Fjerne url fra startsiden.

Hent Hijackthis, kør det, kopier logfilen herind, så kigger vi på den.
http://www.spywarefri.dk/vaerktoj.htm#18

Det er ikke alle programmer, der bliver identificeret som snavs af adaware.
Prøv at kigge i tilføj/fjern programmer, om der er noget, som ikke skulle være der.
Hvis du har hentet shareware programmer for nyligt, så prøv at fjerne dem.

Visse porn-progs laver også tit din startside om..

(kender ikke noget til det har hørt det fra en ven... :P)

Denne kender vi (fromsej og jeg) og vi er vant til at kigge på logfiler så din løsning er som fromsej siger. Hen hijackthis. Lig loggen her, og fromsej og jeg deles om at kigge på den.

Siden hedder coolwwwsearch.

Du er blevet det som man kalder for Hijackede. Dvs. du er blevet overtaget fra en udenfra kommende site og den skal vi have fjernet. Det kan vi gøre ved hjælp af denne logfil fra hijack

Her kommer log'gen :

Logfile of HijackThis v1.95.0
Scan saved at 00:06:26, on 11-07-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
F:\WINDOWS\System32\hphmon03.exe
F:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
F:\Programmer\D-Tools\daemon.exe
F:\WINDOWS\System32\RUNDLL32.EXE
F:\Programmer\ICQ\ICQ.exe
F:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
F:\Programmer\Norton AntiVirus\navapsvc.exe
F:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\HPHipm09.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programmer\Zone Labs\ZoneAlarm\zapro.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
G:\hijackthis195\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%61/%78%31%2e%63%67%69?%31%30%30  about:blank                                                   
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.searchv.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - F:\WINDOWS\winshow.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] F:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [ccApp] "F:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "F:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] F:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [eDonkey2000] F:\Programmer\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [sysPnP] F:\WINDOWS\System32\bootconf.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = F:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = F:\Programmer\Zone Labs\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &NeoTrace It! - F:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ANTIVIRUS (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O19 - User stylesheet: F:\WINDOWS\default.css



-24U-

problemet er ikke at jeg ikke kan fjerne den.. den kommer bare igen, selv uden jeg har brugt iexplorer.

Nææ problemet består i at kunne "skrivebeskytte" start url'en. så den ikke kan overskrives.. men det er nok for svært...

-24U-

Btw.. det eneste det program gør, er at fjerne de ting som man ber den om.. det kan jeg gøre i registrerings basen (regedit).

-24U-

Du får en liste, den skal du fixe med Hijackthis.
Du skal lukke alle andre programmer mens du fixer, hvis du bruger XP eller ME, skal du slå systemgendannelse fra imens.
Når Hijackthis er færdig, skal du genstarte, lave en ny log og smide den herind.

Ok. Vi er nu igang med at tjekke din log, og der er da vist meget som skal væk, så der går lige lidt tid inden alt er tjekket igennem.

Du skal skynde dig at fixe alle disse, og så genstarte din pc. Jeg kigger videre, men dette her er noget rigtig snask.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%61/%78%31%2e%63%67%69?%31%30%30  about:blank                                                   
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.searchv.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=

O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - F:\WINDOWS\winshow.dll    Denne er en ægte hijacker og skal fixes.  Der kommer mere endnu, men det kan virkelig tage lang tid. Håber ikke at det gør noget at du får det i små bidder, ellers sig til så skal jeg vente med at give dig det hele på en gang.

O19 - User stylesheet: F:\WINDOWS\default.css

O4 - HKLM\..\Run: [sysPnP] F:\WINDOWS\System32\bootconf.exe
Når du har fixet og genstartet, skal du gå ind i F:\WINDOWS\System32 og slette bootconf.exe

O4 - HKLM\..\Run: [eDonkey2000] F:\Programmer\eDonkey2000\eDonkey2000.exe -t Skal også fixes.

O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: SEARCH (HKLM)

Disse ville jeg også fixe. Genstart derefter din pc, og smid en ny log. Du skulle nu gerne være fri for snavs, men lige for en sikkerheds skyld.

24u Hvordan går det?

Hallo 24u jeg sidder faktisk og venter på lyd fra dig, selv om jeg er ved at være træt, så giv lige lyd så jeg ved du er der og jeg ikke bare sidder oppe forgæves.

jaja.. jeg gik iseng efter det ;o).. prøver lige det i skriver..

-24U-

Så har du bare ladet Aovergaard sidde og vente i 27 timer.
At du ikke skammer dig.*G*

Hmm.. det skete der ikke meget ved.. så nu kan i sidde i 27 timer igen ;o)

Her er log'gen :

Logfile of HijackThis v1.95.0
Scan saved at 16:47:14, on 11-07-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
F:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
F:\Programmer\Norton AntiVirus\navapsvc.exe
F:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
F:\WINDOWS\System32\hphmon03.exe
F:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
F:\Programmer\D-Tools\daemon.exe
F:\WINDOWS\System32\RUNDLL32.EXE
F:\Programmer\Zone Labs\ZoneAlarm\zapro.exe
F:\Programmer\ICQ\ICQ.exe
F:\WINDOWS\System32\HPHipm09.exe
G:\hijackthis195\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] F:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [ccApp] "F:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "F:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] F:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = F:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = F:\Programmer\Zone Labs\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &NeoTrace It! - F:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ANTIVIRUS (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



-24U-

jeg slettede det jeg syntes jeg ikke kunne bruge til noget (næsten det samme som jer) og lukkede ned..  nu efter jeg gjorde hvad i sagde, er den der igen ;o)..

-24U-

24u>>Lige en kommentar til i nat, du kunne godt have fortalt os at du lukkede ned, så havde Aovergaard ikke siddet og ventet på svar.*S*
Vi kigger på din logfil igen, og skal nok gøre alt for at finde kilden.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=
Nu starter du lige med at fixe disse. Så følger resten senere. Husk at deaktivere systemgendannelse, samt husk at alle andre vinduer skal være lukket mens du fixer. Underligt at de er kommet igen.

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programmer\Norton AntiVirus\NavShExt.dll
Denne kan jeg ikke finde på min egen norton så den syntes jeg vi også prøver at fixe.

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install fixes
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\Programmer\ICQ\NDetect.exe  Kan fixes. Connecter automatisk din ICQ men du kan jo nå den via start prg.
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe Kan fixes. Unødvendig I start
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe Kan fixes. Unødvendig i star der bliver den alligevel aldrig brugt, men tager dine resurser.
O4 - HKLM\..\Run: [HPHmon03] F:\WINDOWS\System32\hphmon03.exe Kan fixes

Mere følger, men så har du også noget at lave:)

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit Bør ikke ligge i start - fix

O8 - Extra context menu item: &NeoTrace It! - F:\PROGRA~1\NEOTRA~1\NTXcontext.htm Hvis du ikke selv kender til denne skal den fixes.

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: NeoTrace It! (HKCU) Og så skal denne jo også fixes.

Som de sidste to ville jeg også fixe disse som ikke ligger i andres logfiler.

O9 - Extra button: ANTIVIRUS (HKLM)
O9 - Extra button: SECURITY (HKLM)

Prøv så nu efter at du har fixet alt dette at genstarte, og så kom med din logfil igen, for nu tror jeg på at vi har fået alt med.

Hvordan står det så til nu?

NavShExt.dll er altså en del af Norton Antivirus... pas på med at fjerne komponenter fra "sikkerhedsprodukter". Det kan efterlade dem uanvendelige, dvs. du har en falsk sikkerhdsfølelse.

F:\WINDOWS\System32\HPHipm09.exe
G:\hijackthis195\HijackThis.exe

Kan du roligt slette... (hvis det da er muligt).

ja, jeg gjorde som aovergaard sagde, og genstartede..

det er vel ikke så fedt at slå systemgendannelse fra???

men det virker ikke
Jeg har nyeste norton, opdateret igår.
Nyeste zonealarm.

Log'gen :

Logfile of HijackThis v1.95.0
Scan saved at 18:10:13, on 11-07-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
F:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
F:\Programmer\D-Tools\daemon.exe
F:\WINDOWS\System32\RUNDLL32.EXE
F:\Programmer\Zone Labs\ZoneAlarm\zapro.exe
F:\Programmer\ICQ\ICQ.exe
F:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
F:\Programmer\Norton AntiVirus\navapsvc.exe
F:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programmer\Internet Explorer\iexplore.exe
G:\hijackthis195\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "F:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "F:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] F:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = F:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = F:\Programmer\Zone Labs\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &NeoTrace It! - F:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ANTIVIRUS (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

-24U-

skal lige spise hos min forældre, ses senere..

-24U-

Ok, Maden kalder også her. Det er jo surt at se det ligger der igen. Den er gennemgået meget nøje, men vi ses om et par timer igen, så skal vi lige kigge en gang til men det er virkeligt underligt det her. Og du har slettet alle dem vi forslog?
De sidste bemærkninger fra jvpj kan du tage det roligt med. Den ene var din printer og kan selvfølgelig slettes, men har dog intet med dit snavs at gøre, den anden fra nav valgte jeg at sige fix til, da jeg kunne se den ikke lå i min nav, og når vi nu skulle finde synderen, var det bedst at tage den med.

24U>>Det er vigtigt at du slår systemgendannelse fra, du kan slå den til igen når problemet er løst.
Skal fixes:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%31%30%30
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Når du har gjort det, og genstartet, husk nu at ALT andet skal være lukket imens, og problemet ikke er løst skal du åbne notesblok og kopiere følgende ind:

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
""="http://home.microsoft.com/access/autosearch.asp?p=%s"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://search.msn.com/spbasic.htm"
"Use Custom Search URL"= dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"=""

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPr
efix]
@="http://"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]

"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"


Vælg Gem som, og gem det som search.reg , derefter højreklikker du på reg filen og tilføjer den til din registreringsdatabase.

For at tilføje den skal du efter at have højreklikket vælge Flet.

check in Internet Options > Security, and select "Trusted Sites".
Press the "Sites" button. if you find any reference to coolwwwsearch in there, remove it.
Same for msn.com if you didn´t put it there.

Hvad så nu, hvordan går det derude?

Hvad med lidt respons her?

fromsej-> vi må jo have hjulpet ham frem til en ren computer siden vi ikke får noget retur.

24u hvis dette er tilfældet, så skal du have lukket dette spørgsmål igen, så evt. andre brugere kan se løsningen.

http://www.eksperten.dk/spm/147464 - Ikke lukket !
http://www.eksperten.dk/spm/153267 - Ikke lukket !
http://www.eksperten.dk/spm/295679 - Ikke lukket !
http://www.eksperten.dk/spm/363627 - Ikke lukket !
Samt det her, få men et par ældgamle imellem.

Jo.. det gik stadigvæk lige dårligt.. måtte engang imellem ind i hijack og fjerne dem manuelt.

Det er da lidt mystisk at hijack ikke "beskytter" de filer mod overskrivning.

Nå men de kom igen og igen..
Det hjalp da jeg gik ind i egenskaber for intetnet > sikkerhed > brugerdefineret neveau > nulstil

Og det virkede, og jeg har ikke haft probs siden.. dog kører jeg en hijack en gang imellem for at se om der sker noget.

-24U-

Hvad f..... bilder du dig egentlig ind, vi sidder i flere timer og tjekker logfil, derefter venter vi i ugevis på et svar, så vi kunne tjekke din log igen, og hjælpe dig af med det sidste snavs.
Du er hermed på min private blacklist samt anmeldt!

Nå, og så nakker du alle point selvom du rent faktisk nu benytter dig af en del af vores hjælp.

Du ved slet ikke at både fromsej og jeg har siddet over 2 tim. hver bare for at hjælpe dig, og at vi endda er gået ud Internationalt for at se om der var noget som vi havde glemt, og om der her var nogen som havde nogle gode foreslag. Det er absolut ikke pænt af dig, og du bør aflever de point igen. Det er takken for at der er nogen som gider at sidder her ganske gratis for at hjælpe, så bliver man ærlig talt noget sur når man opfører sig som du her har gjort. Og svare tilbage for at få yderliger hjælp, nej det kunne du jo ikke engang overkomme.

24u>> Syntes du ikke du bør give nogle point til fromsej og aovergaard de har givet dig en masse hjælp og tilsyneladne også en masse hjælp til hvordan du i fremtiden selv kan fjerne nye "problemmer"?

Du bedes oprette et ny spørgsmål med point til de 2 som har hjulet dig her.

eagleeye / CoAdmin

eagleeye / CoAdmin

hov der var en linje for meget, det må være sommer varmen ;)

http://www.eksperten.dk/spm/379539