vad kan jag ta bort??

[mariepettersson]

 

HejUndrar om ngn. kan hjälpa mig.Vad kan jag ta bort?? har en seg dator! Marie

Logfile of HijackThis v1.97.7

Scan saved at 17:12:29, on 2004-02-16

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\CTSvcCDA.EXE

C:\Program\Norman\NVC\BIN\Zanda.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\PROGRAM\NORMAN\Nvc\BIN\nipsvc.exe

C:\PROGRAM\NORMAN\nvc\BIN\nvcoas.exe

C:\PROGRAM\NORMAN\nvc\BIN\NVCSCHED.EXE

C:\PROGRAM\NORMAN\nvc\BIN\NJEEVES.EXE

C:\WINDOWS\Explorer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\CTHELPER.EXE

C:\PROGRAM\NORMAN\Nvc\BIN\ZLH.EXE

C:\Program\Lexmark X5100 Series\lxbabmgr.exe

C:\Program\QuickTime\qttask.exe

C:\Program\Lexmark X5100 Series\lxbabmon.exe

C:\Program\Winamp\winampa.exe

C:\WINDOWS\wt\updater\wcmdmgr.exe

C:\Program\MICROS~4\GAMECO~1\common\swtrayv4.exe

C:\Program\Support.com\bin\tgcmd.exe

C:\WINDOWS\System32\msupdate16.exe

C:\PROGRAM\NORMAN\Nvc\BIN\NYMSE.EXE

C:\WINDOWS\System32\lexpps.exe

C:\PROGRAM\NORMAN\Nvc\BIN\cclaw.exe

C:\PROGRAM\NORMAN\Nvc\BIN\NIP.EXE

C:\Program\Creative\MediaSource\RemoteControl\RcMan.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Fujitsu\Skrivbord\Portfölj\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html'>http://www.windowenhancer.com/searchbar/iev1.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.telia.com/'>http://login1.telia.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw='>http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw='>http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw='>http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://login1.telia.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE_Window_Title

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.telia.com:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\Program\winex\v2\winex.DLL (file missing)

F0 - system.ini: Shell=Explorer.exe dust.exe

F2 - REG:system.ini: Shell=Explorer.exe dust.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\Program\COMMON~1\Toolbar\cnbabe.dll

O2 - BHO: (no name) - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\ipinsigt.dll

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll

O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - C:\Program\Kontiki\bin\bh309190.dll

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program\NewDotNet\newdotnet5_48.dll (file missing)

O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\System\BHO001.DLL

O2 - BHO: (no name) - {F104576A-91BA-40AD-91DE-2C20801339AB} - C:\Program\KazaaMate\Keywords001.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [sBDrvDet] "C:\Program\Creative\SB Drive Det\SBDrvDet.exe" /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [CTStartup] "C:\Program\Creative\Splash Screen\CTEaxSpl.EXE" /run

O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAM\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program\Lexmark X5100 Series\lxbabmgr.exe"

O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch

O4 - HKLM\..\Run: [WinStart001.EXE] C:\WINDOWS\System\WinStart001.EXE -b

O4 - HKLM\..\Run: [WindowEnhancer] "C:\Program\winex\v2\winex.EXE" /U

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [sideWinderTrayV4] C:\Program\MICROS~4\GAMECO~1\common\swtrayv4.exe

O4 - HKLM\..\Run: [sAOYFQ] C:\WINDOWS\SAOYFQ.exe

O4 - HKLM\..\Run: [TeliaTGCMD] "C:\Program\Support.com\bin\tgcmd.exe" /server /startmonitor /deaf

O4 - HKLM\..\Run: [Windows Update] msupdate16.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Program\Creative\MediaSource\RemoteControl\RcMan.exe

O4 - HKCU\..\RunOnce: [Windows Update] msupdate16.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ebates - file://C:\Program\EbatesMoeMoneyMaker\System\Temp\ebates_script0.htm

O8 - Extra context menu item: Get It With Kontiki - res://C:\Program\Kontiki\bin\bh309190.dll/201

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O9 - Extra button: Ebates (HKCU)

O11 - Options group: [CommonName] CommonName

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://login1.telia.com

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab

O16 - DPF: {0DCABC94-5086-4E08-A4C9-BF284A614E81} (WwwPlugin Class) - http://espana.netvenda.com/perf/WwwPlugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.5.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab

O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab

O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d2c89f68a1bb5a/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {88D8E8B7-A33B-4417-A385-8373484D43ED} (InstallHelper Class) - file://C:\DOCUME~1\Fujitsu\LOKALA~1\Temp\ThereInstallHelper.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37864.2802546296

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://dload.ipbill.com/del/loader.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

 

 

 

[Mij]

Ok...

 

Windowenhancer, är det något du medvetet laddat ner och installerat?

 

Programmet laddar ner och visar reklam.

Om det skickar info vet jag inte.

 

Om du inte laddat ner det själv, eller inte vill ha det kvar, så börja med att se om det finns i Lägg till/ta bort program.

 

Om du inte vill ha det, och det inte finns i Lägg till/ta bort program så bocka i:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html'>http://www.windowenhancer.com/searchbar/iev1.html

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearc'>http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearc'>http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearc'>http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearc

h&kw=

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearc

h&kw=

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearc

h&kw=

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearc

h&kw=

 

Vidare, bocka i:

 

R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\Program\winex\v2\winex.DLL (file missing)

 

[FET]

F0 - system.ini: Shell=Explorer.exe dust.exe

 

F2 - REG:system.ini: Shell=Explorer.exe dust.exe

[/FET]

 

O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\Program\COMMON~1\Toolbar\cnbabe.dll

 

O2 - BHO: (no name) - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\ipinsigt.dll

 

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll

 

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program\MyWay\myBar\1.bin\MYBAR.DLL

 

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program\NewDotNet\newdotnet5_48.dll (file missing)

 

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program\MyWay\myBar\1.bin\MYBAR.DLL

 

O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch

 

O4 - HKLM\..\Run: [WinStart001.EXE] C:\WINDOWS\System\WinStart001.EXE -b

 

O4 - HKLM\..\Run: [WindowEnhancer] "C:\Program\winex\v2\winex.EXE" /U

 

O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab

 

O16 - DPF: {0DCABC94-5086-4E08-A4C9-BF284A614E81} (WwwPlugin Class) - http://espana.netvenda.com/perf/WwwPlugin.cab

 

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralIni

tialSetup1.0.0.5.cab

 

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab

 

Efter det föreslår jag en online virusscanning.

De objekt med fet text är enligt info virus..

 

Vidare föreslår jag att du laddar ner Ad-Aware och Spybot.

Installera programmen, uppdatera och kör dom.

Börja med Ad-Aware, och ta bort allt som hittas.

Kör sedan Spybot också.

 

[mariepettersson]

 

Hej

Hur gör jag när jag tar bort detta bockar i och sedan??

Marie

 

[Mij]

Hej.

 

När du har bockat i allt klickar du på "Fix".

 

 

[mariepettersson]

 

Hej har nu tagit bort det du sa och datorn är som ny igen!! har kört panda online,ad-aware och spybot.

Men hur gör man med spybot ngn.som kan förklara på ett enkelt sätt har aldrig haft detta program förr.179 grejer hittades.

Filerna som jag tog bort igår med hijackthis har nog lagt sig som backup filer i min portfölj. Kan jag ta bort dessa.

Tusen tack för hjälpen och ett stort fång röda rosor.

Kram Marie

 

[Mij]

Vad har du för antivirusprogram?

Vet du om det använder backweb för att uppdatera?

 

Om du är säker på att det inte använder backweb kan du ta bort allt.

Skulle något "balla ur" pga det går det att återställa.

 

Om du inte är säker på om ditt antivirus använder backweb låter du alla sådana vara.

 

Det går att "spåra" vad dom tillhör genom att gå in i registret och titta, men det är ganska riskabelt.

 

Men allt som inte är backweb kan du ta bort.

 

PS.

Vissa andra program, som fotoprogram och Logitech-program använder också backweb.

Tar man bort den funktionen kan inte programmen uppdatera automatiskt.

Dock skall det fortfarande fungera att göra det manuellt.

DS.

 

 

[mariepettersson]

 

Hej Jag har Norman. Och hur vet jag vad som är backweb??

 

[inlägget ändrat 2004-02-17 23:46:43 av mariepettersson]

[Mij]

1: Jag hittar ingen information om att Norman använder någon backweb-funktion.

 

Det troligaste är att det inte gör det, men jag kan inte garantera att det är så.

 

Ett alternativ är att man tar bort alla backweb, och helst enkelt ser vilka program som inte fungerar korrekt.

 

När man hittar ett sådant program har man 2 alternativ..

Antingen så återställer man det man tog bort(kan kräva en hel del jobb), eller så ominstallerar man just det programmet.

 

Sedan lägger man till de/t programmet i "ignorelist" så att man slipper tänka på det fler gånger.

 

2: När du har scannat med Spybot får du upp en lista med alla objekt som har hittats.

Där finns typ av objekt i lite tjockare färgad text, sedan en kortbeskrivning, och sist sökvägen i registret.

 

Bla backweb står med röd text.

 

PS.

"Backweb" och "backweb lite" är i huvudsak samma.

DS.