CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede freddie1 Nybegynder
17. april 2005 - 21:11 Der er 35 kommentarer og
1 løsning

hijackthis log

er der nogen der gider at checke denne log??

Logfile of HijackThis v1.99.0
Scan saved at 21:10:13, on 17-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Launch Manager\LaunchAp.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\OSD.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Norman\bin\ZLH.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Documents and Settings\Anneke\Application Data\d?g??m.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Norman\Nvc\BIN\npfmsg2.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anneke\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tdconline.dk/start
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmer\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programmer\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [Vlg3sY.exe] C:\documents and settings\anneke\lokale indstillinger\temp\Vlg3sY.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RamBooster2] C:\WINDOWS\System32\rb.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [lNZo.exe] C:\documents and settings\anneke\lokale indstillinger\temp\lNZo.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [b68cb7e3f4f3] C:\WINDOWS\System32\a3d42865.exe
O4 - HKLM\..\Run: [4JATK3@4#AJHRM] C:\WINDOWS\System32\Snur.exe
O4 - HKCU\..\Run: [Adoe] C:\Documents and Settings\Anneke\Application Data\d?g??m.exe
O4 - Startup: winupdate04790325[1].exe
O4 - Startup: winupdate35191686[1].exe
O4 - Startup: winupdate42074152[1].exe
O4 - Startup: winupdate59145103[1].exe
O4 - Startup: winupdate72655905[1].exe
O4 - Startup: winupdate73317328[1].exe
O4 - Startup: winupdate85115705[1].exe
O4 - Startup: winupdate94077320[1].exe
O4 - Startup: winupdate95787923[1].exe
O4 - Startup: winupdate98317426[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
Avatar billede kalp Novice
17. april 2005 - 21:13 #1
ser på den
Avatar billede kalp Novice
17. april 2005 - 21:16 #2
Download det nye hijackthis herfra
www.arlet.dk/hjt.exe

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelt tjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [Vlg3sY.exe] C:\documents and settings\anneke\lokale indstillinger\temp\Vlg3sY.exe
O4 - HKLM\..\Run: [RamBooster2] C:\WINDOWS\System32\rb.exe
O4 - HKLM\..\Run: [lNZo.exe] C:\documents and settings\anneke\lokale indstillinger\temp\lNZo.exe
O4 - HKLM\..\Run: [b68cb7e3f4f3] C:\WINDOWS\System32\a3d42865.exe
O4 - HKLM\..\Run: [4JATK3@4#AJHRM] C:\WINDOWS\System32\Snur.exe
O4 - HKCU\..\Run: [Adoe] C:\Documents and Settings\Anneke\Application Data\d?g??m.exe
O4 - Startup: winupdate04790325[1].exe
O4 - Startup: winupdate35191686[1].exe
O4 - Startup: winupdate42074152[1].exe
O4 - Startup: winupdate59145103[1].exe
O4 - Startup: winupdate72655905[1].exe
O4 - Startup: winupdate73317328[1].exe
O4 - Startup: winupdate85115705[1].exe
O4 - Startup: winupdate94077320[1].exe
O4 - Startup: winupdate95787923[1].exe
O4 - Startup: winupdate98317426[1].exe

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet (Kig godt efter!!.. Det du ikke finder har hijackthis nok fjernet!)

Filerne

C:\Documents and Settings\Anneke\Application Data\d?g??m.exe
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\System32\rb.exe
C:\WINDOWS\System32\a3d42865.exe
C:\WINDOWS\System32\Snur.exe

Søg efter disse og slet dem
winupdate04790325[1].exe
winupdate35191686[1].exe
winupdate42074152[1].exe
winupdate59145103[1].exe
winupdate72655905[1].exe
winupdate73317328[1].exe
winupdate85115705[1].exe
winupdate94077320[1].exe
winupdate95787923[1].exe
winupdate98317426[1].exe

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Genstart normalt og kopir en ny log herind så jeg kan se om vi fik ramt på det hele eller om noget er blevet overset:)
Avatar billede freddie1 Nybegynder
17. april 2005 - 21:29 #3
ok! det gør jeg i morgen
Avatar billede freddie1 Nybegynder
19. april 2005 - 18:58 #4
da jeg startede scanningen kom der pludselig forskelllige pop'ups og der kom alle mulige ikoner med "free holiday" og andre ting.Da jeg vendte tilbage til pcen, efter noget tid, var scanningen væk og den var gået over til normal opstart(altså ikke fejlsikret) og internet forbindelsen virker ikke mere!!!
Avatar billede kalp Novice
19. april 2005 - 23:39 #5
hent

http://cexx.org/lspfix.zip

Kør LSPfix, sæt flueben i "I know what I am doing" klik på finish, genstart så burde det virke.

send mig en ny log.
Avatar billede freddie1 Nybegynder
20. april 2005 - 17:32 #6
ny log::

Logfile of HijackThis v1.99.1
Scan saved at 17:31:10, on 20-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Launch Manager\LaunchAp.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\OSD.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Norman\bin\ZLH.EXE
C:\Norman\bin\NJEEVES.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\hphmon03.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Norman\Nvc\BIN\npfmsg2.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anneke\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tdconline.dk/start
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmer\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programmer\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\fp0s03d7e.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
Avatar billede kalp Novice
20. april 2005 - 23:21 #7
genstart i fejlsikret tilstand

fix denne linje

O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\fp0s03d7e.dll

tryk start->kør og skriv "regedit"
marker denne computer i regedit vinduet
tryk rediger->søg og skriv "fp0s03d7e.dll"
slet alt du finder.

genstart normalt og ny log.
Avatar billede freddie1 Nybegynder
21. april 2005 - 20:47 #8
Den finder ret mange i den mappe, men den markerer én som hedder: comboboxsearchtext
Så skal jeg bare slette den eller alle dem i den mappe?

Mappestien er: HKEY_CURRENT_USER, software, resplendence Sp, Registrar Lite, Settings.
Avatar billede kalp Novice
21. april 2005 - 21:02 #9
søg istedet direkte på

C:\WINDOWS\system32\fp0s03d7e.dll

så har du fat i den rigtige i hvertfald
Avatar billede freddie1 Nybegynder
21. april 2005 - 21:13 #10
Den viser den samme mappe og den samme markerede.
Avatar billede kalp Novice
21. april 2005 - 21:18 #11
fint slet den.
Avatar billede kalp Novice
21. april 2005 - 21:18 #12
du kan evt. lige lave en backup af registry.. just in case
Avatar billede freddie1 Nybegynder
21. april 2005 - 21:29 #13
Den er der stadig!

Logfile of HijackThis v1.99.1
Scan saved at 21:21:46, on 21-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Anneke\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tdconline.dk/start
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmer\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programmer\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\dnj0011me.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
Avatar billede kalp Novice
21. april 2005 - 21:37 #14
Hent DLLCOMPARE

http://download.broadbandmedic.com/DllCompare.exe
Eller
http://www.fbeej.dk/Programmer/DllCompare.exe

Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind
Avatar billede freddie1 Nybegynder
21. april 2005 - 21:40 #15
der plejer at komme nogle popups, men nu er de helt blanke, og det var de ikke før!
Avatar billede freddie1 Nybegynder
21. april 2005 - 21:44 #16
*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\abivcoxx.dll  Sun 17 Apr 2005  6.52.18  ..S.R        233.248  227,78 K
C:\WINDOWS\SYSTEM32\ajrace.dll    Tue 19 Apr 2005  16.41.26  ..S.R        233.864  228,38 K
C:\WINDOWS\SYSTEM32\azioglxx.dll  Wed 20 Apr 2005  13.23.24  ..S.R        232.582  227,13 K
C:\WINDOWS\SYSTEM32\ccyptui.dll    Thu 21 Apr 2005  18.07.56  ..S.R        233.954  228,47 K
C:\WINDOWS\SYSTEM32\cxcdll.dll    Thu 21 Apr 2005  21.21.08  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\dnj001~1.dll  Thu 21 Apr 2005  20.29.04  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\f6j2lg~1.dll  Mon 18 Apr 2005  14.06.12  ..S.R        234.760  229,26 K
C:\WINDOWS\SYSTEM32\flifs.dll      Tue 19 Apr 2005  16.49.08  ..S.R        235.317  229,80 K
C:\WINDOWS\SYSTEM32\h62o0g~1.dll  Thu 21 Apr 2005  21.21.08  ..S.R        233.844  228,36 K
C:\WINDOWS\SYSTEM32\il50_32.dll    Sun 17 Apr 2005  17.37.54  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\ir6sl5~1.dll  Mon 18 Apr 2005  15.25.12  ..S.R        235.309  229,79 K
C:\WINDOWS\SYSTEM32\jmda.dll      Sun 17 Apr 2005  17.31.44  ..S.R        233.248  227,78 K
C:\WINDOWS\SYSTEM32\mmprivs.dll    Sun 17 Apr 2005  21.00.58  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\mttask.dll    Wed 20 Apr 2005  17.25.00  ..S.R        233.285  227,82 K
C:\WINDOWS\SYSTEM32\mvl4l9~1.dll  Tue 19 Apr 2005  19.45.30  ..S.R        232.943  227,48 K
C:\WINDOWS\SYSTEM32\nrvdmd.dll    Sun 17 Apr 2005  19.49.24  ..S.R        234.045  228,56 K
C:\WINDOWS\SYSTEM32\nvdenb32.dll  Tue 19 Apr 2005  19.45.30  ..S.R        235.815  230,29 K
C:\WINDOWS\SYSTEM32\otecli32.dll  Mon 18 Apr 2005  19.05.50  ..S.R        234.686  229,18 K
C:\WINDOWS\SYSTEM32\rjnd.dll      Mon 18 Apr 2005  16.39.16  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\sureamci.dll  Wed 20 Apr 2005  20.20.24  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\ulat.dll      Tue 19 Apr 2005  6.29.52  ..S.R        233.225  227,76 K
C:\WINDOWS\SYSTEM32\vyr.dll        Tue 19 Apr 2005  19.47.30  ..S.R        235.815  230,29 K
C:\WINDOWS\SYSTEM32\wecsvc.dll    Mon 18 Apr 2005  14.06.12  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\whcsapi.dll    Mon 18 Apr 2005  16.53.34  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\winetmgr.dll  Thu 21 Apr 2005  16.11.18  ..S.R        233.518  228,04 K
________________________________________________

1.266 items found:  1.266 files (25 H/S), 0 directories.
Total of file sizes:  246.332.384 bytes    234,92 M

Administrator Account =  True

--------------------End log---------------------
Avatar billede kalp Novice
21. april 2005 - 21:50 #17
Tjah.. i fejlsikret slet alle disse filer manuelt!

C:\WINDOWS\SYSTEM32\abivcoxx.dll  Sun 17 Apr 2005  6.52.18  ..S.R        233.248  227,78 K
C:\WINDOWS\SYSTEM32\ajrace.dll    Tue 19 Apr 2005  16.41.26  ..S.R        233.864  228,38 K
C:\WINDOWS\SYSTEM32\azioglxx.dll  Wed 20 Apr 2005  13.23.24  ..S.R        232.582  227,13 K
C:\WINDOWS\SYSTEM32\ccyptui.dll    Thu 21 Apr 2005  18.07.56  ..S.R        233.954  228,47 K
C:\WINDOWS\SYSTEM32\cxcdll.dll    Thu 21 Apr 2005  21.21.08  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\dnj001~1.dll  Thu 21 Apr 2005  20.29.04  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\f6j2lg~1.dll  Mon 18 Apr 2005  14.06.12  ..S.R        234.760  229,26 K
C:\WINDOWS\SYSTEM32\flifs.dll      Tue 19 Apr 2005  16.49.08  ..S.R        235.317  229,80 K
C:\WINDOWS\SYSTEM32\h62o0g~1.dll  Thu 21 Apr 2005  21.21.08  ..S.R        233.844  228,36 K
C:\WINDOWS\SYSTEM32\il50_32.dll    Sun 17 Apr 2005  17.37.54  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\ir6sl5~1.dll  Mon 18 Apr 2005  15.25.12  ..S.R        235.309  229,79 K
C:\WINDOWS\SYSTEM32\jmda.dll      Sun 17 Apr 2005  17.31.44  ..S.R        233.248  227,78 K
C:\WINDOWS\SYSTEM32\mmprivs.dll    Sun 17 Apr 2005  21.00.58  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\mttask.dll    Wed 20 Apr 2005  17.25.00  ..S.R        233.285  227,82 K
C:\WINDOWS\SYSTEM32\mvl4l9~1.dll  Tue 19 Apr 2005  19.45.30  ..S.R        232.943  227,48 K
C:\WINDOWS\SYSTEM32\nrvdmd.dll    Sun 17 Apr 2005  19.49.24  ..S.R        234.045  228,56 K
C:\WINDOWS\SYSTEM32\nvdenb32.dll  Tue 19 Apr 2005  19.45.30  ..S.R        235.815  230,29 K
C:\WINDOWS\SYSTEM32\otecli32.dll  Mon 18 Apr 2005  19.05.50  ..S.R        234.686  229,18 K
C:\WINDOWS\SYSTEM32\rjnd.dll      Mon 18 Apr 2005  16.39.16  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\sureamci.dll  Wed 20 Apr 2005  20.20.24  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\ulat.dll      Tue 19 Apr 2005  6.29.52  ..S.R        233.225  227,76 K
C:\WINDOWS\SYSTEM32\vyr.dll        Tue 19 Apr 2005  19.47.30  ..S.R        235.815  230,29 K
C:\WINDOWS\SYSTEM32\wecsvc.dll    Mon 18 Apr 2005  14.06.12  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\whcsapi.dll    Mon 18 Apr 2005  16.53.34  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\winetmgr.dll  Thu 21 Apr 2005  16.11.18  ..S.R        233.518  228,04 K

Så i regedit skal du igen ind og slette denne

O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\dnj0011me.dll

søg bare på "dnj0011me.dll"
Avatar billede freddie1 Nybegynder
21. april 2005 - 21:54 #18
skal jeg slette dem i regedit eller søge efter dem??
Avatar billede kalp Novice
21. april 2005 - 21:56 #19
nej du skal kun slette

dnj0011me.dll

i regedit.. måske ændre den navn.. men du finder den på denne linje i hijackthis

O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\dnj0011me.dll

alle disse skal du ind og slette manuelt.

C:\WINDOWS\SYSTEM32\abivcoxx.dll  Sun 17 Apr 2005  6.52.18  ..S.R        233.248  227,78 K
C:\WINDOWS\SYSTEM32\ajrace.dll    Tue 19 Apr 2005  16.41.26  ..S.R        233.864  228,38 K
C:\WINDOWS\SYSTEM32\azioglxx.dll  Wed 20 Apr 2005  13.23.24  ..S.R        232.582  227,13 K
C:\WINDOWS\SYSTEM32\ccyptui.dll    Thu 21 Apr 2005  18.07.56  ..S.R        233.954  228,47 K
C:\WINDOWS\SYSTEM32\cxcdll.dll    Thu 21 Apr 2005  21.21.08  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\dnj001~1.dll  Thu 21 Apr 2005  20.29.04  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\f6j2lg~1.dll  Mon 18 Apr 2005  14.06.12  ..S.R        234.760  229,26 K
C:\WINDOWS\SYSTEM32\flifs.dll      Tue 19 Apr 2005  16.49.08  ..S.R        235.317  229,80 K
C:\WINDOWS\SYSTEM32\h62o0g~1.dll  Thu 21 Apr 2005  21.21.08  ..S.R        233.844  228,36 K
C:\WINDOWS\SYSTEM32\il50_32.dll    Sun 17 Apr 2005  17.37.54  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\ir6sl5~1.dll  Mon 18 Apr 2005  15.25.12  ..S.R        235.309  229,79 K
C:\WINDOWS\SYSTEM32\jmda.dll      Sun 17 Apr 2005  17.31.44  ..S.R        233.248  227,78 K
C:\WINDOWS\SYSTEM32\mmprivs.dll    Sun 17 Apr 2005  21.00.58  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\mttask.dll    Wed 20 Apr 2005  17.25.00  ..S.R        233.285  227,82 K
C:\WINDOWS\SYSTEM32\mvl4l9~1.dll  Tue 19 Apr 2005  19.45.30  ..S.R        232.943  227,48 K
C:\WINDOWS\SYSTEM32\nrvdmd.dll    Sun 17 Apr 2005  19.49.24  ..S.R        234.045  228,56 K
C:\WINDOWS\SYSTEM32\nvdenb32.dll  Tue 19 Apr 2005  19.45.30  ..S.R        235.815  230,29 K
C:\WINDOWS\SYSTEM32\otecli32.dll  Mon 18 Apr 2005  19.05.50  ..S.R        234.686  229,18 K
C:\WINDOWS\SYSTEM32\rjnd.dll      Mon 18 Apr 2005  16.39.16  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\sureamci.dll  Wed 20 Apr 2005  20.20.24  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\ulat.dll      Tue 19 Apr 2005  6.29.52  ..S.R        233.225  227,76 K
C:\WINDOWS\SYSTEM32\vyr.dll        Tue 19 Apr 2005  19.47.30  ..S.R        235.815  230,29 K
C:\WINDOWS\SYSTEM32\wecsvc.dll    Mon 18 Apr 2005  14.06.12  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\whcsapi.dll    Mon 18 Apr 2005  16.53.34  ..S.R        233.544  228,07 K
C:\WINDOWS\SYSTEM32\winetmgr.dll  Thu 21 Apr 2005  16.11.18  ..S.R        233.518  228,04 K

og selvfølgelige også denne "dnj0011me.dll"
Avatar billede kalp Novice
21. april 2005 - 22:01 #20
hent lige

aboutbuster
http://downloads.subratam.org/AboutBuster.zip

kør den.. den finder sikkert også noget.
Avatar billede freddie1 Nybegynder
22. april 2005 - 18:11 #21
da jeg var igang med at slette, slukkede pcen lig epludselig og da jeg tændte virkede internettet ikke!! jeg har prøvet at køre den der lspfix men det virkede ikke!! jeg tror også at jeg har slettet nogle viktige systemsfiler da jeg skulle slette dnj0011me.dll...
Avatar billede kalp Novice
22. april 2005 - 18:13 #22
http://danborg.org/spy/Newnet/winsockxpfix.exe

Så kør programet, klik først på Reg-backup, og gem en kopi af din regdatabase, når det er slut klik på Fix, når den er færdig genstart og så skulle du gerne kunne komme på nettet igen.
Avatar billede freddie1 Nybegynder
22. april 2005 - 18:18 #23
nu er jeg på nettet igen men min computer opfører sig lidt mærkeligt. da jeg åbnede nettet spurgte den om cookies fra google måtte ind, og det har den aldrig gjort før?
Avatar billede kalp Novice
22. april 2005 - 18:22 #24
kom lige med en log fra både hijackthis og dllcompare bare så jeg kan se hvordan det ser ud nu
Avatar billede freddie1 Nybegynder
22. april 2005 - 18:22 #25
eller nej ups. det er mig selv der ha gjort det med norman. men jeg køre lige aboutbuster
Avatar billede freddie1 Nybegynder
22. april 2005 - 19:16 #26
det ser ikke ud til at der kommer flere popups, men her kommer hjt log:

Logfile of HijackThis v1.99.1
Scan saved at 19:15:14, on 22-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Launch Manager\LaunchAp.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\OSD.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\hphmon03.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Norman\Nvc\BIN\npfmsg2.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anneke\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmer\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programmer\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\mv42l9ho1.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
Avatar billede kalp Novice
22. april 2005 - 19:35 #27
og dllcompare? for den er der stadig.
Avatar billede freddie1 Nybegynder
22. april 2005 - 19:45 #28
jeg kan huske at der var nogle jeg ikke kunne fjerne i den anden.

*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\cgcdll.dll    Thu 21 Apr 2005  22.25.06  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\drtrans.dll    Fri 22 Apr 2005  11.35.28  ..S.R        232.575  227,12 K
C:\WINDOWS\SYSTEM32\f6j2lg~1.dll  Mon 18 Apr 2005  14.06.12  ..S.R        234.760  229,26 K
C:\WINDOWS\SYSTEM32\h62o0g~1.dll  Thu 21 Apr 2005  21.21.08  ..S.R        233.844  228,36 K
C:\WINDOWS\SYSTEM32\hbcoin.dll    Fri 22 Apr 2005  11.22.58  ..S.R        235.740  230,21 K
C:\WINDOWS\SYSTEM32\ir6sl5~1.dll  Mon 18 Apr 2005  15.25.12  ..S.R        235.309  229,79 K
C:\WINDOWS\SYSTEM32\lwpsd11n.dll  Fri 22 Apr 2005  6.34.00  ..S.R        235.272  229,76 K
C:\WINDOWS\SYSTEM32\mv42l9~1.dll  Fri 22 Apr 2005  18.13.58  ..S.R        233.824  228,34 K
C:\WINDOWS\SYSTEM32\mvl4l9~1.dll  Tue 19 Apr 2005  19.45.30  ..S.R        232.943  227,48 K
C:\WINDOWS\SYSTEM32\o2nslc~1.dll  Fri 22 Apr 2005  19.09.38  ..S.R        235.576  230,05 K
C:\WINDOWS\SYSTEM32\purfctrs.dll  Fri 22 Apr 2005  19.09.38  ..S.R        233.824  228,34 K
C:\WINDOWS\SYSTEM32\wfv8dmod.dll  Fri 22 Apr 2005  18.13.58  ..S.R        232.575  227,12 K
C:\WINDOWS\SYSTEM32\wqnntbbu.dll  Thu 21 Apr 2005  22.30.20  ..S.R        234.613  229,11 K
________________________________________________

1.250 items found:  1.250 files (13 H/S), 0 directories.
Total of file sizes:  243.340.655 bytes    232,07 M

Administrator Account =  True

--------------------End log---------------------
Avatar billede kalp Novice
22. april 2005 - 19:48 #29
http://www.spywareinfo.dk/download/KillBox.zip
Hent killbox

Slet alle filerne

C:\WINDOWS\SYSTEM32\cgcdll.dll    Thu 21 Apr 2005  22.25.06  ..S.R        233.518  228,04 K
C:\WINDOWS\SYSTEM32\drtrans.dll    Fri 22 Apr 2005  11.35.28  ..S.R        232.575  227,12 K
C:\WINDOWS\SYSTEM32\f6j2lg~1.dll  Mon 18 Apr 2005  14.06.12  ..S.R        234.760  229,26 K
C:\WINDOWS\SYSTEM32\h62o0g~1.dll  Thu 21 Apr 2005  21.21.08  ..S.R        233.844  228,36 K
C:\WINDOWS\SYSTEM32\hbcoin.dll    Fri 22 Apr 2005  11.22.58  ..S.R        235.740  230,21 K
C:\WINDOWS\SYSTEM32\ir6sl5~1.dll  Mon 18 Apr 2005  15.25.12  ..S.R        235.309  229,79 K
C:\WINDOWS\SYSTEM32\lwpsd11n.dll  Fri 22 Apr 2005  6.34.00  ..S.R        235.272  229,76 K
C:\WINDOWS\SYSTEM32\mv42l9~1.dll  Fri 22 Apr 2005  18.13.58  ..S.R        233.824  228,34 K
C:\WINDOWS\SYSTEM32\mvl4l9~1.dll  Tue 19 Apr 2005  19.45.30  ..S.R        232.943  227,48 K
C:\WINDOWS\SYSTEM32\o2nslc~1.dll  Fri 22 Apr 2005  19.09.38  ..S.R        235.576  230,05 K
C:\WINDOWS\SYSTEM32\purfctrs.dll  Fri 22 Apr 2005  19.09.38  ..S.R        233.824  228,34 K
C:\WINDOWS\SYSTEM32\wfv8dmod.dll  Fri 22 Apr 2005  18.13.58  ..S.R        232.575  227,12 K
C:\WINDOWS\SYSTEM32\wqnntbbu.dll  Thu 21 Apr 2005  22.30.20  ..S.R        234.613  229,11 K

slet også filen

O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\mv42l9ho1.dll

i hijackthis

samt filen

C:\WINDOWS\system32\mv42l9ho1.dll

med killbox.

Du har 2 værktøjer nu hvis forbindelsen til nettet skulle smutte igen.. start altid først med lsp fix
Avatar billede kalp Novice
22. april 2005 - 19:48 #30
ops. efter det er gjort.. genstart og ny log fra både hijackthis og dllcompare
Avatar billede freddie1 Nybegynder
22. april 2005 - 20:10 #31
Da jeg var igang med at slette dem, gik proceslinjen pludselig væk men jeg klarede det! der var også nogle jeg blev nødt til at slette på reboot. men her kommer loggene:


Logfile of HijackThis v1.99.1
Scan saved at 20:06:32, on 22-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\bin\ZANDA.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Launch Manager\LaunchAp.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\OSD.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\hphmon03.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anneke\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmer\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programmer\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\o2nslc571f.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe

-----------------------------------------------------------------------



*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found :)"
________________________________________________

1.237 items found:  1.237 files, 0 directories.
Total of file sizes:  240.296.282 bytes    229,16 M

Administrator Account =  True

--------------------End log---------------------
Avatar billede kalp Novice
22. april 2005 - 20:17 #32
Vi er snart ved vejs ende:o)

fix denne i fejlsikret tilstand

O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\o2nslc571f.dll (file missing) 

tryk start->kør og skriv "regedit"
marker denne computer
vælge rediger->søg og skriv "o2nslc571f.dll"

genstart normalt og ny log
Avatar billede freddie1 Nybegynder
22. april 2005 - 20:28 #33
jeg kunne ikke finde o2nslc571f men jeg kan se at den er slettet:


Logfile of HijackThis v1.99.1
Scan saved at 20:26:35, on 22-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\bin\ZANDA.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Launch Manager\LaunchAp.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\OSD.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\hphmon03.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anneke\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmer\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programmer\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
Avatar billede kalp Novice
22. april 2005 - 20:45 #34
fint den er ren;)
Avatar billede freddie1 Nybegynder
22. april 2005 - 20:46 #35
PHEW det var en hård kamp, men du skal have tusind tak!!
Avatar billede kalp Novice
22. april 2005 - 20:49 #36
Det må man sige! også noget af en infektion:P

og selv tak det var en fornøjelse:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Total AV Af Malm i Virus 10 16/01/202516:48 17/01/202520:47
pop up black friday Af Malm i Virus 12 22/11/202420:49 03/12/202411:04
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 17:57 Outlook Af ole1949 i Office & Kontorpakker
I går 17:41 windows cd er ønskes Af bjarnebif i Andet software
I går 17:39 Smartcard Af melli i Fjernsyn & projektorer
I går 15:07 Sammenlægning af partitioner Af Malm i PC
I går 13:59 Lopslag Af Casmic i Excel
White papers
Flere white papers »


Premium
Teaser billede
Bange for NIS2-bøder? Så har beredskabsminister Thorsten Schack et løfte til dig
Læs mere »
Salget står stille i TDC Net – alligevel vender telekæmpen et underskud til et overskud på 400 millioner kroner
Mens vi venter på Google-udmelding om mystisk nedbrud: Så lang tid vurderer ekspert, at der kan gå, inden din Chromecast virker igen
Columbus buldrer frem i Danmark – Ib Kunøe åbner igen for frasalg
Se alle »
Computerworld
Teaser billede
Kæmpe software-opdatering på vej: iPhone, Mac og iPhone skal have helt nyt skærm-design
Læs mere »
Test: Knaldhurtig budget-Volvo er nok mere legesyg end godt er
Microsoft lukker for Remote Desktop-appen til visse cloud-tjenester
Massiv kovending: Endnu en tech-gigant dropper inklusionsmål efter Trump-ordre
Se alle »
CIO
Teaser billede
Bliver næsten ikke anvendt: Alligevel tvinger Microsoft Region Syddanmark til at betale fuld pris for alle 25.000 medarbejdere
Læs mere »
Den danske it-top samlet til en slags krisemøde med Trump på agendaen: Det er nødvendigt at reagere
Microsoft-direktør Mette Kaagaard tager kritik af Microsofts høje priser helt roligt: Derfor stiger priserne
Statens It har siden 2019 haft en pc med OpenOffice som alternativ til Microsoft – men ingen gider bruge den
Se alle »
Job & Karriere
Teaser billede
40 år gammelt dansk it-selskab fusionerer med hollandsk firma og skifter navn
Læs mere »
Her er deres månedsløn: Så meget tjener CIO'erne i de danske regioner - den bedst lønnede får mere end digitaliseringsministeren
Carsten advarede som it-sikkerhedschef om problemer og blev fyret: "Det endte med voksen-mobning af værste skuffe"
Microsoft fyrer de dårligst performende ansatte: Disse jobtitler bliver ramt
Se alle »
White paper
Teaser billede
Sikkerhed gjort enkelt: Beskyt din virksomhed direkte i browseren
Læs mere »
TIDSBEGRÆNSET KAMPAGNE: Overvejer du at udskifte eller tilføje printere i din forretning? Vi kan tilbyde én eller flere maskiner GRATIS.
Sådan sikrer du nem og beskyttet adgang til dine ressourcer
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »