CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede tesd Nybegynder
27. maj 2004 - 23:40 Der er 12 kommentarer og
1 løsning

Malware/Spyware der ikke er til at komme af med.

Hej Eksperter.
Jeg har kørt cw-scredder+ spybot+spy sweep, og denne ting er stadig på min pc. jeg kan ikke identificere den. Jeg har slettet den utallige gange, og jeg har sørget for at systemgendannelse er slået fra....er der nogen der kan se noget i denne log fra Hijackthis?
(Jeg har set de tre første, men de kommer igen ved genstart, eller efter et stykke tid med tændt pc)

Logfile of HijackThis v1.97.7
Scan saved at 23:35:26, on 27-05-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Creative\ShareDLL\Mediadet.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Program Files\Star Downloader\stardown.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Skype\Skype.exe
D:\creative\PlayCenter2\CTNMRun.exe
D:\Program Files\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Program Files\SpywareGuard\sgbhp.exe
D:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Filer\Software\Software\Spyware Deleter\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hdeo.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hdeo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Ad-aware] "D:\Program Files\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Star Downloader] D:\Program Files\Star Downloader\stardown.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NOMAD Detector] "D:\creative\PlayCenter2\CTNMRun.exe"
O4 - Startup: SpywareGuard.lnk = D:\Program Files\SpywareGuard\sgmain.exe
O8 - Extra context menu item: Download with Star Downloader - D:\Program Files\Star Downloader\sdie.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
Avatar billede fromsej Praktikant
27. maj 2004 - 23:42 #1
1. Download og installer følgende programmer:

Reglite - http://www.resplendence.com/reglite
Adaware - http://www.lavasoft.de/support/download/
SpyBot S&D - http://www.safer-networking.org/index.php?lang=en&page=download

2. Download og placer programmerne her i deres egne mapper:

CWShredder - http://www.spywareinfo.com/downloads/tools/CWShredder.exe
TheKillBox - http://home8.inet.tele.dk/fbj/TheKillBox.exe

3. Kør Reglite og skriv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

ind i "Adress" feltet, tryk <Enter>.

4. Dobbeltklik på AppInit_DLLs for at åbne "Data Editor", hvis det nederste felt kaldet "Value" indeholder en .dll fil er det den vi leder efter.

5. Den kan ikke slettes endnu, skriv stien og navnet ned på et stykke papir, det skal bruges senere.

6. I venstre vindue, højreklik på mappen "Windows"(Den er fremhævet med lilla), vælg "Rename" og omdøb den til "Notwindows".

7. Klik på AppInit_DLLs igen, slet værdien der indeholder .dll'en klik OK, så burde den være væk.

8. Omdøb "Notwindows" tilbage til "Windows"

9. Kør Spybot, Ad-aware og CWShredder, husk at opdatere online inden du kører programmet.

10. Nu er det tid til at slette den .dll fil.

11. Kør TheKillBox (skal være pakket ud til sin egen mappe). I tekstfeltet skriver du stien til den fil du skrev ned tidligere (eksempelvis c:\windows\system23\dllha.dll). Nu skal du vælge Action -> Delete on reboot. Nu dukker der et lille vindue op - vælg File -> Add file. Vælg Action -> Process and reboot

12. Genstart din PC i Fejlsikret tilstand (ved at taste F8 under opstart). Kør Spybot, Ad-aware og CWShredder igen. Genstart i Normal mode og læg en frisk HijackThis log herind.
______________________________________________

Hvis pkt. 11 ikke virker: Gå i Start -> Kør og skriv cmd og klik OK. Du er nu i et DOS-vindue. Skriv attrib -r "stien til filen du skal slette" (eksempelvis attrib -r c:\windows\system23\dllha.dll)

Gentag pkt. 11 - 12.
Avatar billede tesd Nybegynder
30. maj 2004 - 19:12 #2
Jeg kan ikke køre attrib -r , der er ingen access. Hvad skal jeg så gøre?
Avatar billede tesd Nybegynder
30. maj 2004 - 19:13 #3
Og the kill box virker ikke...??
Avatar billede fromsej Praktikant
30. maj 2004 - 20:53 #4
Attrib -h -s -r prøv det.
Avatar billede tesd Nybegynder
30. maj 2004 - 21:17 #5
Det virker stadig ikke.
Avatar billede fromsej Praktikant
30. maj 2004 - 21:28 #6
Kopier teksten ind i et notesblokdokument, gem den som sletmig.reg, for at gøre det skal du ved "Alle filtyper" trykke på pilen og vælge "Alle filer".
Dobbeltklik så på den og sig ja til at flette den ind i din regdatabase, genstart, så skulle filen gerne være væk.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"filnavn.dll"="cmd /c Attrib -h -r -s \"C:\\WINDOWS\\System32\\filnavn.dll\" & del \"C:\\WINDOWS\\System32\\filnavn.dll\""

-------------------------------------
filnavn.dll udskiftes med det rigtige navn alle tre steder, desuden hvis stien ikke er C:\windows\system32 skal du skrive den rigtige sti, husk der skal være to \\
Avatar billede tesd Nybegynder
30. maj 2004 - 21:42 #7
Jeg forstår ikke helt dette?

Kopier teksten ind i et notesblokdokument, gem den som sletmig.reg, for at gøre det skal du ved "Alle filtyper" trykke på pilen og vælge "Alle filer".

Hvor er "alle filtyper"....og "alle filer" Er det i menyen eller hvor skal jeg gøre det?
Avatar billede fromsej Praktikant
30. maj 2004 - 21:50 #8
Giv mig navnet på den fil der skal slettes samt stien, så skal jeg nok lave den .reg fil til dig og uploade den.*S*
Avatar billede tesd Nybegynder
30. maj 2004 - 21:51 #9
jeg har lavet den.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"wdmpjb.dll"="cmd /c Attrib -h -r -s \"C:\\WINDOWS\\System32\\wdmpjb.dll\" & del \"C:\\WINDOWS\\System32\\wdmpjb.dll\""

Men jeg er bare ikke gjort det med alle filer osv. Og jeg tror ikke helt jeg forstår hvad det er? Det var bare det.
Avatar billede fromsej Praktikant
30. maj 2004 - 22:03 #10
Når du har teksten i et notesblok dokument, klikker du på Filer->Gem som, i det vindue du får frem skal du skrive sletmig.reg som navn, det felt nedenunder hedder Filtype, her skal du klikke på pilen og vælge alle filer.
Avatar billede fromsej Praktikant
30. maj 2004 - 22:09 #11
Nu ligger den her:
http://www.sitecenter.dk/fromsej/nss-folder/mappe/eksp503482/sletmig.reg
Højreklik på linket og vælg "Gem destination som".
Avatar billede tesd Nybegynder
30. maj 2004 - 22:20 #12
Den er fin jeg har lige kørt det hele. Så den har det godt nu. Her er den nye log.
Jeg siger tak. Og hvis den er fin så smid mig et svar så får du lige point...jeg burde give dig mere edn de 60 du har virkerlig hjulpet mig :-)
Takker.

Logfile of HijackThis v1.97.7
Scan saved at 22:21:27, on 30-05-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Creative\ShareDLL\Mediadet.exe
D:\Program Files\Star Downloader\stardown.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Skype\Skype.exe
D:\creative\PlayCenter2\CTNMRun.exe
D:\Program Files\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Filer\Software\Software\Spyware Deleter\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Ad-aware] "D:\Program Files\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Star Downloader] D:\Program Files\Star Downloader\stardown.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NOMAD Detector] "D:\creative\PlayCenter2\CTNMRun.exe"
O4 - Startup: SpywareGuard.lnk = D:\Program Files\SpywareGuard\sgmain.exe
O8 - Extra context menu item: Download with Star Downloader - D:\Program Files\Star Downloader\sdie.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab

vh Tue Alias Tesd
Avatar billede fromsej Praktikant
30. maj 2004 - 22:43 #13
Det var dejligt at se den forb.ndede CoolWebSearch dø.
Din log er ren nu, for at holde den ren kan du læse vores artikler om emnet her:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Men endnu vigtigere du skal hente og installere Servicepack 1, hotfixes og sasserfix her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks + IE
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da - Hotfixes efter SP1 til XP.
http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3 - Sasserfix.
Derefter opdatering online hos Microsoft.
Mvh:
Fromsej/Team Spywarefri.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
pop up black friday Af Malm i Virus 10 I går 20:49 I dag 10:46
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
56 min siden Underlig meddelelse på skærmen Af Jordegern i E-mail programmer
I dag 15:56 Navigation i Peugeot 3-2008 fra 2017 Af arnepedersen i Andet software
I dag 14:10 Outlook henter ikke mails Af TTA i Office & Kontorpakker
I dag 13:58 vise billeder i kartotek med store ikoner inklusive optagelsesdato Af Malm i Billedbehandling
I dag 13:35 Adobe Elements 2019, Organizer Crasher Af mort1 i Billedbehandling
White papers
Flere white papers »


Premium
Teaser billede
Vil købe tele-løsninger til det offentlige for 370 millioner kroner
Læs mere »
Efterspørgslen på AI-regnekraft er enorm - og det smitter af på priserne: "Vi kan sælge næsten alt, hvad vi får ind"
Nyt værtøj fra Microsoft: Snart kan du reparere nedbrudte Windows-enheder på distancen
Politiet skriver kontrakt på 75 millioner kroner med dansk it-firma: Medarbejdere skal flytte ind hos politiet
Se alle »
Computerworld
Teaser billede
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Læs mere »
Test: Prøv kun disse B&O-hovedtelefoner, hvis du har råd
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Telegigant klar med AI-baseret mormor: Holder telefon-svindlere fast i røret med sniksnak og dumme spørgsmål
Se alle »
CIO
Teaser billede
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Læs mere »
Kæmpe-opgave for Danske Bank har banet vej for fuldautomatiseret migrering til cloud: Nu udbredes metoden i hele AWS
Microsofts store årlige event: De tre vigtigste nøglebudskaber fra Satya Nadella om Microsofts fremtid
Tre vigtige erkendelser, som Computerworld tog med hjem fra Gartners store topmøde i Barcelona
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Topchef Sara Green mener, at der er brug for et radikalt nyt syn på it-ledelse - særligt én ny trend hader hun som pesten
Se alle »
White paper
Teaser billede
Managed Detection & Response: Forsvar din virksomhed mod cybertrusler døgnet rundt
Læs mere »
Sådan gør du: Elektronisk dokumentudveksling i praksis
Sådan får du overblik og beskytter dine cloudapplikationer
Vær proaktiv og prioritér IT-sikkerheden – før det er for sent
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »