• Forum
      /  
    Software
      /  
    Sikkerhed
  • 20-03-2005 · 09:38 1190 visninger 7 svar
  • Denne tråd er over 6 måneder gammel

    Er du sikker på, at du har noget relevant at tilføje?

  • Hijackthis log

    Af exE- Juniorbruger
Hej jeg er ny til Hijackthis og vil gerne have hjælp til en log. Når i siger hvad jeg skal slette vil jeg samtidig gerne have at vide hvorfor jeg skal slette det om evt hvor man kan finde vejledning til hvad der ikke er godt.

Her er loggen:

Logfile of HijackThis v1.99.0
Scan saved at 13:21:23, on 02-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32
vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammerStardockObject DesktopWindowBlindswbload.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32wscntfy.exe
C:ProgrammerJavaj2re1.4.2_03injusched.exe
C:WINDOWSsystem32LVCOMSX.EXE
C:ProgrammerLogitechVideoLogiTray.exe
C:ProgrammerMSN Messengermsnmsgr.exe
C:WINDOWSsystem32ctfmon.exe
C:ProgrammerLogitechVideoFxSvr2.exe
C:Documents and SettingsexeSkrivebordHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://familylogon.stofanet.dk/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammerAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:ProgrammerSpybot - Search & DestroySDHelper.dll
O4 - HKLM..Run: [10Base-T] explore.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [SunJavaUpdateSched] C:ProgrammerJavaj2re1.4.2_03injusched.exe
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammerQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [DAEMON Tools-1033] "C:ProgrammerD-Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [LVCOMSX] C:WINDOWSsystem32LVCOMSX.EXE
O4 - HKLM..Run: [LogitechVideoRepair] C:ProgrammerLogitechVideoISStart.exe
O4 - HKLM..Run: [LogitechVideoTray] C:ProgrammerLogitechVideoLogiTray.exe
O4 - HKLM..RunServices: [10Base-T] explore.exe
O4 - HKCU..Run: [msnmsgr] "C:ProgrammerMSN Messengermsnmsgr.exe" /background
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Skype] "C:ProgrammerSkypePhoneSkype.exe" /nosplash /minimized
O4 - HKCU..Run: [LogitechSoftwareUpdate] C:ProgrammerLogitechVideoManifestEngine.exe boot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:Program FilesLogitechDesktop Messenger8876480ProgramLDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammerMicrosoft OfficeOfficeOSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammerJavaj2re1.4.2_03in
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:ProgrammerJavaj2re1.4.2_03in
pjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe
O12 - Plugin for .pdf: C:ProgrammerInternet ExplorerPLUGINS
ppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binar......
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interact......
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar......
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c......
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar......
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:WINDOWSSystem32
vsvc32.exe


PÅ FORHÅND TAK!!

exE-

#1

Juniorbruger
20-03-2005 09:40
Jeg kan næsten selv regne ud at den her skal væk

"O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe
O12 - Plugin for .pdf: C:ProgrammerInternet ExplorerPLUGINS ppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - "

hvad er de der extra buttons for noget ? .....noget man bruger ?

jeg kan nok også lukke de her:

O4 - HKLM..Run: [QuickTime Task] "C:ProgrammerQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [DAEMON Tools-1033] "C:ProgrammerD-Toolsdaemon.exe" -lang 1033

ander aner jeg ikke - da jeg aldrig har brugt det

PLEASE NOGLE SE PÅ DET!
exE-

#2

Juniorbruger
20-03-2005 09:41
Hej igen - Når den siger "fix selected" hvad vil de så sige at den fixer det ? :D kan være et vidt begreb ...
Juniorbruger
21-03-2005 10:58
Du KAN godt vælge at fixe de entries som du nævner, men der er ikke nogen af dem, der er decideret snavs.

Hvis du vil fjerne snavs på din computer så gør sådan her:

Hent CWShredder her: http://cwshredder.net/bin/CWShredde...
Placer den i sin egen mappe. Du skal bruge det senere

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere det endnu.
http://www.spywareinfo.dk/download/...

Herefter køres CWShredder. Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Genstart fejlsikret tilstand (tast f8 under genstart og vælg fejlsikret) og uden forbindelse til Nettet.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks
O4 - HKLM..Run: [10Base-T] explore.exe
O4 - HKLM..RunServices: [10Base-T] explore.exe
-------------------------------------------------------------------

For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i fejlsikret tilstand søg efter følgende fil. Det er vigtigt at den er stavet præcis som angivet hernedenfor (da du ellers kan komme til at slette stifinderen -- explorer.exe eller IE-browseren iexplore.exe):
explore.exe

Kør nu programmet mwav
Klik på den fil du har hentet: mwav.exe Klik på unzip og det pakker sig ud i en mappe som det selv opretter på C:Kasperskky – klik på OK.

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Klik på scan.
Lad scanneren fjerne alt hvad den selv foreslår. Det kan godt tage et par timer, men den er også meget grundig. :-)

Genstart, kør en scanning med hijackthis og kopier en ny log herind til test. Brug denne gang en nyere version af HJT, som du kan downloade herfra:
http://danborg.org/spy/HJT/hijackth...
----------------------------------------

R1 og R0-entryerne tyder på en (mild) CWS-infektion
O4-entryerne kan du finde noget på her:
http://startup.iamnotageek.com/srch......

Generelt kan du finde god info om entries i HJT her:
http://www.answersthatwork.com/Task......
http://computercops.biz/StartupList...

Indenfor kort tid vil du kunne finde en generel introduktion til HJT her:
http://www.eksperten.dk/artikler/64...
Juniorbruger
21-03-2005 11:01
#2
Typisk vil et fix indebære at HJT stopper en proces, ændrer på registreringsdatabasen, og forsøger at slette de nævnte filer.
Semibruger
24-03-2005 17:51
Det var så lidt...
exE-

#6

Juniorbruger
25-03-2005 10:21
Tak for det - puha det var sq meget :) hehe

Semibruger
25-03-2005 11:17
Ork, hvis du synes det der er meget, så skulle du bare se, når det er rigtig slemt :-)

Det ser værre ud end det er. Nogle af trinene er bare for at sikre at vi får det med, som man ikke umiddelbart kan se i en log.
Bruger påkrævet
En bruger er påkrævet for at oprette svar på Hardwareonline.dk
Du kan oprette en bruger her eller logge ind her

Log ind for at få flere funktioner