CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede ullahelene Nybegynder
04. november 2005 - 12:02 Der er 33 kommentarer og
1 løsning

har jeg stadig virus

er der nogle der har tid og lyst til lige at kigge på denne logfil, da jeg ikke er sikker på at jeg har fået fjernet alt.


Logfile of HijackThis v1.99.1
Scan saved at 11:46:31, on 04-11-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programmer\Winamp\winampa.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Documents and Settings\michael\Dokumenter\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\System32\msblank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Everyday.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {3D6CCF08-5714-EC8A-BFD2-4CD520FF3ED7} - WinInitDll.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4AA870AC-8427-42a4-B92E-ECD956197489} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [adivdy] C:\WINDOWS\System32\efqjzoi.exe r
O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\System32\formatsys.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_EN_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CB7D728-D740-45B8-BC1B-2D4F7B70516E}: NameServer = 85.255.115.67,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C5DECF6-57AF-4236-8348-E95165131BAC}: NameServer = 85.255.115.67,85.255.112.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CB7D728-D740-45B8-BC1B-2D4F7B70516E}: NameServer = 85.255.115.67,85.255.112.20
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CB7D728-D740-45B8-BC1B-2D4F7B70516E}: NameServer = 85.255.115.67,85.255.112.20
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Unknown owner - slserv.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
Avatar billede majsmarken Nybegynder
04. november 2005 - 12:08 #1
Selvom du har "fjernet alt" så går der ikke lang tid før den er gal igen:
"Ubeskyttede pc’er holder i 20 minutter]":
http://forum.mib-eu.dk/forum_posts.asp?TID=44
Avatar billede majsmarken Nybegynder
04. november 2005 - 12:11 #2
Disse er tihvertifald 'dårlige' efter min mening:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [adivdy] C:\WINDOWS\System32\efqjzoi.exe r
O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\System32\formatsys.exe

Men lad en (anden) HiJackThis 'freak' give de sidste bemærkninger...
Avatar billede ullahelene Nybegynder
04. november 2005 - 12:18 #3
den er kun ubeskyttet fordi jeg har fjernet de virus programmer der var der og når den er renset skal der lægges nye ind, og jeg har taget nettet fra imens.
Avatar billede majsmarken Nybegynder
04. november 2005 - 12:26 #4
Har du også fjernet diverse WindowsUpdate elementer ?
Tilsyneladende har putter aldrig været igennnem denne procedure ?
http://windowsupdate.microsoft.com/

Imens så DL ServicePack1 (altså 1'eren) - typisk fra
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Download/copy til et passende medie.
Afbryd fra det 'farlige' internet (stikket fysisk UD).
Instaler pakken.
Når det er så gået godt og efter en genstart eller to - først DA tilslut internettet igen og gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet.
Undtagen ServicePack2 - den ka' ikke li' 'snavsede' maskiner!!!
Avatar billede majsmarken Nybegynder
04. november 2005 - 12:27 #5
(Ka' ikke nå mere idag..)
Avatar billede ullahelene Nybegynder
04. november 2005 - 12:29 #6
nej det har jeg ikke det er ikke min computer jeg skal bare ha den op og køre derfor ville jeg rense den for snavs inden jeg begyndte at installere de forskellige ting og har fjernet en hel del men ville bare være sikker på at der ikke var mere inden jeg begynder at opdaterer den.
Avatar billede majsmarken Nybegynder
04. november 2005 - 12:47 #7
... husk der ER 'snavs' på den lige (ifølge loggen) ...

I HiJackThis sæt flueben ved
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [adivdy] C:\WINDOWS\System32\efqjzoi.exe r
O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\System32\formatsys.exe
Brug FIX

Check (og evt. slet manuelt)
C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\efqjzoi.exe
C:\WINDOWS\System32\formatsys.exe
Hvis HiJackThis ikke har ædt dem...

Genstart
Ny LOG

Ovenstående bør så være væk.

Og så ServicePack1 (i første omgang...)
Avatar billede majsmarken Nybegynder
04. november 2005 - 12:48 #8
Hent denne scanner:
http://www.spywareinfo.dk/download/mwav.exe
Inde i opsætningen sætter du den til at scanne alt
Kør scanneren.
Avatar billede majsmarken Nybegynder
04. november 2005 - 12:48 #9
Anbefales generelt:
Microsoft® Windows AntiSpyware:
http://www.microsoft.com/downloads/details.aspx?FamilyId=321CD7A2-6A57-4C57-A8BD-DBF62EDA9671&displaylang=en
Avatar billede majsmarken Nybegynder
04. november 2005 - 12:48 #10
(Go' Weekend...)
Avatar billede nva Praktikant
04. november 2005 - 13:55 #11
Her får du lige mit bud på snavs:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\System32\msblank.html
R3 - URLSearchHook: (no name) - {3D6CCF08-5714-EC8A-BFD2-4CD520FF3ED7} - WinInitDll.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {4AA870AC-8427-42a4-B92E-ECD956197489} - (no file)
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [adivdy] C:\WINDOWS\System32\efqjzoi.exe r
O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\System32\formatsys.exe
Avatar billede gathering Nybegynder
04. november 2005 - 14:21 #12
http://members.home.nl/mloman/hitmanpro221.exe

download denne og køre den det er et virkeligt godt program til at fjerne skidt fra din putter
Avatar billede fromsej Praktikant
04. november 2005 - 14:55 #13
Hent Servicepack 1, brænd den på en skive, hent et ordentligt antivirusprogram, brænd det på samme skive.
Formater maskinen, installer XP, installer Servicepack, installer antivirus, først nu sætter du netkabel til, så antivirus kan opdateres.
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks
AVG, Avast eller Antivir her:(Freeware)
http://www.spywarefri.dk/virusscannere.htm
Kaspersky, bullguard eller Norman her:(Købe)
http://www.spywarefri-shop.dk/

Du får ikke Nail slået ihje, ved et simpelt fix, og Hitmanpro gør slet ikke tricket, det svarer til at smide en brintbombe over en mark fyldt med kakerlakker, der vil altid være overlevende.
Avatar billede fromsej Praktikant
04. november 2005 - 14:58 #14
Foruden Nail har du også Epolvy trojan, det er et par seje fætre at få pelset, og på en XP uden servicepack, helt og aldeles spild af tid.
Vores Ukrainske "ven" er også til stede, bedre kendt som Wareout.
>> 85.255.112.0 - 85.255.127.255 (Se 017 linierne i HJT loggen)
Inhoster hosting company
OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine <<
Avatar billede arlet Juniormester
04. november 2005 - 16:19 #15
Ja, det varer nok ikke længe før vi skal lære ukrainsk for at kunne tjekke logs*G*
Avatar billede fromsej Praktikant
04. november 2005 - 16:23 #16
Så er det godt vi har Google.*GH*
http://www.personal.ceu.hu/students/97/Roman_Zakharii/norsk.htm
Avatar billede ullahelene Nybegynder
04. november 2005 - 17:36 #17
nu har jeg 3 gange prøvet at hente service pakken 1 men den bliver ved med at skrive beskadigt fil hver gang jeg pakker den ud er lidt på herrens mark
Avatar billede fromsej Praktikant
04. november 2005 - 18:14 #18
Prøv at hente den her så:
http://www.microsoft.com/windowsxp/downloads/updates/sp1/network.mspx

Ovre til højre, hvor der står Download, skal du vælge sprog og så klikke på Go.
Avatar billede ullahelene Nybegynder
04. november 2005 - 19:39 #19
det har jeg så gjort og kunne også hente den men da jeg jeg skulle installere den skrev den at produktnøglen der bruges til at installere windows er ugyldig.
er ikke lige klar over hvad jeg så gør det er jo ikke min computer.
Avatar billede ullahelene Nybegynder
04. november 2005 - 19:40 #20
og jeg har jo ikke nogle xp-cder så jeg kan vel ikke formaterer den uden eller hvad
Avatar billede fromsej Praktikant
04. november 2005 - 19:42 #21
Så er det en piratkopieret XP, højst sandsynligt.
Den kan renses, men det er tidsspilde.
En XP home kan købes for 8-900 kr, måske kan du spørge ejeren af computeren om han vil det.
Avatar billede ullahelene Nybegynder
04. november 2005 - 21:03 #22
så tror jeg at jeg giver op så må han selv finde ud af det, så hvis i der har været så flinke at hjælpe mig lige smider et svar så giver jeg point
Avatar billede fromsej Praktikant
04. november 2005 - 21:07 #23
Jeg springer over.*S*
Avatar billede nva Praktikant
07. november 2005 - 11:10 #24
svar :)
Avatar billede ullahelene Nybegynder
07. november 2005 - 11:12 #25
jeg tror lige at jeg lader den være åben lidt endnu, jeg snakkede med ejeren i går og han ville købe en xp-cder så det kan jo være at jeg får brug for lidt hjælp
Avatar billede fromsej Praktikant
07. november 2005 - 11:14 #26
Kan du så overbevise ham om at han vil være bedst tjent med en formatering først, så burde det blive helt godt.
Avatar billede ullahelene Nybegynder
07. november 2005 - 11:18 #27
ja det tror jeg godt jeg kan for det er mig der skal sætte den op
Avatar billede majsmarken Nybegynder
07. november 2005 - 13:57 #28
(Så husk at lægge ServicePack2 på FØR FØR FØR adgang til internettet... - Good Luck...)
Avatar billede ullahelene Nybegynder
07. november 2005 - 15:09 #29
så fik jeg et problem, jeg har fået en windows-cder med det er home og det der ligger i er pro. jeg har prøvet at sætte den til at boote op med cd men det vil den ikke og jeg har lavet boot-disketter men er lidt i tvivl om det så skal være home eller pro. eller er det noget helt andet jeg skal gøre for at lægge xp-home ind
Avatar billede majsmarken Nybegynder
07. november 2005 - 16:19 #30
Lige en hurtig ...
Guide med billeder: http://www.helgec.dk/xp-install.html
Avatar billede ullahelene Nybegynder
07. november 2005 - 17:49 #31
hej
nu har jeg prøvet men når jeg prøver med xp-pro.disketter vil den ikke tage min cd-rom fordi det ikke er xp-pro. og når jeg prøver med xp-home skriver den erros når jeg starter den op med disketter, så jeg ved ikke lige hvad jeg skal gøre.
Avatar billede ullahelene Nybegynder
08. november 2005 - 08:51 #32
hej

så tror jeg jeg har fået renset computeren og har opdateret den og hentet service-pakken 1 og 2 og har fået virus-program.
jeg lægger lige en log-fil som i lige kan se på hvis i har tid.

Logfile of HijackThis v1.97.7
Scan saved at 08:49:57, on 08-11-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\DOCUME~1\michael\LOKALE~1\Temp\Midlertidig mappe 1 for hjt.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131398834799

håber at det hele er i orden. dem der har våret så flinke og hjælpe mig må godt smide et svar så skal jeg nok give point.

tak for den store tålmodighed i har med os der ikke har så meget forstand på det.
Avatar billede nva Praktikant
08. november 2005 - 13:57 #33
Den log er ren :) Men du bruger en gammel version af HiJackThis-programmet.
Avatar billede ullahelene Nybegynder
08. november 2005 - 14:37 #34
så må jeg heller få fat på den nye næste gang.
tak for hjælpen.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Total AV Af Malm i Virus 10 16/01/202516:48 17/01/202520:47
pop up black friday Af Malm i Virus 12 22/11/202420:49 03/12/202411:04
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 20:15 Dockingstation Af LLH i PC
I går 19:40 Syntaksfejl, fordi der mangler en operator Af Rene i Access
I går 10:45 Microsoft Outlook Af made18 i Andet software
I går 09:53 Lave et ark med forskellige tekst og billede bokse Af lurup i Word
22/0119:34 Synology NAS Af desist i Andet hardware
White papers
Flere white papers »


Premium
Teaser billede
Skal stå for implementeringen af stor EU-lovpakke i Danmark: Sådan kommer det til at ske
Læs mere »
Keld er chef for it-afdeling med 250 medarbejdere: Nu rykkes han helt op i direktionen i Jysk med 31.000 ansatte - får ny titel
Med software kommer opdatering af dansk simulator til at koste 125 millioner kroner
Advarsel: Donald Trumps fiksfakserier kan gøre amerikanske cloud-tjenester knaldende ulovlige i Europa
Se alle »
Computerworld
Teaser billede
Gratis og helt lovligt: Her kan du læse magasiner og aviser fra hele verden
Læs mere »
Test: Hurra - den billigste Mac er nu faktisk også den bedste
Nørgaard: Skal vi satse på open source eller amerikansk big tech i denne urolige tid?
Test: Det her er nok det bedste allround-tv, som du kan købe lige nu
Se alle »
CIO
Teaser billede
Region Midtjylland dropper LibreOffice: Flytter 36.000 medarbejdere over på Microsoft 365
Læs mere »
Traf afgørende beslutning i 00'erne: Nu høster Salling Group frugterne af sin ERP-strategi
Skifte væk fra mainframe handlede først om pris – så indså Visma Enterprise, at gevinsten var noget helt andet
I dag træder ny stor sikkerhedslov fra EU i kraft: Dora-forordningen er nu gældende lov
Se alle »
Job & Karriere
Teaser billede
Merete Søby klar med nyt top-job efter pludselig exit fra Schultz: Her er hendes nye job
Læs mere »
40 år gammelt dansk it-selskab fusionerer med hollandsk firma og skifter navn
Her er deres månedsløn: Så meget tjener CIO'erne i de danske regioner - den bedst lønnede får mere end digitaliseringsministeren
Dansk headhunter: Dette spørgsmål bliver jeg næsten altid stillet, når jeg forsøger at rekruttere it-folk
Se alle »
White paper
Teaser billede
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Læs mere »
Sådan: Én løsning til compliance, sikkerhed og overblik
Sæt professionel døgnvagt på din it-infrastruktur
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »