Spyware - langsom og mærkelig computer

kan du bruge dette >> http://dbhome.dk/bartfreak/guider/er%20computeren%20langsom.htm

Lad os prøve at se en HiJackThis log.

Gå ind her og hent Hijackthis.
http://danborg.org/spy/HJT/hijackthis.exe
Kør Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Værsågod :)

Logfile of HijackThis v1.99.1
Scan saved at 21:32:06, on 15-03-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.04\System32\smss.exe
C:\WINDOWS.04\system32\winlogon.exe
C:\WINDOWS.04\system32\services.exe
C:\WINDOWS.04\system32\lsass.exe
C:\WINDOWS.04\System32\svchost.exe
C:\WINDOWS.04\Explorer.EXE
C:\WINDOWS.04\System32\nvsvc32.exe
C:\WINDOWS.04\System\Ma72Pan.Exe
C:\WINDOWS.04\System32\RUNDLL32.EXE
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS.04\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\mozilla.org\Mozilla\mozilla.exe
C:\WINDOWS.04\System32\ZoneLabs\vsmon.exe
C:\Documents and Settings\Jonas Frandsen.JONAS.000\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.04\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Toolbar\01.01.1601.0\da\msntb.dll
O4 - HKLM\..\Run: [Ma72Pan] Ma72Pan.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.04\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.04\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.04\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.04\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS.04\system32\ZoneLabs\vsmon.exe

Der er ihvertfald en enkelt fil som er snavset, men ellers er der ikke rigtigt noget i loggen. Så prøv at udføre følgende, og lad os se om det kan hjælpe på problemet.

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [Ma72Pan] Ma72Pan.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

---------------------------------------
Sletning af filer og mapper:
-------------------
Mapper:
<ingen>

Filer:
C:\WINDOWS.04\System\Ma72Pan.Exe

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

Ny log:

Logfile of HijackThis v1.99.1
Scan saved at 06:17:09, on 16-03-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.04\System32\smss.exe
C:\WINDOWS.04\system32\winlogon.exe
C:\WINDOWS.04\system32\services.exe
C:\WINDOWS.04\system32\lsass.exe
C:\WINDOWS.04\System32\svchost.exe
C:\WINDOWS.04\Explorer.EXE
C:\WINDOWS.04\System32\nvsvc32.exe
C:\WINDOWS.04\System32\RUNDLL32.EXE
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS.04\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS.04\System32\ZoneLabs\vsmon.exe
C:\Documents and Settings\Jonas Frandsen.JONAS.000\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.04\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Toolbar\01.01.1601.0\da\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.04\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.04\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.04\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.04\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS.04\system32\ZoneLabs\vsmon.exe

Forresten var det en driverfil til lydkortet der var snavset, så det giver vel mening at lyden ikke fungerede. Men hvad vil det egentlig sige at en fil bliver snavset?

Jeg tror en snavset fil er en fil hvor der er noget spyware som er gået ind i det eller noget i den stil =)

Hmm.. lidt pinligt, for den fil fejlede i så fald ikke noget.
Når jeg bruger ordet snavset er det når der er lagt en fil der enten er adware, spyware eller virus. Denne fil snød mig, idet jeg ikke kendte den i forvejen, og en google søgning kun bragte en eneste side op, og det var en HiJackThis log.
Det må være et ret sjældent lydkort.

Jeg synes du skal lave en systemgendannelse tilbage til før du brugte AdAware, altså imens du havde problemerne med messenger tjenesten. Det vil gøre at vi kan se hvad der egentligt var galt med loggen og så rense den efterfølgende.
(Det vil også gendanne den fil jeg fejlagtigt bad dig fixe og slette)

Det er et Maya 7.1 lydkort...men jeg kan jo sagtens installere driveren igen, hvis det er :)
Her kommer så dosmerspørgsmålet. Hvordan systemgendanner jeg til lige netop det tidspunkt? Jeg bruger Windows XP...

Du klikker:
start | programmer | tilbehør | systemværktøjer | systemgendannelse.
Så starter en guide, hvor du kan sætte computeren tilbage.

Når jeg gør det, kommer denne besked:

"Systemgendannelse kan ikke beskytte computeren. Genstart computeren, og kør systemgendannelse igen."

Jeg har prøvet at genstarte computeren, men fik samme besked da jeg forsøgte at starte systemgendannelsen igen.

Prøv lige at genstarte i fejlsikret tilstand og se om du der kan gennemføre systemgendannelsen.

Der kommer samme besked i fejlsikret tilstand.

Ok, så synes jeg vi skal skære igennem, og lave en repair af styresystemet. Grunden er den simple at med de fejl du har kan det tage dage at få løst alle fejlene, mens en repair tager ca 2 timer, med en meget stor chance for at løse alle problemerne med et slag.

Du skal dog lige hente servicepack2 ned så du har den liggende og kan opdatere pc'en med det samme du har lavet repair'en, idet du mister alle opdateringer af styresystemet. Til gengæld mister du ingen programmer, filer eller indstillinger.
Servicepack 2 kan hentes her:
http://intern.sdu.dk/enheder/it-service/tjenester/ftphotel/ftpindhold/

Og her er en udmærket guide til selve proceduren:
http://hcma.dk/tips&tricks.htm#install_repair

Husk blot før du går igang, at rykke netstikket ud så den ikke har forbindelse til internettet, og sæt det først i igen når du har lagt servicepack 2 på

Fik du løat problemerne ?

svar