CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

niwikr Nybegynder

03. januar 2006 - 09:27 Der er 28 kommentarer og
3 løsninger

spyaxe eller andet møg

Hej

Har fået et eller andet på min computer.

Bliver bedt om at installere noget der hedder spyaxe

IEs startside er blevet www.systemwarning.com der siger:

Attention! Your system is under control of remote computer with IP address 227.4.167.118. The remote computer has access to the following folders on your PC:
- \WINDOWS\System32
- \Program Files\Internet Explorer
- \My Documents
- Drive C:\ files
Click here to download official anti-spyware software

Ligedes popper der en windows virus alert op nede fra i ikonlinien i højre bund, med "your computer is infected!" bla bla. det er denne der sender mig videre til spyaxe.

JEg ved ikke hvad jeg kan stole på og hvad jeg ikke kan! Derfor spørger jeg her om der er nogle der kan hjælpe mig. Please!

JEg ved så meget at i nok skal bruge en hijack log så her er den:

Logfile of HijackThis v1.99.1
Scan saved at 09:18:30, on 03-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\apache\mysql\bin\mysqld-nt.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\WINDOWS\winexec.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Programmer\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\apache\mysql\bin\winmysqladmin.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nicolai\Skrivebord\Ny mappe (2)\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 172.16.1.150
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpF6E0.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [_WinMain] C:\WINDOWS\winexec.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SpyAxe] C:\Programmer\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {8B3512EF-4FF5-4AA4-9CDE-56BB03E04B9F} (SAXFileEE ActiveX Control) - http://www.billedbutikken.dk/upload/SAXFileEE.cab
O16 - DPF: {CA79DF4A-E7DD-4175-A88A-7B72533A4130} (Sky Software FolderView ActiveX Control 6.0) - http://www.billedbutikken.dk/upload/digiupload.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Nvc\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Synes godt om

screem_brille Novice

03. januar 2006 - 09:30 #1

prøv og kig på denne side http://www.hijackthis.de/index.php?langselect=english

Synes godt om

niwikr Nybegynder

03. januar 2006 - 09:45 #2

Nu har jeg kørt min hijack i den anbefalede promt så er der er et 2 nasty og 6-7 possible nasty (en hedder noget med spyaxe), skal jeg så køre hijack og klikke disse af for at fjerne?

Vil de ikke bare komme igen når jeg genstarter, hvis ikke jeg også får fjernet nogle programmer/filer?

Synes godt om

screem_brille Novice

03. januar 2006 - 09:49 #3

det du kan gøre er at søge på google på det filnavn de possible nasty hedder, og der vil du så kunne finde ud af om det er sikkert at fjerne dem, eller det er en ok fil.

Synes godt om

niwikr Nybegynder

03. januar 2006 - 10:03 #4

Jeg er nu gået ind i system32 mappen og forsøger at fjerne en af de nasty, "mssearchnet" hedder den. Ikonet på den er modat de andre en gul trekant med sort udråbstegn og når jeg forsøger at slette den ka ndet ikek ikke lade sig gøre "adgang nægtet"???

Synes godt om

screem_brille Novice

03. januar 2006 - 10:06 #5

kad hijackthis slette dem, eller start op i fejl sikret tilstand og slet filen derfra.

Når dette er gjort, så slet midlertidige internet filer og temp mappen også.

Synes godt om

nva Praktikant

03. januar 2006 - 10:39 #6

Du bør køre denne http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Synes godt om

screem_brille Novice

03. januar 2006 - 10:42 #7

nva, er nok en god ide at skrive hvad det er ? ;)

Synes godt om

nva Praktikant

03. januar 2006 - 10:46 #8

Læs evt. denne artikel http://www.eksperten.dk/artikler/865 - eller bare tag mit ord for at det vil være klogt hehe ;-)

Synes godt om

screem_brille Novice

03. januar 2006 - 10:49 #9

nva det gør jeg nu også, det var mere ment for spørgers vedkommende ;)

Synes godt om

nva Praktikant

03. januar 2006 - 10:53 #10

Helt ok - sommetider har jeg det med at forudsætte at folk ved, hvad jeg lige sidder og tænker ;-)

Synes godt om

kalp Novice

03. januar 2006 - 10:55 #11

blot en kommentar.. spyaxe er desværre ikke bare sådan lige til at finde og slette og så er det ordnet..

lyder det lidt som om du tror screem_brille:)

Synes godt om

Computer Hjælp (Gratis) Mester

03. januar 2006 - 11:01 #12

<niwikr>: Du er nok nummer 118 bruger der har 'fået' denne uønskede [Spyaxe] ting med tilbehør ind på putter...

Så gennemfør proceduren som beskrevet i http://www.eksperten.dk/artikler/865 og læg indholdet af nævnte Log(s) her ind i denne tråd...

<nva>: Vil du så følge op på den ???

Synes godt om

Computer Hjælp (Gratis) Mester

03. januar 2006 - 11:02 #13

<niwikr>: Du vender vel tilbage her til ? Det har ikke været en vane i dine tidl. spm. -> http://www.eksperten.dk/list.phtml?sort=&order=DESC&status_1=on&status_2=on&spm_creator=niwikr&spm_part=&spm_answer=&find=&engine=exp

Synes godt om

nva Praktikant

03. januar 2006 - 11:03 #14

Jeg har ikke blandet mig for at overtage tråden - kun få at give et godt råd ;-)

Synes godt om

screem_brille Novice

03. januar 2006 - 11:05 #15

dr1 rart at se du fangede hvorfor jeg ikkr gjorde mere end jeg gjorde ;)

Synes godt om

niwikr Nybegynder

03. januar 2006 - 11:41 #16

Jep jeg vender tilbage. Har i mellemtiden forsøgt mig lidt med spywarefris anbefalinger, så den sidste halve time har jeg kørt Ewido scanning. Men eftersom i er kommet flere til fortsætter jeg her og kigger på de link i har vedlagt.

dr1: jo jeg har tænkt mig at fortsætte, jeg tror nu også tingene har været uddebateret i de spørgsmål jeg tidligere har deltaget i, og hvis ikke, så selvfølgelig en undskyldning herfra. Jeg skal dog ikke benægte at jeg nok har været sløv til at få dem lukket. Jeg skal nok sørge for at få ryddet op senere idag. Jeg har ikke nogen undskyldning andet end at nogel gange går det hele lidt hurtigt, og det er sgu for dårligt fra min side, når nu andre bruger tid på at kommunikere med mig. Så et stort undskyld herfra, og et løfte om at gøre det bedre fremover!

Synes godt om

niwikr Nybegynder

03. januar 2006 - 12:50 #17

Hej

Det fungerer en del bedre nu. (har dog stadig en uønsket popup i ny og næ)

-har kørt ewido (uden opdatering)
-har kørt smitrem (uden diskoprydningen dog)
-har kørt ewido igen (dennegang opdateret version)

EWIDO LOG (FØR OPDATERING)

---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------

+ Created on: 11:28:55, 03-01-2006
+ Report-Checksum: 290B57E1

+ Scan result:

HKU\S-1-5-21-664672011-2713839981-1020436132-1008\Software\IST -> Spyware.ISTBar : Cleaned with backup
HKU\S-1-5-21-664672011-2713839981-1020436132-1008\Software\Classes\CLSID\{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F} -> Downloader.SpyAxe : Cleaned with backup
HKU\S-1-5-21-664672011-2713839981-1020436132-1008_Classes\CLSID\{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F} -> Downloader.SpyAxe : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@112.2o7[2].txt -> Spyware.Cookie.2o7 : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@2o7[2].txt -> Spyware.Cookie.2o7 : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@ads.pointroll[2].txt -> Spyware.Cookie.Pointroll : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@adtech[1].txt -> Spyware.Cookie.Adtech : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@advertising[1].txt -> Spyware.Cookie.Advertising : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@atdmt[2].txt -> Spyware.Cookie.Atdmt : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@banner.commissionpartner[2].txt -> Spyware.Cookie.Commissionpartner : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@bs.serving-sys[1].txt -> Spyware.Cookie.Serving-sys : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@centrport[1].txt -> Spyware.Cookie.Centrport : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@commission-junction[2].txt -> Spyware.Cookie.Commission-junction : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@com[2].txt -> Spyware.Cookie.Com : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@data.coremetrics[1].txt -> Spyware.Cookie.Coremetrics : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@edge.ru4[2].txt -> Spyware.Cookie.Ru4 : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@ehg-hotgroup.hitbox[2].txt -> Spyware.Cookie.Hitbox : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@estat[1].txt -> Spyware.Cookie.Estat : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@gettyimages.122.2o7[1].txt -> Spyware.Cookie.2o7 : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@hitbox[2].txt -> Spyware.Cookie.Hitbox : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@linksynergy[2].txt -> Spyware.Cookie.Linksynergy : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@overture[2].txt -> Spyware.Cookie.Overture : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@perf.overture[1].txt -> Spyware.Cookie.Overture : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@qksrv[2].txt -> Spyware.Cookie.Qksrv : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@questionmarket[2].txt -> Spyware.Cookie.Questionmarket : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@servedby.advertising[1].txt -> Spyware.Cookie.Advertising : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@server.iad.liveperson[1].txt -> Spyware.Cookie.Liveperson : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@serving-sys[1].txt -> Spyware.Cookie.Serving-sys : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@stat.onestat[2].txt -> Spyware.Cookie.Onestat : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@statcounter[1].txt -> Spyware.Cookie.Statcounter : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@statse.webtrendslive[1].txt -> Spyware.Cookie.Webtrendslive : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
C:\Documents and Settings\Kathrine\Cookies\kathrine@www.etracker[1].txt -> Spyware.Cookie.Etracker : Cleaned with backup
C:\Documents and Settings\Kathrine\Lokale indstillinger\Temp\Cookies\kathrine@adtech[2].txt -> Spyware.Cookie.Adtech : Cleaned with backup
C:\Documents and Settings\Kathrine\Lokale indstillinger\Temp\Cookies\kathrine@advertising[1].txt -> Spyware.Cookie.Advertising : Cleaned with backup
C:\Documents and Settings\Kathrine\Lokale indstillinger\Temp\Cookies\kathrine@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Cleaned with backup
C:\Documents and Settings\Kathrine\Lokale indstillinger\Temp\Cookies\kathrine@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Cleaned with backup
C:\Documents and Settings\Kathrine\Lokale indstillinger\Temp\Cookies\kathrine@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
C:\Documents and Settings\Kathrine\Lokale indstillinger\Temp\Cookies\kathrine@mediaplex[2].txt -> Spyware.Cookie.Mediaplex : Cleaned with backup
C:\Documents and Settings\Kathrine\Lokale indstillinger\Temp\Cookies\kathrine@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Cleaned with backup
C:\Documents and Settings\Kathrine\Lokale indstillinger\Temp\Cookies\kathrine@statcounter[1].txt -> Spyware.Cookie.Statcounter : Cleaned with backup
C:\Documents and Settings\Kathrine\Lokale indstillinger\Temp\Cookies\kathrine@statse.webtrendslive[2].txt -> Spyware.Cookie.Webtrendslive : Cleaned with backup
C:\Documents and Settings\Kathrine\Lokale indstillinger\Temp\Cookies\kathrine@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Cleaned with backup
C:\Documents and Settings\Nicolai\Cookies\nicolai@adtech[2].txt -> Spyware.Cookie.Adtech : Cleaned with backup
C:\Documents and Settings\Nicolai\Cookies\nicolai@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Cleaned with backup
C:\WINDOWS\system32\1024\ldA278.tmp -> Dropper.Small.akq : Cleaned with backup
C:\WINDOWS\__p9hEPQkbj.exe -> Dropper.Agent.my : Cleaned with backup

::Report End

EWIDO LOG (EFTER OPDATERING):

---------------------------------------------------------
ewido anti-malware - Scanningsrapport
---------------------------------------------------------

+ Oprettet den: 12:42:34, 03-01-2006
+ Rapport-Checksum: BA3BDC44

+ Scanningsresultat:
C:\Documents and Settings\Nicolai\Cookies\nicolai@adtech[2].txt -> Spyware.Cookie.Adtech : Renset med backup
C:\Documents and Settings\Nicolai\Cookies\nicolai@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Renset med backup

::Rapport slut

SENESTE HIJACK LOG:

Logfile of HijackThis v1.99.1
Scan saved at 12:46:09, on 03-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\ewido anti-malware\ewidoguard.exe
c:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\apache\mysql\bin\mysqld-nt.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programmer\QuickTime\qttask.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\apache\mysql\bin\winmysqladmin.exe
C:\Documents and Settings\Nicolai\Skrivebord\Ny mappe (2)\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 172.16.1.150
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {8B3512EF-4FF5-4AA4-9CDE-56BB03E04B9F} (SAXFileEE ActiveX Control) - http://www.billedbutikken.dk/upload/SAXFileEE.cab
O16 - DPF: {CA79DF4A-E7DD-4175-A88A-7B72533A4130} (Sky Software FolderView ActiveX Control 6.0) - http://www.billedbutikken.dk/upload/digiupload.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido anti-malware\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Nvc\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Synes godt om

niwikr Nybegynder

03. januar 2006 - 12:58 #18

smitfiles kommer også lige:

smitRem © log file
version 2.8

by noahdfear

Microsoft Windows XP [version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SpyAxeFix © by noahdfear

spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

SpyAxe

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp

~~~ Icons in System32 ~~~

ts.ico
ot.ico

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 772 'explorer.exe'

Starting registry repairs

Deleting files

Remaining Post-run Files

~~~ Program Files ~~~

SpyAxe

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN! :)

Synes godt om

nva Praktikant

03. januar 2006 - 13:23 #19

Hvis du ikke kender denne skal den fixes:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 172.16.1.150

Synes godt om

niwikr Nybegynder

03. januar 2006 - 13:26 #20

OK, men hvad mener du med "hvis du ikek kender.."

De nsiger mig ikke meget! MEn om den anvendes til et eller andet nyttigt aner jeg heller ikke.

Og i givet fald, hvordan fikser jeg den?

BTW! det ser sgu ud som om det ellers virker helt perfekt nu. TAK!

Synes godt om

nva Praktikant

03. januar 2006 - 13:30 #21

Hvis du ikke har sat dit internet op til at pege på på den ip-adresse, så bør du fixe den linie med HiJackThis - uden at din internetbrowser er startet.

Synes godt om

nva Praktikant

03. januar 2006 - 13:34 #22

Iflg denne artikel skulle ip-adressen være legal http://www.eksperten.dk/artikler/642 men hvis du bruger en almindelig hjemme-pc som du selv har sat op, undrer det mig at den linie er der, hvis du ikke kender den.

Synes godt om

nva Praktikant

03. januar 2006 - 13:42 #23

Ud fra de betragtninger jeg har nævnt så ville jeg fixe den R1 ;)

Synes godt om

niwikr Nybegynder

03. januar 2006 - 13:42 #24

nva: jeg er lidt sløv i optrækket, jeg tror det var en fast IP adresse jeg satte op til vores netværk i beboerforeningen, engang da den dynamiske tildeling var lidt i miskmask. Det er iorden nu og nok en rest derfra. Men jeg har slettet den fra aHijack anyway!

Tak til alle! I har reddet min dag.

dr1: jeg har lukket alle gamle nu ;-)

Hvem er jer vil have pointene (kom blot med et svar :-)

Synes godt om

screem_brille Novice

03. januar 2006 - 13:45 #25

det er nok bedre du beder dem du mener skal have point om at lægge et svar

Synes godt om

niwikr Nybegynder

03. januar 2006 - 13:48 #26

OK! dr1 ledte mig ind på den rigtige tråd. Lyder wom om nva kiggede loggen igennem, så hvad med at i deler?

Synes godt om

nva Praktikant

03. januar 2006 - 13:55 #27

Som jeg skrev tidligere så ville jeg kun give et godt råd og ikke overtage tråden. Mht. dr1 så kan det godt være at vedkommende ledte dig på rette vej - men det var nu samme artikel som jeg lagde et link til ;-) Så alt i alt syns jeg du skal give points til Screem_brille som startede med at hjælpe dig.

Synes godt om

Computer Hjælp (Gratis) Mester

03. januar 2006 - 16:15 #28

Evt. bare 2P til 'lille' mig - resten til andre...

Synes godt om

nva Praktikant

04. januar 2006 - 07:54 #29

Hvis ikke screem_brille ønsker at lægge et svar får du hermed et svar fra mig.

Synes godt om

niwikr Nybegynder

04. januar 2006 - 09:49 #30

Screem_brille giv et svar, så er der efterfølgende point til alle! (man skulle næsten tro at det stadig var jul hva´;-)

Synes godt om

screem_brille Novice

04. januar 2006 - 11:23 #31

svar

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus	21	22/06/202419:22	23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus	23	07/05/202421:02	13/05/202419:48
trusler Af gerhardpet i Virus	4	26/01/202410:02	27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus	16	09/01/202416:37	10/01/202419:59
virusscanning Af JetteD i Virus	2	10/11/202312:55	10/11/202316:36

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS