CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede kurtr Nybegynder
23. oktober 2007 - 10:30 Der er 16 kommentarer og
1 løsning

Hjælp til kontrol af Hjack

Hjælp ønskes til kontrol af Hijack,

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:27:23, on 23-10-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programmer\Arcade\PCMService.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programmer\Logitech\SetPoint\SetPoint.exe
C:\Programmer\OpenOffice.org 2.3\program\soffice.exe
C:\Programmer\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmer\Fælles filer\Logitech\KhalShared\KHALMNPR.EXE
C:\Programmer\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPNRA.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Gem\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmer\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmer\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmer\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Tilføj til Kaspersky Anti-Banner - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase2895.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180796623796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185146921109
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmer\Fælles filer\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmer\Fælles filer\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmer\WinPcap\rpcapd.exe

--
End of file - 8494 bytes
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 11:17 #1
Der er en grim tool bar - men ellers ikke ummiddlbart andet.:
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
og
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
Dem kan du starte med at slette via HJT - men den kan altså ikke se alt.
Der er mange gode log analytikere herinde, der kan hjælpe dig videre - men de skal altså bruge lidt mere info en HJT giver.
Følg denne her tråd http://www.eksperten.dk/artikler/1123 og post så reaultaterne tilbage her :)
Avatar billede kurtr Nybegynder
23. oktober 2007 - 11:50 #2
pbj_dk...... hvorfor tror du 03 toolbar er farlig jeg mener det er til kryptering af filer på pc
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 12:20 #3
http://www.dllinformation.com/dllfiles/ToolBand.dll_html - men kan være jeg tager fejl, jeg er ikke speciel virus/spyware hej :-) Svarede mest for at få dig til at følge http://www.eksperten.dk/artikler/1123 .
Som sagt, der er mange gode log analytikere på E, de nok hjælpe dig videre, når du poster de andre logs ;-)
Avatar billede kurtr Nybegynder
23. oktober 2007 - 12:37 #4
pbj.....jeg har fulgt det, jeg har en Acer bærbar med ovennævnte toolbar det er til, at kryptere filer på harddisken med
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 13:00 #5
OK ( trækker næsen til mig ;-). Post de andre logs, dem skal eksperterne bruge.
Avatar billede ejvindh Ekspert
23. oktober 2007 - 13:20 #6
Der er ikke noget skidt i loggen, men som pbj_dk skriver, så kræves der et gennemsyn af de andre logs også, for at give et bedre indtryk af computerens tilstand :-)
Avatar billede kurtr Nybegynder
23. oktober 2007 - 13:45 #7
ejvindh de er på vej kommer om få minutter
ComboFix 07-10-23.1 - Kurt Rasmussen 2007-10-23 13:27:57.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1030.18.451 [GMT 2:00]
Running from: C:\Gem\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services  )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\NPF


(((((((((((((((((((((((((  Files Created from 2007-09-23 to 2007-10-23  )))))))))))))))))))))))))))))))
.

2007-10-23 13:24    <DIR>    d--------    C:\Programmer\CCleaner
2007-10-23 13:24    51,200    --a------    C:\WINDOWS\NirCmd.exe
2007-10-23 11:31    <DIR>    d--------    C:\Programmer\SUPERAntiSpyware
2007-10-23 11:31    <DIR>        C:\Programmer\Fælles filer\Wise Installation Wizard
2007-10-23 11:31    <DIR>    d--------    C:\Documents and Settings\Kurt Rasmussen\Application Data\SUPERAntiSpyware.com
2007-10-22 12:28    <DIR>    d--------    C:\Programmer\Sun
2007-10-10 15:25    <DIR>    d--------    C:\Programmer\Brother's Keeper 6
2007-10-10 15:25    <DIR>    d--------    C:\Brother's Keeper 6
2007-10-10 10:51    497,488    --a------    C:\WINDOWS\system32\XceedZip.dll
2007-10-10 10:51    65,536    --a------    C:\WINDOWS\system32\ssfm1032.dll
2007-10-10 10:51    53,248    --a------    C:\WINDOWS\system32\ciaXPRegSvr20.dll
2007-10-04 17:33    <DIR>    d--------    C:\Programmer\Nero
2007-10-04 17:33    <DIR>        C:\Programmer\Fælles filer\Nero
2007-10-02 01:50    <DIR>    d--------    C:\Documents and Settings\Kurt Rasmussen\Application Data\Nero
2007-10-01 11:05    <DIR>    d--------    C:\Programmer\OpenOffice.org 2.3
2007-09-23 18:28    <DIR>    d--------    C:\Documents and Settings\Kurt Rasmussen\Application Data\Apple Computer

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-23 11:38    14,651,424    --sha-w    C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-23 11:36    786,720    --sha-w    C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-23 11:36    77,912    --sha-w    C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-23 11:36    200,408    --sha-w    C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-23 10:49    ---------    d-----w    C:\Programmer\RegSupreme Pro
2007-10-23 09:55    ---------    d-----w    C:\Documents and Settings\Kurt Rasmussen\Application Data\OpenOffice.org2
2007-10-23 09:31    ---------    d-----w    C:\Programmer\Fælles filer
2007-10-23 07:59    ---------    d-----w    C:\Programmer\Windows Live Safety Center
2007-10-22 10:28    ---------    d-----w    C:\Programmer\Java
2007-10-22 10:03    ---------    d-----w    C:\Documents and Settings\Kurt Rasmussen\Application Data\Image Zone Express
2007-10-10 14:39    ---------    d-----w    C:\Programmer\Mozilla Sunbird
2007-10-01 23:39    ---------    d-----w    C:\Programmer\Fælles filer\Ahead
2007-10-01 22:23    ---------    d-----w    C:\Documents and Settings\Kurt Rasmussen\Application Data\Ahead
2007-09-25 14:38    ---------    d-----w    C:\Documents and Settings\Kurt Rasmussen\Application Data\ZoomBrowser EX
2007-09-18 14:35    ---------    d-----w    C:\Documents and Settings\Kurt Rasmussen\Application Data\LimeWire
2007-09-08 12:38    ---------    d-----w    C:\Programmer\Microsoft Visual Studio 9.0
2007-09-08 12:38    ---------    d-----w    C:\Programmer\Fælles filer\Microsoft Shared
2007-09-08 12:38    ---------    d-----w    C:\Programmer\Fælles filer\Merge Modules
2007-09-08 12:22    ---------    d-----w    C:\Programmer\Microsoft Synchronization Services
2007-09-08 12:22    ---------    d-----w    C:\Programmer\Microsoft SQL Server Compact Edition
2007-09-08 12:01    ---------    d-----w    C:\Programmer\Microsoft SQL Server
2007-09-08 11:49    ---------    d-----w    C:\Programmer\Microsoft Web Designer Tools
2007-09-08 11:48    ---------    d-----w    C:\Programmer\Microsoft SDKs
2007-09-08 11:45    ---------    d-----w    C:\Programmer\Reference Assemblies
2007-09-08 11:45    ---------    d-----w    C:\Programmer\MSBuild
2007-09-08 11:12    ---------    d-----w    C:\Programmer\Microsoft.NET
2007-09-06 21:55    ---------    d--h--w    C:\Programmer\InstallShield Installation Information
2007-09-04 09:00    82,061    ----a-w    C:\WINDOWS\system32\drivers\klick.dat
2007-09-04 09:00    81,549    ----a-w    C:\WINDOWS\system32\drivers\klin.dat
2007-08-26 21:27    ---------    d-----w    C:\Programmer\Mozilla Thunderbird
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-02-07 19:36]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-02-07 19:32]
"SynTPLpr"="C:\Programmer\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 23:44]
"SynTPEnh"="C:\Programmer\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 23:43]
"PCMService"="C:\Programmer\Arcade\PCMService.exe" [2005-03-09 18:59]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-27 05:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-27 14:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-27 14:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-27 14:00]
"ATIPTA"="C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 21:05]
"LManager"="C:\Programmer\Launch Manager\QtZgAcer.EXE" [2005-10-13 11:33]
"EPM-DM"="c:\acer\Empowering Technology\ePower\epm-dm.exe" [2005-07-15 10:53]
"Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2005-07-15 10:53]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 16:41]
"ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 16:45]
"AVP"="C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2007-03-09 20:50]
"HP Software Update"="C:\Programmer\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12]
"SunJavaUpdateSched"="C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"Adobe Reader Speed Launcher"="C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 15:32 C:\WINDOWS\KHALMNPR.Exe]
"NeroFilterCheck"="C:\Programmer\Fælles filer\Nero\Lib\NeroCheck.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-27 12:00]
"SUPERAntiSpyware"="C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-04-23 15:46]

C:\Documents and Settings\Kurt Rasmussen\Menuen Start\Programmer\Start\
OpenOffice.org 2.3.lnk - C:\Programmer\OpenOffice.org 2.3\program\quickstart.exe [2007-09-11 05:43:54]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmer\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programmer\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programmer\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

R1 OsaFsLoc;OsaFsLoc;\??\C:\WINDOWS\system32\drivers\OsaFsLoc.sys
R1 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys
R2 EpmPsd;Acer EPM Power Scheme Driver;\??\C:\WINDOWS\system32\drivers\epm-psd.sys
R2 EpmShd;Acer EPM System Hardware Driver;\??\C:\WINDOWS\system32\drivers\epm-shd.sys
R2 int15.sys;int15.sys;\??\C:\Acer\Empowering Technology\eRecovery\int15.sys
R2 osaio;osaio;\??\C:\WINDOWS\system32\drivers\osaio.sys
R2 osanbm;osanbm;\??\C:\WINDOWS\system32\drivers\osanbm.sys
R2 SQLWriter;SQL Server VSS Writer;"C:\Programmer\Microsoft SQL Server\90\Shared\sqlwriter.exe"
R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys
S3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\system32\Drivers\DKbFltr.sys

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-23 13:38:26
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-23 13:41:16 - machine was rebooted
.
    --- E O F ---
Avatar billede kurtr Nybegynder
23. oktober 2007 - 14:13 #8
her er de sidste 2
******************************** ROOTCHK-(21-09-07)-LOG, by ejvindh
23-10-2007 13:57:42,78

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end


catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-23 14:09:27
Windows 5.1.2600 Service Pack 2
scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000040e

scanning hidden files ...

hidden processes: 0
hidden services: 0
hidden files: 0
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/23/2007 at 11:50 AM

Application Version : 3.7.1018

Core Rules Database Version : 3329
Trace Rules Database Version: 1330

Scan type      : Quick Scan
Total Scan Time : 00:10:21

Memory items scanned      : 354
Memory threats detected  : 1
Registry items scanned    : 762
Registry threats detected : 14
File items scanned        : 12176
File threats detected    : 1

Adware.IWantSearchBar
    C:\WINDOWS\SYSTEM32\TOOLBAND.DLL
    C:\WINDOWS\SYSTEM32\TOOLBAND.DLL
    HKLM\Software\Microsoft\Internet Explorer\Toolbar#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32#ThreadingModel
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\Programmable
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\TypeLib
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\FLAGS
    HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR
    HKU\S-1-5-21-435690987-1855418409-3123157714-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
Avatar billede ejvindh Ekspert
23. oktober 2007 - 14:19 #9
Det ser stadig fornuftigt ud. Dog kom Combofix til at æde din WinPcap ved en fejl, så hvis det er noget du bruger, skal du nok geninstallere det.
Avatar billede kurtr Nybegynder
23. oktober 2007 - 16:00 #10
Ejvindh............jeg ved ikke hvad WinPcap  dækker men tilsyneladende virker alt.
Så tak for hjælpen
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 16:53 #11
-->kurtr ... undskyld jeg lige forstyrre din post lidt. ejvindh ER her eksperten ( en af dem)- men er bare nysgerrig ;-)

-->ejvindh. ( er her jo også på E for at lære): i og med den detektere Adware.IWantSearchBar TOOLBAND.DLL - er det så en "falsk positiv" i forbindelse med
hans Acer eDataSecurity Management?
Avatar billede kurtr Nybegynder
23. oktober 2007 - 17:12 #12
pbj_dk.....du skal være så hjertelig velkommen,... jeg er lige så nysgerrig som du er
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 17:18 #13
;-) men husk at ejvindh skal have poient'ene ... jeg lure bare.
Avatar billede kurtr Nybegynder
23. oktober 2007 - 17:36 #14
dem har han fået
Avatar billede pbj_dk Nybegynder
23. oktober 2007 - 18:19 #15
OK - bare for sjov ( skader ikke) og for at vi begge bliver klogere, mens vi venter på ejvindh's svar . Prøv at hent Spybot - Search and destroy. http://www.safer-networking.org/dk/mirrors/index.html - husk at opdatere den i installationen og fravælge " TEA timer" ... den funktion har det ikke godt med div. anti virus programmer. Husk at opdatere den, inden du kører "Scan".
Lidt spændt på, hvad den så finder?
Avatar billede ejvindh Ekspert
23. oktober 2007 - 19:48 #16
Det er faktisk godt set, pbj_dk. Jeg har nu kigget lidt nærmere på det, og vil mene, at det er en falsk positiv. Søger man på CLSID-nummeret støder man ganske vist på 2 forskellige resultater:

http://www.castlecops.com/tk33563-ToolBand_dll.html
http://www.castlecops.com/tk1381-rundlg32_dll.html

Søger man på filnavnet kommer man også til denne:
http://www.castlecops.com/clsid-200.html

Men det er den første der er rigtig i dette tilfælde (kun her er CLSID-nummer og filnavn er rigtige). Men det kan meget vel være, at SuperAntispyware reagerer på CLSID-nummeret, og derfor nakker den.

Hvis kurtr vil have den tilbage igen, så kan du inde i SuperAntispyware gå ind i Manage Quarantine, og tilbageføre ændringen :-)
Avatar billede ejvindh Ekspert
23. oktober 2007 - 19:49 #17
Det er disse der i givet fald skal tilbageføres:

    C:\WINDOWS\SYSTEM32\TOOLBAND.DLL
    C:\WINDOWS\SYSTEM32\TOOLBAND.DLL
    HKLM\Software\Microsoft\Internet Explorer\Toolbar#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32#ThreadingModel
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\Programmable
    HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\TypeLib
    HKU\S-1-5-21-435690987-1855418409-3123157714-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
35 min siden Gmail-ikon på skrivebordet Win 10 Af ErikHg i Fri debat
I dag 09:22 Lopslag Af Luffe i Excel
I går 19:15 Personlige indstillinger på Facebook Af nu_igen i Sociale medier
I går 17:56 Bluetooth Højttalersæt Af valby i Andet hardware
I går 16:52 Flextids registrering Af Kenneth Kirsgart i Excel
White papers
Flere white papers »


Premium
Teaser billede
AI kan gøre danske projektledere arbejdsløse, hvis ikke de passer på: "Både hastigheden og præcisionen i arbejdet vil stige "
Læs mere »
Microsoft og Lenovo har fanget den, Dell er med og SAP sakker bagud i vores Image-undersøgelse: Her er hele listen
Efter forbud fra Datatilsynet: Nu ændres data-håndteringen i din kørekort-app
Halter mange år bagefter: Langsom software-udvikling udfordrer kæmpe digitalt løft af Billund Lufthavn
Se alle »
Computerworld
Teaser billede
Softwarefirmaet Teamviewer med 640.000 kunder globalt ramt af avanceret hackerangreb
Læs mere »
En pladesaks, 1000W og et Nvidia-grafikkort til 14.000 kroner - sådan opgraderede jeg min pc
Dansk-stiftet ingeniørfirma blev franarret 178 millioner kroner i deepfake-svindel
Test: Endelig en skærm der er god til alt - lige fra gaming og underholdning til kontorbrug
Se alle »
CIO
Teaser billede
Efter stort hackerangreb mod Teamviewer: Stop dine opdateringer og tjek opsætningen nu
Læs mere »
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Frygtet melding: Russiske hackere har stjålet Microsoft-kunders e-mails
Russisk hack af Microsoft er meget større end først antaget
Se alle »
Job & Karriere
Teaser billede
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
MDR: Transparent sikkerhed og overvågning i realtid
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »