/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
hijackthis log
Fra : o.v.n.
Vist : 707 gange
500 point
Dato : 13-02-06 15:18

Hej. I lørdags poppede min antivirus op med en meddelse om at den havde forhindert en virus i at starte, en efterfølgende virus scanning fjernede virussen (mscornet.exe i system32 mappen) min selvtillid har lidt et knæk, jeg troede at jeg var rimelig godt bekyttet og nu er jeg nervøs for om der er mere skidt på maskinen, derfor en hijackthis log, håber der er en der vil se efter
Citat
Logfile of HijackThis v1.99.1
Scan saved at 15:04:51, on 13-02-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programmer\ClocX\ClocX.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\HDD Thermometer\HDD Thermometer.exe
C:\Programmer\BullGuard Software\BullGuard\bullguard.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\ccwin9.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programmer\OpenOffice.org 1.9.105\program\soffice.exe
C:\Programmer\OpenOffice.org 1.9.105\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\PROGRA~1\Corel\WORDPE~1\programs\alarm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmer\Deepnet Explorer\Deepnet.exe
C:\Documents and Settings\Ove Nørgaard\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kandu.dk/LastX.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\Programmer\iFinger\plugins\IE.ifp
O4 - HKLM\..\Run: [ClocX] C:\Programmer\ClocX\ClocX.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programmer\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Programmer\BullGuard Software\BullGuard\bullguard.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programmer\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7
O4 - Startup: OpenOffice.org 1.9.105.lnk = C:\Programmer\OpenOffice.org 1.9.105\program\quickstart.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CorelCENTRAL 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\ccwin9.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O15 - Trusted Zone: http://www.danskebank.dk
O15 - Trusted Zone: http://www.kandu.dk
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132576215778
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134994607736
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37540.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard, Ltd. - C:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


 
 
Kommentar
Fra : stl_s


Dato : 13-02-06 17:20

Jeg kigger på din log.

Kommentar
Fra : CLAN


Dato : 13-02-06 17:42

o.v.n.... Kandu er ikke et Spyware forum Ikke dermed sagt, at der ikke findes nogen herinde, som kan læse en HJT-log, nogle bedre end andre, og tro mig du kan forudrette større skade end gavn, hvis "det forkerte" slettes. Jeg vil henvende til specialisterne www.spywarefri.dk og www.arlet.dk så er du i "sikre" hænder.

Accepteret svar
Fra : stl_s

Modtaget 500 point
Dato : 13-02-06 17:45

Det ser ud til at dine, iøvrigt udmærkede, sikkerhedsprogrammer klarede det meste.

Du skal lige gå i Start/Kør, skriv cmd

I DOS vinduet skriver du sc delete Automatic Update og tast <enter>

Tjek også at denne fil er væk wuapi.exe

Hvis denne linie er væk i loggen efter en genstart, så er loggen ren:

O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)


Så skal du lige slette dine gendannelsespunkter, så du ikke kommer til at gendanne skidtet. Se her hvordan, hvis du ikke ved det http://www.spywarefri.dk/virusscannere.htm#alle

Hvis du så lige tømmer dine tempfiler, evt med denne lille batfil (skal bare dobbeltklikkes), så skulle det være ok http://www.spywareinfo.dk/download/cleantempxp2k.bat


Kommentar
Fra : stl_s


Dato : 13-02-06 18:04

CLAN -> Hvis Kandu brugere ikke kommer til os, så kommer vi til dem
http://www.spywarefri.dk/forum/pop_profile.asp?mode=display&id=4226

Kommentar
Fra : CLAN


Dato : 13-02-06 18:07

OK! Måtte liiige logge mig ind for at se 'den... du er altså min navnebror
Mvh
Søren / CLAN

Kommentar
Fra : CLAN


Dato : 13-02-06 18:08

du kunne jo evt. fortælle lidt om jeres julefrokost
Ikke sikkert at o.v.n. ved I var "optaget" i denne weekend


Kommentar
Fra : stl_s


Dato : 13-02-06 18:11

Et godt gammelt navn

Kommentar
Fra : stl_s


Dato : 13-02-06 18:13

Jeg var desværre ikke med til julefrokosten men jeg ved de hyggede sig gevaldigt

Kommentar
Fra : CLAN


Dato : 13-02-06 18:17

'Det ku' jeg forestille mig... og Per havde sikkert "German Import" med


Kommentar
Fra : stl_s


Dato : 13-02-06 18:23

Næh, det havde Anette været nede og hente

Kommentar
Fra : CLAN


Dato : 13-02-06 18:26

Hils Per fra Søren i Grenaa (CLAN), når du engang støder på ham.
Jeg må hellere overlade o.v.n. i dine kyndige hænder


Kommentar
Fra : stl_s


Dato : 13-02-06 18:29

Det skal jeg nok gøre Søren

Kommentar
Fra : o.v.n.


Dato : 13-02-06 19:01

CLAN jeg ved godt at kandu ikke er et decideret spywareforum, men det er det eneste forum jeg er medlem i, der har også været eksempler på at hijackthis log der er fikset her, vi har da kategorien sikkerhed, jeg har valgt at lægge den herind, kandu kan blive et spywareforum, der er nogle der kan tyde en sådan log og andre som måske gerne vil lære det, arlet er inviteret pr. mail.
stl_s det ser ud til du har fundet nogle problemer, jeg tager fat på sagen senere i aften (meget senere) nu er det spisetid med mere, i mellemtiden kan i jo fortælle om den sikkert udmærkede julefrokost

Kommentar
Fra : stl_s


Dato : 13-02-06 20:21

Hvis du hellere vil have arlet til at se på loggen, så ok med mig. Tvivler dog på at det det ændrer på "tydningen".

Kommentar
Fra : arlet


Dato : 13-02-06 22:57

o.v.n -> stl_s er ikke alene en suveræn hijackthis log tyder, og det gode ved ham og andre fra spywarefri, er at de aldrig giver op, lige gyldigt hvor meget infektionen driller. Det er desværre en del der går..

og som stl_s skriver, så vil det ikke ændre noget som helst*S*

Kommentar
Fra : o.v.n.


Dato : 13-02-06 23:33

stl_s
Citat
Hvis du hellere vil have arlet til at se på loggen, så ok med mig.
der lyder du fornærmet, undskyld! jeg anede ikke at du var suveræn på feltet, arlet viste jeg kunne, jeg besøger tit hans hjemmeside og inviterede ham samtidig med at jeg oprettede spørgsmålet, jeg lagde spørgsmålet her fordi andre også skulle have muligheden og atter andre for at have en log at øve sig på, kandu er faktist et udmærket forum, hvor jeg kan lide at komme, ville jeg kun have arlet til at tyde loggen, havde jeg sendt den til ham, i stedet for at linke til spørgsmålet, måske lidt kludret forklaret men jeg håber du forstår meningen.
Arlet tak fordi du kiggede forbi, jeg forstår at jeg er i gode hænder hos stl_s.
Jeg begynder nu at repare og sender en ny log før jeg går i seng, men lover ikke at blive oppe til der bliver svaret, vi mødes her i morgen sov godt!

Kommentar
Fra : o.v.n.


Dato : 14-02-06 00:51

Hej igen, jeg kan ikke få linen: O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing) væk, når jeg har skrevet som du skriver og trykker enter, står der: [SC] OpenService FAILED
Den angivne tjeneste findes ikke som en instaleret tjeneste, hvad gør jeg nu?
Jeg har kørt en søgning på wuapi.exe, uden resultater så den formodes at være væk.
Et tilægs spørgsmål: jeg kan se i loggen at der er 2 steder Symatec er nævnt, det må være rester fra min tidtigere antivirus Norton og kan sikkert godt slettes, men hvordan?
Jeg har slået systemgendannelse fra og der bliver den til problemet er klaret


Kommentar
Fra : o.v.n.


Dato : 14-02-06 00:56

Det er I.E. Cleaner jeg bruger til at tømme temp mapper, er det godt nok? eller bør jeg bruge det program der er linket til?

Kommentar
Fra : stl_s


Dato : 14-02-06 04:32

Jeg er faktisk ikke fornærmet

Du skal en tur i registreringsdatabasen for at slette den service. Det vil være en god ide at tage backup først. Se her hvordan du gør http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=3441


Klik dig så frem til:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Automatic Update Service (Automatic Update)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Automatic Update Service (Automatic Update)
Højreklik på dem, og slet dem, hvis de findes.
Får du ikke lov til at slette dem, klik en gang på den, så den er markeret, vælg rediger, vælg tilladelser og tag fuld kontrol over nøglen, så kan du slette den.

Læg mærke til at nøglerne nok kun hedder Automatic Update Service eller Automatic Update.

Der er faktisk ikke noget Norton tilbage. Kun nogle ActiveX fra deres onlinescanner. Du kan godt fixe dem med hijackthis, men så tager scanneren længere tid at loade, næste gang du bruger den.

Genstart og kør hijackthis igen, er servicen væk er din log helt ren.

Du kan sagtens bruge din egen cleaner. Bare der lige bliver renset ud i tempfilerne.

Arlet, tak for de pæne ord

Kommentar
Fra : arlet


Dato : 14-02-06 08:55

stl_s -> Det manglede bare*S*

o.v.n -> Et eller andet sted forstår jeg dig godt. Dette er et forum, hvor alle kan lægge et svar til hvad du skal slette og du har ikke en kinamand chance for at vide om hjælperen rent faktisk har forstand på det som han siger. Jeg ville heller ikke bare tage råd fra en jeg ikke kendte, så forstår godt din skepstisk. Det har f.eks spywarefri rådet bod på ved at det kun er spywarefris egne folk der lægger vejledninger i deres forum, det syntes jeg er en god ide for spørgerne. Her på kandu og på eksperten skal man være lidt varsom, da der er mange der lægger svar og det ikke er alle sammen der har styr på det, desværre..

Kommentar
Fra : o.v.n.


Dato : 14-02-06 10:41

Foreløbig tak for hjælpen, jeg skal til syn med bilen og vender tilbage efter at slettet som beskrevet, over middag

Godkendelse af svar
Fra : o.v.n.


Dato : 14-02-06 14:10

Tak for svaret stl_s. Nu er jeg kørende igen, både med computer og bil , det lykkedes at få linien væk efter dine sidste anvisninger, det var med et øje på din anvisning hele tiden i reg basen er jeg meget forsigtig, jeg opretter mig måske som bruger på spywarefri, har lige været inde og se mig lidt omkring i forummet, hidtil har brugt siden når jeg ville se om der var nye værktøjer og har købt Bullguard der, og så fik jeg personlig support af Anette da der var nogle ting jeg var usikker på endnu en gang tak for hjælpen

Kommentar
Fra : stl_s


Dato : 14-02-06 14:28

Velbekomme, og tak for point. Godt det hele kører igen. Også godt at Bullguard viste sig at være pengene værd for dig, da den her forhindrede en større spywareinfektion. Et fremragende program, efter min mening.

Du er velkommen på Spywarefri

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste