Oprettet tor. d. 09. september 2004 kl. 10:28:12

15 point uddelt | 13 kommentarer

heyckendorff (12.725 point. Point ude: 0)

Suspekt HiJack Log?

Pludselig virker min AdAware og min SpyBot ikke? Når jeg prøver at starte dem kommer der en meddelelse om en "fatal error" efterfulgt af et laaangt tal.
Destuden figurer der følgende i Startmenuen når jeg kører Msconfig:
Winad Client C\program files\Winad Client\Winad.exe
WebRebates0 C\program files\Web_Rebates\WebRebates0.exe
BullsEye Network C\program files\BullsEye Network\bin\bargins.exe

Det ser jo lidt suspekt ud

Jeg har kørt en AVG antivirus og den finder intet.

Min HiJack Log ser således ud:

Logfile of HijackThis v1.98.2
Scan saved at 10:20:14, on 09-09-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\System\svchost.exe
C:\PROGRAMMER\Webroot\Washer\wwDisp.exe
C:\Program Files\BullsEye Network\bin\bargains.exe
C:\Documents and Settings\Helvedes Hunden\Desktop\Programmappe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\system32\nvms.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\system32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINNT\system32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Svchost] C:\Program Files\System\svchost.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/ (...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/ (...)
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ (...)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/ (...)

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet tor. d. 09. september 2004 kl. 10:36:46| #1

majsmarken (38.809 point)

Hvis du smider dem af som du beskriver i Msconfig og genstarter ?

Generelt:
Hent denne scanner:
http://www.mwti.net/ (...)
Det er ligegyldigt hvilken af de 7 mirrors du bruger. Programmet er det samme.
Inde i opsætningen sætter du den til at scanne alt
Kør scanneren.

Kom med en ny log, når du har gjort ovenstående.

Jo der er 'suspekte' elementer...

Så må evt. andre 'HiJackThis freaks' ta' over..

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet tor. d. 09. september 2004 kl. 11:06:01| #2

tonnybrandt (213.134 point)

Majsmarken har helt ret. Jeg kigger lige på den ..

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet tor. d. 09. september 2004 kl. 11:13:36| #3

tonnybrandt (213.134 point)

Genstart pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\system32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\system32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINNT\system32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll
O4 - HKLM\..\Run: [Svchost] C:\Program Files\System\svchost.exe
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ (...)

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
C:\PROGRAMMER\Webroot\Washer
C:\Program Files\Web_Rebates

Filer:
C:\WINNT\system32\nvms.dll
C:\WINNT\system32\mscb.dll
C:\WINNT\system32\apuc.dll
C:\WINNT\system32\msbe.dll
C:\Program Files\System\svchost.exe

Genstart normalt og kom med en ny log til kontrol

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet tor. d. 09. september 2004 kl. 11:20:49| #4

heyckendorff (12.725 point)

Har manuelt fjernet WebRebates, og den engangsscanner som majsmarken foreslog fandt en masse og fjernede det...bl.a. de fleste af de ting du siger jeg skal fjerne med HiJackThis. Dog fatter jeg ikke hvorfor du vil have mig til at fixe R0 min startside fra min internet udbyder. 04 Webroot Washer bruger jeg dagligt så den er der vel heller ingen grund til at fjerne?

Min nye log ser således ud:

Logfile of HijackThis v1.98.2
Scan saved at 11:15:11, on 09-09-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRAMMER\Webroot\Washer\wwDisp.exe
C:\Program Files\System\svchost.exe
C:\Documents and Settings\Helvedes Hunden\Desktop\Programmappe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Svchost] C:\Program Files\System\svchost.exe
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/ (...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/ (...)
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ (...)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/ (...)

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet tor. d. 09. september 2004 kl. 11:31:43| #5

heyckendorff (12.725 point)

oops....så lige den der 08 WebRebates og fjernede den.
svchost.exe er vist i øvrigt noget der hører til et keylog program jeg bruger der hedder SpyAnyTime...kan det ikke passe.
Ny log:

Logfile of HijackThis v1.98.2
Scan saved at 11:29:20, on 09-09-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\System\svchost.exe
C:\Documents and Settings\Helvedes Hunden\Desktop\Programmappe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Svchost] C:\Program Files\System\svchost.exe
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/ (...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/ (...)
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ (...)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/ (...)

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet tor. d. 09. september 2004 kl. 11:36:57| #6

tonnybrandt (213.134 point)

Grunden til R0 var fordi jeg ikke kunne få siden vist og derfor ikke kunne vide om det var en ok side eller snavs.
Men du har ret i at washer ikke er adware behæftet. Jeg misforstod siden, hvor jeg læste om den. Sorry :(

Genstart pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Svchost] C:\Program Files\System\svchost.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ (...)

Sletning af filer og mapper:

Mapper:
C:\Program Files\Web_Rebates

Filer:
C:\Program Files\System\svchost.exe

Genstart normalt og kom med en ny log til kontrol

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet tor. d. 09. september 2004 kl. 11:42:21| #7

tonnybrandt (213.134 point)

Ligegyldigt hvilket program svchost.exe filen hører til, skal den væk.

Hvis man navngiver en fil med præcis samme navn som en af de vigtigste programmer i windows 2000 og xp, og endda ikke sætter sit eget navn i "overskriften" har man ikke rent mel i posen.

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet tor. d. 09. september 2004 kl. 20:56:30| #8

heyckendorff (12.725 point)

Her slettet svchost.exe og nu virker min SpyAnytime PC spy ganske rigtigt ikke mere. Jeg forstår bare ikke hvordan jeg kan slette den hvis det er et af de vigtigste Win 2000 programmer??????? Nogen der kan forklare mig det?

Ny log:
Logfile of HijackThis v1.98.2
Scan saved at 20:49:51, on 09-09-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRAMMER\Webroot\Washer\wwDisp.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\Documents and Settings\Helvedes Hunden\Desktop\Programmappe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/ (...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/ (...)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/ (...)

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet tor. d. 09. september 2004 kl. 22:13:05| #9

Accepteret svar!15 point tildelt

tonnybrandt (213.134 point)

>>>Her slettet svchost.exe og nu virker min SpyAnytime PC spy ganske rigtigt ikke mere. Jeg forstår bare ikke hvordan jeg kan slette den hvis det er et af de vigtigste Win 2000 programmer??????? Nogen der kan forklare mig det?

Ja, nemt. Når spyware fabrikanter laver deres programmer er de begyndt at give dem navne, der ligner de navne man normalt støder på i en windows maskine. Det gør de for at få folk som jeg selv til at overse at de er der i f.eks en HiJackThis log. Den eneste måde man kan se at det er snavs, er fordi de ligger et forkert sted på computeren. Den svchost.exe som ligger i c:\winnt\system32 er den ægte Windows system proces, men den der ligger i C:\Program Files\System er snavs, fordi den forsøger at skjule sig.

Din log er nu helt ren.

Har du ellers problemer med den ?

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet fre. d. 10. september 2004 kl. 10:14:36| #10

heyckendorff (12.725 point)

tak for en let forståelig forklaring.
Hvad mener du med om jeg ellers har problemer med den?...med hvilken?

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet fre. d. 10. september 2004 kl. 10:36:28| #11

tonnybrandt (213.134 point)

Jeg mener om computeren nu opfører sig ordentligt eller om der stadig er problemer med den *s*

Takker for point :)

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet lør. d. 11. september 2004 kl. 11:52:47| #12

heyckendorff (12.725 point)

der er altid problemer med den......se følgende http://www.eksperten.dk/ (...)
men folk siger det blot er fordi jeg har for lidt RAM.
Takker for hjælpen

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet lør. d. 11. september 2004 kl. 12:55:02| #13

tonnybrandt (213.134 point)

Velbekomme og takker for point:)

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Log ind

Opret bruger | Glemt adgangskode

Seneste spørgsmål

"security shield" har fucket min puter

Oprettet den 31. januar 2012 kl. 18.30

garfieldzx giver 30 point for svar | Giv et svar »

Windows Teck Support svindelnummer

Oprettet den 30. januar 2012 kl. 11.27

Niro2 giver 30 point for svar | Giv et svar »

Jeg har fået en virus

Oprettet den 29. januar 2012 kl. 16.38

tand giver 30 point for svar | Giv et svar »

Seneste guides

Den gode bruger

30. januar 2012 kl. 04.45 | Læs »

Adgang til NAS-server via WAN

23. januar 2012 kl. 11.55 | Læs »

Photoshop CS5 tutorial: Glossy knap til dit website

22. januar 2012 kl. 18.23 | Læs »

Kollektion af Batch tutorials (FJERNET)

22. januar 2012 kl. 15.09 | Læs »

Tilpas din YouTube afspiller

15. januar 2012 kl. 11.54 | Læs »

Se alle guides »

Seneste nyheder

Apple retter hele 51 sikkerhedshuller i Mac OS X

3. februar 2012 kl. 13.45 | Læs »

Så mange millioner tjener TDC om dagen

3. februar 2012 kl. 09.31 | Læs »

Samsung Galaxy S III på vej

3. februar 2012 kl. 09.02 | Læs »

Universitet: Derfor kan WiFi ikke erstatte vores kabler

3. februar 2012 kl. 09.00 | Læs »

Ubuntu-firma advarer: Her skal du passe på i cloud'en

3. februar 2012 kl. 08.32 | Læs »

Se alle nyheder »

Tips & Tricks fra PC World

Sådan fjerner du pladskrævende metadata fra dine fotos

Det er langt fra altid, at dine billeders metadata såsom kameramodel og geografisk placering er vigtige at bevare. JPG & PNG Stripper kan luge ud i billedfilerne, så de fylder meget mindre....

Læs mere »

Anmeldelser fra PC World

Test: Superlet bærbar med mange muligheder

Toshiba har med Satellite Z830 skabt en af verdens letteste ultrabooks. Den vejer 1,1 kilo, og computeren på 13 tommer ser på papiret ud til at være en oplagt rejsekammerat. Men den lave vægt har...

Læs mere »

Seneste blogindlæg

Tvangslukke spørgsmål: Hvad er den bedste løsning?

Hej Vi har mange åbne spørgsmål på Eksperten. Vi ville gerne tvangslukke dem - så et spørgsmål efter f.eks. 6 måneder lukkes. Men der er et par uklarheder som ville være gode at få lidt input til:...

Læs mere »