004 - 12:59 Der er 20 kommentarer

hijack log

Hej.
Jeg har en hijack logfil efter kørsel af "hijack this" progammet. Den ser sådan ud ( Er der noget som jeg bør slette ?? ) :

Logfile of HijackThis v1.98.2
Scan saved at 12:55:28, on 10-12-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Messenger\msmsgs.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\eMule\emule.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
c:\documents and settings\michael højgård\lokale indstillinger\temp\fsg_4203.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Michael \Lokale indstillinger\Temporary Internet Files\Content.IE5\4LOJGZW3\hijackthis[1].exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [xvwiz32] C:\WINDOWS\system32\xvwizard32.hta
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programmer\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKLM\..\RunOnce: [DRU] C:\Documents and Settings\BB443B11-7D12-450c-9F85-2D32804655F9\temp\DirectoryRemovalUtility.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xvwiz32] C:\Documents and Settings\Michael \Dokumenter\xvwizard32.hta
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: DLHelperEXE.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: GStartup.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Avatar billede victor-1 Nybegynder
10. december 2004 - 13:02 #1
Jeg kigger den lige igennem for dig *S*
Avatar billede victor-1 Nybegynder
10. december 2004 - 13:05 #2
Du skal først få installeret Service Pack 1 (SP1) - dernæst komme med en ny log.

OBS:
Lad være med at installere SP2 - det må KUN gøres på en HELT ren maskine og det er din ikke.
Avatar billede victor-1 Nybegynder
10. december 2004 - 13:06 #3
Glemte lige dette link til dig, hvor du kan hente SP1
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Avatar billede stroke1 Nybegynder
10. december 2004 - 13:14 #4
hvorfor skal jeg inst. SP1 ??
Avatar billede stroke1 Nybegynder
10. december 2004 - 13:18 #5
og tror iøvrigt jeg har SP1 på maskinen..
Avatar billede andersenph Nybegynder
10. december 2004 - 13:27 #6
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Nej det har du ikke, og det skal du altså have, for at sikre dig mod blaster og sasser vira
Den opdaterede maskine får heller ikke gaobot worms som din har i øjeblikket....
Avatar billede stroke1 Nybegynder
10. december 2004 - 13:32 #7
okay jeg inst. lige sp1 og vender tilbage !
Avatar billede stroke1 Nybegynder
10. december 2004 - 13:35 #8
hvor ser du iøvrigt at jeg har gaobot worms ?
Avatar billede andersenph Nybegynder
10. december 2004 - 14:03 #9
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
Avatar billede andersenph Nybegynder
10. december 2004 - 14:16 #10
Faktisk nu når jeg finkigger i din log, så kan jeg jo se at du har noget P2Pnetworking liggende. Det er jo en sikker måde at få de worms som du har pådraget dig :O)

Gå i kontrolpanel -> tilføj/fjern programmer og slet dit P2Pnetworking.

Genstart og følg denne vejledning. Vi bliver nødt til at rense dinmaskine inden du lægger SP1 ind.Følg vejledningen her: http://www.spywarefri.dk/hjtanv.htm (punkt 6). Fix disse med HijackThis:

O4 - HKLM\..\Run: [xvwiz32] C:\WINDOWS\system32\xvwizard32.hta
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programmer\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKLM\..\RunOnce: [DRU] C:\Documents and Settings\BB443B11-7D12-450c-9F85-2D32804655F9\temp\DirectoryRemovalUtility.exe
O4 - HKCU\..\Run: [xvwiz32] C:\Documents and Settings\Michael \Dokumenter\xvwizard32.hta
O4 - Startup: DLHelperEXE.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: GStartup.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Gå i start -> søg og søg efter disse filer og mapper:

Mapper:

C:\Programmer\Common files\SearchUpgrader


Filer:

C:\WINDOWS\system32\xvwizard32.hta
C:\Documents and Settings\BB443B11-7D12-450c-9F85-2D32804655F9\temp\DirectoryRemovalUtility.exe

C:\Documents and Settings\Michael \Dokumenter\xvwizard32.hta
Hent cwshredder her:


Derefter genstarter du og sender en ny log ind til check
Avatar billede stroke1 Nybegynder
10. december 2004 - 14:25 #11
hmmmm.... er godt i gang med at installere SP1, skal jeg så starte forfra med det ??
Avatar billede stroke1 Nybegynder
10. december 2004 - 15:01 #12
Herunder  står der at man skal inst. SP1 først, men du siger at jeg skal rense maskinen først ???? Hvad skal jeg dog gøre :-)???


1. VIGTIGT: Windows Update

Hent og installer Service Pack 1 (SP1 el. SP2 gælder for dem som har Windows XP) til Windows og Internet Explorer samt alle kritiske opdateringer her:
http://v4.windowsupdate.microsoft.com/da/default.asp Det er næsten umuligt at rense en computer, som ikke er opdateret med disse.

Er du det mindste i tvivl om du har spyware liggende, så må du endlig Ikke opdatere til SP2, da din maksine i værste fald kan bryde ned. Du skal dog stadig installere SP1. Du finder SP1 her
Avatar billede stroke1 Nybegynder
10. december 2004 - 17:05 #13
sidste log efter hijack og spyboot er udført :
Logfile of HijackThis v1.98.2
Scan saved at 17:03:03, on 10-12-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\eMule\emule.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Michael\Lokale indstillinger\Temporary Internet Files\Content.IE5\4LOJGZW3\hijackthis[1].exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [xvwiz32] C:\Documents and Settings\Michael\Dokumenter\xvwizard32.hta
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
Avatar billede stroke1 Nybegynder
10. december 2004 - 17:05 #14
er det ok ?
Avatar billede andersenph Nybegynder
10. december 2004 - 20:41 #15
Loggen er ren

Se du at få opdateret i en fart.
Kom med en log når du er oppe på ServicePack 2, så jeg kan se alt er i orden.

Du må undskylde at vi forvirrer dig lidt mht. hvornår man skal rense og hvornår man skal opdatere. Det er vi til tider ikke helt enige om.
Men nu kan du godt opdatere. Hellere i dag end i morgen.
Avatar billede stroke1 Nybegynder
10. december 2004 - 21:58 #16
Har prøvet at opdatere til SP1 men det ka ikke lade sig gøre da min windows xp ikke er en original udgave ....
Avatar billede andersenph Nybegynder
11. december 2004 - 00:18 #17
Så synes jeg du skulle se at få KØBT en original udgave for den kan nemlæig OPDATERES så man undgår VIRUS og WORMS og andet L***

Nu er det jo sådan at jeg giver dig en chance her for at få renset din pc, og så er det alligevel en piratkopi når det kommer til stykket.
Det er jeg overhovedet IKKE ligeglad med :O(

Nu kan du jo hygge dig med dine vira indtil du får købt en original.

Jeg tillader mig den frækhed at anmelde dig for kopivarer!!!
Avatar billede andersenph Nybegynder
11. december 2004 - 00:22 #18
Det er hermed gjort!!
Avatar billede stroke1 Nybegynder
11. december 2004 - 12:21 #19
hmm.. lidt grinagtigt, tror også jeg vil melde ham der har holdt parkeret for længe her uden for mit vindue...
Tak for hjælpen, og god weekend :-)
Avatar billede fcs Novice
23. december 2004 - 00:17 #20
Stroke1>> Eksperten er ikke til for at hjælpe dig med dine ulovlige programmer. For fremtiden bedes du lade være med at spørge om hjælp der involverer dine ulovlige programmer

Du tildeles hermed en advarsel og sker der noget lignende igen vil din bruger blive deaktiveret

FCS/Coadmin
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
pop up black friday Af Malm i Virus 10 I går 20:49 I dag 10:46
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 20:49 pop up black friday Af Malm i Virus
I går 18:31 Hvor finder jeg en netværksdriver? Af jcr18 i Wifi
I går 16:49 Identificér og hent del af tekststreng Af TheLibrarian i Excel
I går 16:30 Smart vægt til fitness tracking Af Henrik i Fitness & Smartwatches
I går 08:08 touchpad virker ikke Af Malm i PC
White papers
Flere white papers »


Premium
Teaser billede
Vil købe tele-løsninger til det offentlige for 370 millioner kroner
Læs mere »
Efterspørgslen på AI-regnekraft er enorm - og det smitter af på priserne: "Vi kan sælge næsten alt, hvad vi får ind"
Nyt værtøj fra Microsoft: Snart kan du reparere nedbrudte Windows-enheder på distancen
Politiet skriver kontrakt på 75 millioner kroner med dansk it-firma: Medarbejdere skal flytte ind hos politiet
Se alle »
Computerworld
Teaser billede
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Læs mere »
Test: Prøv kun disse B&O-hovedtelefoner, hvis du har råd
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Test: Audi Q6 er en super fed SUV - men gør dig selv en tjeneste og kast flere penge efter den
Se alle »
CIO
Teaser billede
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Læs mere »
Kæmpe-opgave for Danske Bank har banet vej for fuldautomatiseret migrering til cloud: Nu udbredes metoden i hele AWS
Stor sag mod Microsoft kan være på vej: Beskyldes for at låse Azure-kunder fast med ulovlige metoder
Microsofts store årlige event: De tre vigtigste nøglebudskaber fra Satya Nadella om Microsofts fremtid
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Tre Norlys-topchefer fratræder med omgående virkning: Internet-forretningen er udfordret - vil have mere fart i integrationen af Telia Danmark
Se alle »
White paper
Teaser billede
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Læs mere »
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Sådan får du overblik og beskytter dine cloudapplikationer
Cyberstatus 2024: Her er truslerne – og her forbereder virksomhederne sig
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »