‹‹ hvad skal renses, help     En log ››
 
 
 
Weird stuff
    [ Ignorer ]   
  kgp43
18.10.2004 19:16:10
Antal indlæg: 10

Hejsa,

Jeg har en masse problemer - bla:

- Man ikke logge på min server, samt andre sider der er hostet hos “mit” datacenter (andre har ingen problemer).
- Der popper reklamer op med jævne mellemrum
- Der ligger sig et underligt “vindue” i bunden af skærmen når jeg surfer, har et underligt navn og kan ikke “åbnes”.


Ad-Aware, SpyBot S&D kørt samt SP2 installeret.

Logfile of HijackThis v1.98.1
Scan saved at 17:14:30, on 18-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/system32/spoolsv.exe
C:/Programmer/Winamp3/winampa.exe
C:/Programmer/D-Tools/daemon.exe
C:/PROGRA~1/Logitech/MOUSEW~1/SYSTEM/EM_EXEC.EXE
C:/Programmer/Logitech/iTouch/iTouch.exe
C:/WINDOWS/SOUNDMAN.EXE
C:/PROGRA~1/NORTON~1/navapw32.exe
C:/WINDOWS/System32/hygxxb.exe
C:/WINDOWS/system32/ctfmon.exe
C:/Programmer/Skype/Phone/Skype.exe
C:/Programmer/Valve/Steam/Steam.exe
C:/Programmer/Messenger/msmsgs.exe
C:/Documents and Settings/Kenneth Poulsen/Application Data/lsoh.exe
C:/Programmer/Hewlett-Packard/AiO/hp officejet d series/Bin/hpoojd07.exe
C:/Programmer/Hewlett-Packard/AiO/hp officejet d series/FRU/Remind32.exe
C:/PROGRA~1/HEWLET~1/AiO/Shared/Bin/hpoevm07.exe
C:/Programmer/Hewlett-Packard/AiO/Shared/bin/hpOSTS07.exe
C:/Programmer/Norton AntiVirus/navapsvc.exe
C:/Programmer/Norton Internet Security Professional/NISUM.EXE
C:/WINDOWS/System32/nvsvc32.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Norton Internet Security Professional/SymPxSvc.exe
C:/Programmer/Norton Internet Security Professional/NISSERV.EXE
C:/Programmer/MSN Messenger/msnmsgr.exe
D:/Spyware Removal Programs/HijackThis.exe
C:/Programmer/Internet Explorer/iexplore.exe
C:/Programmer/Internet Explorer/iexplore.exe

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = about:blank
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.computerworld.dk/
R1 - HKCU/Software/Microsoft/Internet Explorer/Search,SearchAssistant = about:blank
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page_bak = http://www.computerworld.dk/
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:/WINDOWS/multimpp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:/programmer/google/googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:/Programmer/Norton AntiVirus/NavShExt.dll
O3 - Toolbar: &Google; - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:/programmer/google/googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:/Programmer/Norton AntiVirus/NavShExt.dll
O4 - HKLM/../Run: [WinampAgent] “C:/Programmer/Winamp3/winampa.exe”
O4 - HKLM/../Run: [DAEMON Tools-1033] “C:/Programmer/D-Tools/daemon.exe”  -lang 1033
O4 - HKLM/../Run: [EM_EXEC] C:/PROGRA~1/Logitech/MOUSEW~1/SYSTEM/EM_EXEC.EXE
O4 - HKLM/../Run: [zBrowser Launcher] C:/Programmer/Logitech/iTouch/iTouch.exe
O4 - HKLM/../Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - HKLM/../Run: [NAV Agent] C:/PROGRA~1/NORTON~1/navapw32.exe
O4 - HKLM/../Run: [lixakadncjh] C:/WINDOWS/System32/hygxxb.exe
O4 - HKLM/../Run: [conscorr] C:/WINDOWS/conscorr.exe
O4 - HKLM/../Run: [MSCommX] C:/WINDOWS/system32/mscommx.exe
O4 - HKLM/../Run: [KernelFaultCheck] %systemroot%/system32/dumprep 0 -k
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/system32/ctfmon.exe
O4 - HKCU/../Run: [MsnMsgr] “C:/Programmer/MSN Messenger/MsnMsgr.Exe” /background
O4 - HKCU/../Run: [Skype] “C:/Programmer/Skype/Phone/Skype.exe” /nosplash /minimized
O4 - HKCU/../Run: [Steam] C:/Programmer/Valve/Steam/Steam.exe -silent
O4 - HKCU/../Run: [MSMSGS] “C:/Programmer/Messenger/msmsgs.exe” /background
O4 - HKCU/../Run: [Snao] C:/Documents and Settings/Kenneth Poulsen/Application Data/lsoh.exe
O4 - Startup: Hewlett-Packard Recorder.lnk = C:/Programmer/Hewlett-Packard/AiO/hp officejet d series/FRU/Remind32.exe
O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:/Programmer/Hewlett-Packard/AiO/hp officejet d series/Bin/hpoojd07.exe
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office10/OSA.EXE
O8 - Extra context menu item: &Google; Search - res://C:/Programmer/Google/GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:/Programmer/Google/GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:/Programmer/Google/GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000
O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html
O8 - Extra context menu item: Similar Pages - res://C:/Programmer/Google/GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:/Programmer/Google/GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:/Programmer/AIM/aim.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:/Programmer/ICQLite/ICQLite.exe
O9 - Extra ‘Tools’ menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:/Programmer/ICQLite/ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O15 - Trusted Zone: messenger.hotmail.com
O15 - Trusted Zone: messenger.msn.com
O15 - Trusted Zone: loginnet.passport.com
O15 - Trusted Zone: login.passport.net
O15 - Trusted Zone: memberservicenet.passport.net
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=62cf4a35fee790cd1819b863c082989a64d0e1fe97a9e116ac059b1c796aa904ba428c8d49caf978592d8c7aeb5d0918d34d49fa168cd3eb410c909e019dac5f71:479fde0fea45fea71b3a1f6b65101f20
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://ocx1.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:/Programmer/AutoCAD 2002/AcDcToday.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:/Programmer/AutoCAD 2002/InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:/Programmer/AutoCAD 2002/InstFred.ocx
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/mmed.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:/Programmer/AutoCAD 2002/AcPreview.ocx
    [ Ignorer ]   [ # 1 ]   
  kgp43
18.10.2004 19:18:04
Antal indlæg: 10

Går udfra at alle (på nær AutoCAD) O16 skal fjernes.

Fandt desuden en tidligere tråd og installeret en masse programmer:

“Især vil jeg anbefale Spybot/og eller Ad-aware, SpywareBlaster, IE Privacy Keeper/el. EmtyTempFolder, IE-Spyad og SpywareGuard som minimum. De er alle gratis, fylder ikke meget, sløver ikke din pc og konflikter ikke med dine andre programmer”

    [ Ignorer ]   [ # 2 ]   
  A.Behrendt TeamSpywarefri
18.10.2004 20:13:18
Redaktør
Supporter Emeritus
Antal indlæg: 25535

Hej kgp43

Hent og gem denne scanner, du skal bruge den senere.
http://www.spywareinfo.dk/download/mwav.exe  - Kaspersky Virusscanner.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = about:blank
R1 - HKCU/Software/Microsoft/Internet Explorer/Search,SearchAssistant = about:blank

O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:/WINDOWS/multimpp.dll

O4 - HKLM/../Run: [lixakadncjh] C:/WINDOWS/System32/hygxxb.exe
O4 - HKLM/../Run: [conscorr] C:/WINDOWS/conscorr.exe
O4 - HKLM/../Run: [MSCommX] C:/WINDOWS/system32/mscommx.exe
O4 - HKCU/../Run: [Snao] C:/Documents and Settings/Kenneth Poulsen/Application Data/lsoh.exe
O4 - HKLM/../Run: [KernelFaultCheck] %systemroot%/system32/dumprep 0 -k


O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=62cf4a35fee790cd1819b863c082989a64d0e1fe97a9e116ac059b1c796aa904ba428c8d49caf978592d8c7aeb5d0918d34d49fa168cd3eb410c909e019dac5f71:479fde0fea45fea71b3a1f6b65101f20
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/mmed.cab
—————————————————————————————————-
Disse er unødvendige at have liggende i din opstart, da de alle kan nås via startprogrammer. De ligger bare og ”sluger” computerens kræfter.
Du kan Fjerne vingen til venstre for følgende programmer, hvis du ønsker det:
Start
Kør
Skriv: msconfig
Ok
Fanebladet start

O4 - HKLM/../Run: [WinampAgent] “C:/Programmer/Winamp3/winampa.exe”
O4 - HKLM/../Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM/../Run: [NvCplDaemon] RUNDLL32.EXE C:/WINDOWS/System32/NvCpl.dll,NvStartup
O4 - HKLM/../Run: [nwiz] nwiz.exe /install
O4 - Global Startup: Microsoft Office.lnk = C:/Programmer/Microsoft Office/Office10/OSA.EXE

Genstart, du får en advarsel om, at start er lavet om. Sig ok til det, og fjern flueben i vis denne advarsel.
—————————————————————————————————-

For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved “Skjul beskyttede operativsystemfiler”.
Fjern flueben ved “Skjul filtypenavne for kendte filtyper”.
Sæt prik i “Vis skjulte filer og mapper”.

Genstart i fejlsikret tilstand søg og slet det med fed:

C:/WINDOWS/System32/hygxxb.exe
C:/Documents and Settings/Kenneth Poulsen/Application Data/lsoh.exe
C:/WINDOWS/multimpp.dll
C:/WINDOWS/conscorr.exe
C:/WINDOWS/system32/mscommx.exe

Så kører du engangsskanneren fra Kaspersky – Stadig fra fejlsikret tilstand. Klik på den fil du har hentet: mwav.exe og programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Starup folders, drive, Registry, System folders  og Services.
Sæt prik i følgende:
All local drives  og Scan all files

Klik på scan.

Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.

Når scanningen er færdig, og har slettet dine evt. virus.  Klik på Ok. Klik på exit, klik på exit igen, hvis du ikke ønsker at købe programmet.

Tip: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.

Genstart din computer, kør en ny scanning med HijackThis, kopier en ny log herind til tjek.
 
‹‹ hvad skal renses, help     En log ››
 
Om os | Kontakt os
Copyright © 2003-2010 Spywarefri - Alle rettigheder haves