CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede summer Mester
18. april 2005 - 17:26 Der er 22 kommentarer og
1 løsning

Virus har lukket Norton ned.

Svigersønnen kunne ikke nære sig for at åbne en vedhæftet fil - måske op til flere. Resultat: Norton virker ikke mere. Jeg har guidet ham gennem alle de gængse "oprydningsprogrammer" - mwav, Houscall, etc. etc. - Han kan stadig ikke få Norton til at virke. Jeg fik ham til midlertidig at installere Avast, så han er beskyttet.

Jeg har tjekket hans log efter bedste evner, men er ikke sikker på den er ren. Det er især den sidste jeg tror er fejl
O23 - Service: Microsofot x386 System Monitor (SysManager) - Unknown owner - C:\WINDOWS\System32\system32.exe" -netsvcs (file missing)

Er der en der gider tjekke den:

Logfile of HijackThis v1.99.1
Scan saved at 18:59:34, on 17-04-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programmer\Java\j2re1.4.2_06\bin\jucheck.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\PrintKey2000\Printkey2000.exe
C:\Programmer\Birthday\Birthday.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Documents and Settings\Ejer\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Birthday.lnk = C:\Programmer\Birthday\Birthday.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Webshots.lnk = C:\Programmer\Webshots\Launcher.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Programmer\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programmer\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programmer\Norton Internet Security\ccPxySvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Microsofot x386 System Monitor (SysManager) - Unknown owner - C:\WINDOWS\System32\system32.exe" -netsvcs (file missing)
Avatar billede tonnybrandt Nybegynder
18. april 2005 - 21:04 #1
Genstart i fejlsikret tilstand.

Klik start | kør, skriv regedit og tryk enter.
Find denne nøgle i registreringsdatabasen og udvid den så du kan se de underliggende objekter.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Udvid den så du kan se de underliggende nøgler.
Højreklik denne nøgle og vælg slet:
Microsofot x386 System Monitor (SysManager)

Generelt:
Hvis du bliver nægtet adgang så udfør følgende for at sætte sikkerheden så du må slette:

Klik Nøglen så den er markeret.
Klik Rediger | Tilladelser.
Marker "Alle" og sæt kryds i Tillad i "Fuld kontrol".
Klik knappen Avanceret, og sæt kryds i den nederste: "Erstat tilladelsesposter på alle underobj......"
Klik Anvend og ok
Og igen Anvend og ok.

Luk regedit.

Genstart normalt og kom med en ny log.
Avatar billede summer Mester
18. april 2005 - 23:01 #2
Det var godt nok den nøgle jeg regnede med.
Jeg kan først få fat i ham efter arbejdstid i morgen.
Han siger også at hans XP Sikkerhedscenter er inaktiv (skal startes)
Iøvrigt duede det ikke med midlertidig at installere Avast. Med den aktiveret kan han ikke komme på Nettet.

Jeg vender tilbage imorgen når jeg får fat i ham.
Avatar billede summer Mester
20. april 2005 - 18:09 #3
Den arbejdssomme svigersøn er først hjemme i weekenden. Så kører jeg sikkert ned til ham. Det er nemmere når man selv sidder ved pc'en.
Avatar billede tonnybrandt Nybegynder
20. april 2005 - 18:19 #4
Ok, jeg beder lige en anden om at koble sig på spørgsmålet da jeg tager på ferie på fredag.
Avatar billede passiv Nybegynder
20. april 2005 - 18:28 #5
Ferieafløsningen er på plads.*S*
Avatar billede tonnybrandt Nybegynder
20. april 2005 - 18:31 #6
Og blot for en god ordens skyld, så ER det passiv alias fromsej jeg har bedt om at overtage i mit fravær :)
Avatar billede summer Mester
20. april 2005 - 23:35 #7
Bare fint tak for assistancen. Rigtig god og velfortjent ferie.
Avatar billede fromsej Praktikant
20. april 2005 - 23:44 #8
Passiv er lukket, og jeg er genopstået.
Det blev for indviklet hvis jeg skal ferieafløse.*S*
Avatar billede summer Mester
22. april 2005 - 20:33 #9
Så har jeg en ny log:

Logfile of HijackThis v1.99.1
Scan saved at 20:26:33, on 22-04-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe
C:\Programmer\Java\j2re1.4.2_06\bin\jucheck.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\PrintKey2000\Printkey2000.exe
C:\Programmer\Birthday\Birthday.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\Ejer\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [msnappau] "C:\Programmer\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe"
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\Ejer\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install[1].exe -startup -product IncrediMail -skip_dialog language -skip_dialog info
O4 - Startup: Birthday.lnk = C:\Programmer\Birthday\Birthday.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Webshots.lnk = C:\Programmer\Webshots\Launcher.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Programmer\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programmer\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programmer\Norton Internet Security\ccPxySvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SysManager - Unknown owner - C:\WINDOWS\System32\system32.exe" -netsvcs (file missing)
Avatar billede fromsej Praktikant
22. april 2005 - 22:04 #10
Det eneste der er er den tjeneste, der åbenbart er så lusket at den skifter navn.
Du skal nok kigge efter den to steder.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysManager
og
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SysManager

Prøv at stoppe den først i Administration->Tjenester, når du er der, så se hvad Sikkerhedscenter står til, det skal være Aktiveret og Automatisk.
Avatar billede summer Mester
22. april 2005 - 23:14 #11
Så er jeg hjemme igen.
Microsofot x386 System Monitor (SysManager) fandt jeg ikke hvor tonnybrandt anviste: >>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services<<
Jeg søgte på Microsofot og fandt den tre steder og slettede dem.
Sikkerhedscentret var jo deaktiveret, men det har jeg sat til 'Aktiveret og Automatisk' så nu mangler han bare Norton igen.
Hvad er det jeg skal se efter ellers i Tjenester. Vil SysManager stå der? Det er jo åbenbart navnet der skal søges efter - også i Reg.databasen.
Jeg er jo hjemme igen, så jeg må guide ham over telefonen.

Inden jeg tog hjem, scannede jeg med Panda:
Virus:Exploit/iFrame  Disinfected  C:\Documents and Settings\Ejer\Lokale indstillinger\Temp\CC37.RB0.mwt 

                                                                                                                                                                                       
Virus:Exploit/iFrame  Disinfected  C:\Documents and Settings\Ejer\Lokale indstillinger\Temp\CCA9.RB0.mwt 
                                                                                                                                                                                       
Spyware:Spyware/Petro-Line    No disinfected C:\Documents and Settings\Ejer\Lokale indstillinger\Temporary Internet Files\Content.IE5\8PSLIR4X\enter[1].cab                                                                                                                                                 

Adware:Adware/MediaTickets    No disinfected                C:\Documents and Settings\Ejer\sh.bat                                                                                                                                                                                                                         

Adware:Adware/WUpd            No disinfected                C:\staff.html                                                                                                                                                                                                                                                 

Adware:Adware/EliteBar        No disinfected                C:\WINDOWS\blocklist.reg                                                                                                                                                                                                                                       

Adware:Adware/EliteBar        No disinfected                C:\WINDOWS\Downloaded Program Files\v2.dll                                                                                                                                                                                                                     

Adware:Adware/IPInsight      No disinfected                C:\WINDOWS\inf\alchem.inf                                                                                                                                                                                                                                     

Adware:Adware/Twain-Tech      No disinfected                C:\WINDOWS\inf\twaintec.inf                                                                                                                                                                                                                                   

Virus:W32/Sasser.ftp          Disinfected                  C:\WINDOWS\system32\cmd.ftp                                                                                                                                                                                                                                   

Virus:Trj/Qhost.AF            Disinfected                  C:\WINDOWS\system32\drivers\etc\hosts                                                                                                                                                                                                                         

Virus:Trj/Qhost.AF  Disinfected  C:\WINDOWS\system32\drivers\etc\hosts.20050417-180339.backup                                                                                                                                                                                                   

Spyware:Spyware/Omi          No disinfected                C:\WINDOWS\system32\msfdje.gif                                                                                                                                                                                                                                 

Spyware:Spyware/Omi          No disinfected                C:\WINDOWS\system32\mshpeb.dll                                                                                                                                                                                                                                 

Spyware:Spyware/ClientMan    No disinfected                C:\WINDOWS\system32\msiaih.dll                                                                                                                                                                                                                                 

Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\system32\sh.bat                                                                                                                                                                                                                                     

Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\system32\staff.html
Avatar billede fromsej Praktikant
23. april 2005 - 09:12 #12
Brug denne batfil til at få ryddet ud i Tempmapperne.
http://www.spywareinfo.dk/download/cleantempxp2k.bat

Find og slet, muligvis fra fejlsikret:
C:\Documents and Settings\Ejer\sh.bat                                                    C:\staff.html                                                                        C:\WINDOWS\blocklist.reg                                                            C:\WINDOWS\Downloaded Program Files\v2.dll                                                C:\WINDOWS\inf\alchem.inf                   
C:\WINDOWS\inf\twaintec.inf 
C:\WINDOWS\system32\msfdje.gif                                                          C:\WINDOWS\system32\mshpeb.dll                                                            C:\WINDOWS\system32\msiaih.dll
C:\WINDOWS\system32\sh.bat                                                                C:\WINDOWS\system32\staff.html

Angående den tjeneste, har du kigget i begge de nøgler jeg skrev 22/04-2005 22:04:40 (Pudsigt med dato og kl.slet*G*)
Du kan kigge her, klik på fanebladet Advanced, der er en beskrivelse af hvor den gemmer sig.
http://www.sophos.com/virusinfo/analyses/w32forbotaa.html

Du skriver Avast er installeret, jeg kan ikke se den i loggen, muligvis for lavt koffeinniveau,men er du sikker på at den er installeret.

Til gengæld kan jeg ikke se nytteværdien i at få Norton til at køre, behold dog Avast, det er bedre, billigere og ikke rescourcekrævende på samme vis som Norton.
Hvis det er pga. en Firewall, så tag et kig på Sygate personal.
Avatar billede fromsej Praktikant
23. april 2005 - 09:15 #13
Det ser mystisk ud, hmm Klippe/Klistre er ikke altid af det gode?
Det er disse der skal slettes:
C:\Documents and Settings\Ejer\sh.bat
C:\staff.html
C:\WINDOWS\blocklist.reg
C:\WINDOWS\Downloaded Program Files\v2.dll
C:\WINDOWS\inf\alchem.inf
C:\WINDOWS\inf\twaintec.inf
C:\WINDOWS\system32\msfdje.gif
C:\WINDOWS\system32\mshpeb.dll
C:\WINDOWS\system32\msiaih.dll
C:\WINDOWS\system32\sh.bat
C:\WINDOWS\system32\staff.html
Avatar billede summer Mester
23. april 2005 - 10:03 #14
OK jeg må se om jeg kan guide ham igennnem ovennævnte pr. tlf.
Årsagen til du ikke finder Avast i loggen, er fordi jeg afinstallerede den igår jeg var der nede. Den blokerede for connection til Internettet, måske fordi Sikkerhedscentret ikke var aktiveret da? Eller også en konflikt med Norton?. Han havde afinstalleret Norton via Tilføj/Fjern Programmer. Jeg mener at huske fra andre indlæg, at det kan være svært at få Norton ordentlig fjernet.

Jeg bruger selv Avast og Sygate med meget stor tilfredshed. Årsagen til at svigersønnen bruger Norton, er at det var installeret på hans nye (og første) pc. Derfor købte han 1 års abb. da prøvetiden udløb. Lige nu er han parat til at se stort på dette "tab" og vil gerne bruge samme beskyttelse som jeg bruger. - Bare han får hans computer renset og op at køre igen. Lige nu har han ingen beskyttelse og tør af gode grunde ikke bruge computeren mere end højst nødvendig.

>>>Angående den tjeneste, har du kigget i begge de nøgler jeg skrev 22/04-2005 22:04:40 (Pudsigt med dato og kl.slet*G*)<<<
Jeg var ikke ved hans computer på dette tidspunkt og han var træt og ville i seng.

Jeg vender tilbage når jeg evt. har en ny log. Det vigtigste er vist at få Avast til at køre.

Tak for nu. Du er bare super :-)
Avatar billede summer Mester
24. april 2005 - 12:44 #15
Jeg kører ned til ham mandag formiddag og kigger på den. Så er han på arbejde og kan ikke "blande" sig
Avatar billede fromsej Praktikant
24. april 2005 - 20:25 #16
OK, jeg har ferie Mandag, så jeg skal se om jeg kan være her. ;o)
Avatar billede summer Mester
24. april 2005 - 22:09 #17
Det vil være flot at have dig til at kigge en ny log/rapport igennem. Jeg skal forsøge at være klar med den ca. 11:30
Avatar billede summer Mester
25. april 2005 - 11:37 #18
Så er jeg ved at være klar. Jeg mangler at afinstallere Norton og installere Sygate. Jeg har fjernet det anviste og scannet med mvaw, %temp%, RegSupreme,
Cwshredder, Spybot Search & Destroy, Ad-Aware og her er den nye log:

Logfile of HijackThis v1.99.1
Scan saved at 11:32:17, on 25-04-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmer\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\Programmer\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\PrintKey2000\Printkey2000.exe
C:\Programmer\Birthday\Birthday.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\RegSupreme\RegSupreme.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ejer\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x
O4 - HKLM\..\Run: [msnappau] "C:\Programmer\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Startup: Birthday.lnk = C:\Programmer\Birthday\Birthday.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Webshots.lnk = C:\Programmer\Webshots\Launcher.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Programmer\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programmer\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe (file missing)
Avatar billede fromsej Praktikant
25. april 2005 - 11:54 #19
Loggen er ren nu.
Det kan være du skal fjerne sporerne efter Norton manuelt i regdatabasen.
søgeord symantec og Norton.
Men du kan lige prøve med Rnav først.
http://www.majorgeeks.com/download3077.html
Til versioner op til og med 2003.
Avatar billede summer Mester
25. april 2005 - 12:02 #20
Tak for hjælpen. Resten er formentlig en formsag. Læg et svar og ha' en god feriedag
Avatar billede fromsej Praktikant
25. april 2005 - 12:06 #21
Det gør jeg lige, tak.*S*
Avatar billede fromsej Praktikant
25. april 2005 - 16:54 #22
Tak for point. (o:
Avatar billede summer Mester
25. april 2005 - 17:30 #23
Der var en der blev glad, da han kom hjem fra arbejde. Nu har han en clean updateret pc med Avast og Sygate kørende. "Så ka' han vel lær' det" Han kunne jo f.eks. selv blive bruger på Eksperten ;O)

Dejligt at have dig i "baggrunden" fromsej
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 20:17 vlc viser kegle-icon Af casablanca i Andet software
I går 14:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
I går 11:14 Bærbar til Sims 3? Af idamarie i PC
I går 10:49 Adobe til excel Af densortehingst i Andet software
I går 09:26 Chrome Af fjorbak i Andet netværk
White papers
Flere white papers »


Premium
Teaser billede
5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?
Læs mere »
Hackere udnytter CrowdStrike-nedbruddet: Spreder malware ved hjælp af falske løsninger
Microsoft skyder dele af skylden for CrowdStrike-nedbrud på 15 år gammel EU-aftale
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Læs mere »
Sådan høster du forretningsfordelene ved Internet of Things
Sådan: Sikker, hurtig og fleksibel storage til dine kritiske data
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Se alle »

IT-JOB
Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »