CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede craven Nybegynder
12. februar 2006 - 20:20 Der er 6 kommentarer og
1 løsning

Noget bruger mit internet. Log-fil fra HijackThis: Hjælp

Logfile of HijackThis v1.99.1
Scan saved at 20:17:45, on 12-02-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Microsoft IntelliType Pro\type32.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Casper\Skrivebord\Ny mappe (2)\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pilots.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [type32] "C:\Programmer\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-søgning - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Oversæt engelsk ord - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Lignende sider - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tilbage via links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Øjebliksbillede af side i cache - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ladbrokes Poker - {C2A80015-C447-4dc4-82DD-AED83D6ED57E} - C:\Programmer\ladbrokesMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c9.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130833658812
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
Avatar billede ejvindh Ekspert
12. februar 2006 - 21:23 #1
Jeg kigger på loggen :-)
Avatar billede ejvindh Ekspert
12. februar 2006 - 21:27 #2
Der er kun en enkelt der skal fixes i HJT-loggen:

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c9.cab

Men prøv at tage et par scanninger med disse programmer. De kan ofte finde noget, som ikke kan ses i HJT-loggen:

Hent Ewido herfra (14 dages version af plus-versionen)
http://www.spywarefri.dk/downloads1/ewido-setup.exe
Installer og kør Ewido - opdater programmet.

Download og gem denne scanner på skrivebordet. http://www.spywareinfo.dk/download/mwav.exe

Genstart til fejlsikret tilstand.
Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind i dit næste svar.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files. Klik på scan clean. Når scanneren er færdig med at scanne, så kopier indholdet af vinduet "Virus Log Information" herind (marker det, og tast ctrl-c)
Avatar billede craven Nybegynder
13. februar 2006 - 10:35 #3
Hej ejvindh.

Volapyk for mig, men sikkert ikke for dig:

----------------------------------------------------------------

---------------------------------------------------------
ewido anti-malware - Scanningsrapport
---------------------------------------------------------

+ Oprettet den:            09:28:17, 13-02-2006
+ Rapport-Checksum:        6B51C335

+ Scanningsresultat:
    C:\Documents and Settings\Casper\Cookies\casper@adtech[2].txt -> TrackingCookie.Adtech : Renset uden backup
    C:\Documents and Settings\Casper\Cookies\casper@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Renset med backup
    C:\Documents and Settings\Casper\Cookies\casper@com[2].txt -> TrackingCookie.Com : Renset med backup
    C:\Documents and Settings\Casper\Cookies\casper@ivwbox[1].txt -> TrackingCookie.Ivwbox : Renset med backup
    C:\Documents and Settings\Casper\Cookies\casper@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Renset med backup
    C:\Documents and Settings\Casper\Skrivebord\Worms2-dm.exe -> Adware.Trymedia : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@adtech[1].txt -> TrackingCookie.Adtech : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@advertising[2].txt -> TrackingCookie.Advertising : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@as1.falkag[2].txt -> TrackingCookie.Falkag : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@atdmt[2].txt -> TrackingCookie.Atdmt : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@bluestreak[1].txt -> TrackingCookie.Bluestreak : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@doubleclick[1].txt -> TrackingCookie.Doubleclick : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@mediaplex[1].txt -> TrackingCookie.Mediaplex : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@serving-sys[2].txt -> TrackingCookie.Serving-sys : Renset med backup
    C:\Documents and Settings\Mille\Cookies\mille@www.etracker[1].txt -> TrackingCookie.Etracker : Renset med backup


::Rapport slut

-------------------------------------------------------------------------------Fra eScan

File C:\Programmer\Norton AntiVirus\Quarantine\2D2B023D.dll tagged as not-a-virus:AdWare.Win32.WinAD.bg. No Action Taken.

File C:\Programmer\Norton AntiVirus\Quarantine\30F03E03.wmf infected by "Trojan-Downloader.Win32.Agent.acd" Virus. Action Taken: File Deleted.

File C:\Programmer\Norton AntiVirus\Quarantine\3CB52ACB.exe infected by "Email-Worm.Win32.VB.an" Virus. Action Taken: File Deleted.

File C:\Programmer\Norton AntiVirus\Quarantine\53DB00C2.tmp infected by "Email-Worm.Win32.VB.an" Virus. Action Taken: File Deleted.

File C:\Programmer\Norton AntiVirus\Quarantine\5909170F.exe infected by "Trojan.Win32.VB.aad" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{A05034E2-5592-47D1-AC97-D40382AE9A0C}\RP59\A0009026.exe tagged as not-a-virus:AdWare.Win32.Trymedia.b. No Action Taken.

File C:\System Volume Information\_restore{A05034E2-5592-47D1-AC97-D40382AE9A0C}\RP59\A0009027.exe infected by "Email-Worm.Win32.VB.an" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{A05034E2-5592-47D1-AC97-D40382AE9A0C}\RP59\A0009028.exe infected by "Trojan.Win32.VB.aad" Virus. Action Taken: File Deleted.
Avatar billede ejvindh Ekspert
13. februar 2006 - 11:29 #4
Nej, det er ikke helt volapyk ;-)

Men det ser fint ud. Der lå et par vira i et gendannelsespunkt du har liggende, og så fandt mwav også et par stykker i Nortons karantæne. Ingen af dem er sandsynligvis aktive. Derfor vil jeg mene at dit problem ikke skyldes virus. Hvis du gerne vil have det kan vi godt tage et par yderligere check, men jeg synes at det er mere sandsynligt at nogle af dine systemfiler eller måske dit antivirus checker op på internettet ind imellem (for at se efter opdateringer eller andet).

Hvor meget trafik drejer det sig om?
Avatar billede craven Nybegynder
13. februar 2006 - 11:52 #5
Så langt så godt!

Jeg ved ikke om de "pakker" som min netværksforbindelse viser kan oversættes til noget. Den har været oprettet en time. Sendt 169.200 pakker. Modtaget 194.000 pakker. Jeg har på den time downloaded ca 40-50 MB diverse.

Men sendte pakker banker bare derudaf hele tiden.
Avatar billede ejvindh Ekspert
13. februar 2006 - 13:01 #6
Du kunne måske prøve om du kan finde hvilket program der gør det ved at prøve inde i taskmanageren (ctrl-alt-esc, fanebladet processer) at lukke det aktive processer ned én efter én, og så se om det giver udslag på fanebladet Netværk. Af de processer som du havde aktive da du kørte Hijackthis sidste gang, skal du nok ikke lukke følgende processer ned (da det er systemfiler, der er nødvendige for at styresystemet kører).
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe (der vil sandsynligvis være flere instanser af denne fil)
C:\WINDOWS\system32\spoolsv.exe

Hvis dit system bliver ustabilt undervejs skal du bare genstarte det ved at trykke ctrl-alt-del, og vælge "luk computeren"
Avatar billede craven Nybegynder
17. februar 2006 - 18:52 #7
Tak!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
15 min siden Undgå matriksformel? Af Dan Elgaard i Excel
I går 21:33 Ingen reaktion på Kraks Kort Af ErikHg i Søgemaskiner
I går 21:06 iTop Screen Recorder Free Dansk Af eksmojo i Andet software
I går 12:29 Kan ikke fide SSD cards Af JohnVamos i PC
I går 11:29 Bistand søges til Wordpress, kalenderfunktion og infoskærme. Af Jens Andreas i Småopgaver
White papers
Flere white papers »


Premium
Teaser billede
Sådan får hackerne med ny fidus adgang til dit system for kun 10 dollar: Næsten umuligt at beskytte sig
Læs mere »
Kommunernes it-forbrug stiger: Sådan har Odense Kommune holdt sine udgifter til it-licenser og it-konsulenter nede
Tidligere Cibicom-topchef Michael Meister har landet nyt job: Skal være administrerende direktør
Styrelse kom med tastefejl til at lægge tre år for meget på it-kontrakt til 350 millioner kroner
Se alle »
Computerworld
Teaser billede
Om lidt går det løs: Så banebrydende bliver iPhone 16
Læs mere »
iPhone 16 og 16 Pro slippes løs: Her er de to afgørende nyheder
Apple ændrer grundlæggende på den måde, som din iPhone skal opdateres på
Test: Her får du lynhurtig wi-fi 7 bredbånd til lavpris
Se alle »
CIO
Teaser billede
Nu kommer næste store version af Copilot
Læs mere »
Syv vigtige teknologier, som alle CIO'er bør forholde sig til - kommer til at sætte dagsordenen
Søstrene Grene skifter Microsoft ud med SAP og rykker for første gang i clouden i stor ERP-transformation
Microsoft har fundet 79 sårbarheder i Windows – du bør opdatere straks
Se alle »
Job & Karriere
Teaser billede
Pludselig exit fra Schultz kom som en overraskelse for Merete Søby: Derfor stoppede samarbejdet
Læs mere »
Merete Søby fratræder med omgående virkning som CEO for Schultz efter blot tre måneder på posten
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
Kom tæt på Danmarks nye digitaliserings-minister: 33-årige Caroline Stage Olsen er tidligere tobaks-lobbyist - har været aktiv i politik siden hun var helt ung
Se alle »
White paper
Teaser billede
Sådan får du overblik og beskytter dine cloudapplikationer
Læs mere »
Sikkerhed uden grænser: Cisco Hypershield
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
MDR: Transparent sikkerhed og overvågning i realtid
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »