Jeg kan ikke ændre min startside

Prøv at hente adaware på http://www.lavasoftusa.com/ og se om det ikke løser problemet. Det lyder som noget den kan fjerne

download ad-aware... Vil gætte på at det er spyware
www.spywarefri.dk

PIS!!!

SÅ tæt på

Jeg er nu sikker på at vi skal have en hijackthis, for at løse problemet.

Hent en hijackthis : http://www.arlet.dk/hjt.htm

Hmm, tja - lyder mere rimeligt

men kør gerne ad-aware eller spybot først, inden du kommer med den hijackthis

JEg mener nu egentelig at jeg har checket spybot men laver lige et extra check. Venter tilbage om lidt :o)

Spybot fandt lidt af hvert men ikke noget der hjalp.
Så jeg må vel kaste mig ud hijack check
vender tilbage senere

Hej igen

Først og fremmest: respect til din HP Arlet.
Og her er resultatet

Logfile of HijackThis v1.97.7
Scan saved at 21:24:08, on 03-06-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\anvshell.exe
C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\Network Associates\Common Framework\FrameworkService.exe
C:\Programmer\Network Associates\VirusScan\mcshield.exe
C:\Programmer\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anders Guldfelt\Skrivebord\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#22776
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\Documents and Settings\Anders Guldfelt\Application Data\msrv\msrv.dll
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\ieov\mssearch.dll
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\ieov\msiesh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38008.6060300926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) - http://www.euras.com/euras/activex/euras.CAB

Det er jo en lang liste.
Er der nogle bud??

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#22776
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks


der er da noget af det

Man kan jeg bare slette dem eller hvad??

Kør Cwshredder: http://www.spywareinfo.com/~merijn/downloads.html
Og læg så en hel logfil herind!

Følg magictouch råd*S*

Jeg ser nye programmer hver dag :o)

Ind til videre tak for hjælpen

Her er loggen:

CWShredder v1.58.0 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 )
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Documents and Settings\Anders Guldfelt\Application Data
Username: Anders Guldfelt

Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: res://mshp.dll/sp.html#22776
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page,about:blank
Infected data: res://mshp.dll/index.html#22776
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
Infected data: res://mshp.dll/index.html#22776
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
Infected data: res://mshp.dll/sp.html#22776
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: res://mshp.dll/sp.html#22776
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page,about:blank
Infected data: res://mshp.dll/index.html#22776
Hosts file not present
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found Win.ini file: C:\WINDOWS\win.ini (729 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (488 bytes, A)

- END OF REPORT -

Er det fortidligt at køre en FIX med Cwshredder??

Homepage set to res://mshp.dll/index.html#
Removal Instructions and Help


How did my homepage get set to res://mshp.dll/index.html#10213 or something similar?
Here's another example of the many variants of the Coolwebsearch homepage hijacker. It changes your homepage to res://mshp.dll/index.html#10213. Although using the normal steps to remove one of the many variants of coolwebsearch should remove it, it appears this variant is also part of a trojan virus called TROJ_IEFEATS.A . Because of this I have modified these directions to include instructions for removing the possible trojan as well as the homepage hijacker.

How do I Remove Lookfor.cc homepage hijacker and IEFEATS.A trojan?

1) Start Windows in Safe Mode by pressing F8 as the computer is booting and choosing Safe Mode

2) Remove the Registry entries

Click on Start, Run, Regedit
In the left panel go to
HKEY_CURRENT_USER>Software>Microsoft>Windows>Current Version>Runonce

In the right panel, right-click and delete the following entry (if it exists)
iefeats1Update = "rundll32 <path to virus>\iefeats1.dll,UpdateDlls"

Close the Registry Editor
3) Delete the infected files (for Windows ME and XP remember to turn off System Restore before searching for and deleting these files to remove infected backed up files as well)

Click Start, point to Find or Search, and then click Files or Folders.
Make sure that "Look in" is set to (C:\WINDOWS).
In the "Named" or "Search for..." box, type, or copy and paste, the file names:
IEFEATSL.DLL
MSIESH.DLL
SUBMITHOOK.DLL
UNINSTALL.EXE
UNINSTALL.INI
MSHP.DLL
Click Find Now or Search Now.
Delete the displayed files.
4) Reset Internet Explorer Homepage and Search Page

Close all Internet Explorer windows.
Open Control Panel. Click Start>Settings>Control Panel.
Double-click the Internet Options icon.
In the Internet Properties window, click the Programs tab.
Click the “Reset Web Settings…” button.
Select “Also reset my home page.” Click Yes.
Click OK.
4) Reboot the computer and download and run CWShredder, created by Merijn of Spywareinfo.com. Merijn has an entire page devoted to CoolWebSearch and its many variants.

http://www.softpedia.com/public/scripts/downloadhero/10-17-150/



5) Run a thorough virus scan using your favorite antivirus program or Housecall, Trend Micro's online virus scanner.

Havde selv problemet d. 4/6 og denne instuktion hjalp mig meget.

Vil lige tilføje, at jeg kørte Spybot og HijackThis uden at de kunne hjælpe.
Den fil som hedder "mshp.dll" kom tilbage alligevel.
Men det med fejlsikret tilstand og så en sletning af diverse filer, hjælper.

I cwshredder SKAL du trykke på fix, for at få den væk.

Den hijackthis log skal du lægge herind, så vi kan tjekke den..

Ihaaaaarrrrr
Det virkede - cwshredder har ordnet det.
Arlet: Skal jeg smide endnu en Hijackthis log?? Alt ser ud til at virke fint!
Og så er vi vist nået til point uddelingen: Det går vist 45/15 TIL ARLET/MagicTouch
Men det kræver nogel svar :o)

Ja, jeg vil gerne se en ny hijackthis..

OK
Her kommer den:

Logfile of HijackThis v1.97.7
Scan saved at 18:06:10, on 06-06-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\anvshell.exe
C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\Network Associates\Common Framework\FrameworkService.exe
C:\Programmer\Network Associates\VirusScan\mcshield.exe
C:\Programmer\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\Internet Explorer\iexplore.exe
G:\Programmer\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38008.6060300926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) - http://www.euras.com/euras/activex/euras.CAB

Kna du se andet crap??

Det ser ud til at alle de tidligere R0 og R1 er renset :o)

Loggen er nu ren*S*

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

Meget vigtigt:
Hent Sp1 til Windows og IE samt alle kritiske opdateringer her:
http://v4.windowsupdate.microsoft.com/da/default.asp

Jeg har haft diverse servicepakker instaleret - men tilsyneladende tog det ret meget kraft ud af min ellers store og kraftige computer. Så de røg ud igen.
Men 1000 tak for hjælpen. Og dyb respekt for din HP.
Jeg venter indtil i morgen med at give point så MagicTouch har en chance for at stikke et svar.

Jeg har selv disse 4 programmer installeret og de sløver overhovedet ikke det mindste..

Tak for roserne for hjemmesiden

Jeg synes, med det store arbejde arlet har lagt for dagen, bør han få pointene-ok:)

Ok Arlet - det er sku svært ikke at stole (blind) på dig så jeg går igang med diverse updates til Windows igen.
Og MagicTouch jeg tror du har ret :o)

Jamen så takker jeg jer begge*S*

Hey Arlet
Et spørgsmål her til slut: Jeg forsøgte at installere service pack 1, men der kommer en popup med "installationsprogrammet kunner ikke bekræfte gyldigheden af filen update.inf. kontroller at kryptografiske tjenester kører"
Hved du hvad det er for noget pis?
Hvor kan man slå kryptografi programmer til og fra?

Der fik du mig. det ved jeg faktisk ikke. Men jeg vil gå igang med at kigge efter det på nettet om jeg kan finde nogle løsninger til dig..

Det er en lovlig xp, ikk??

Det var ikke forat jage dig på arbejde (igen).
Jeg kigger selv videre :o)
Ellers kan det være det er på tide at få renset helt ud med et lille format c:
Tak for nu

Her er vist noget: http://www.mrtech.com/news/messages/3024.html

og her en med samme spørgsmål på E. løsningen var at ringe til microsoft: http://www.eksperten.dk/spm/338413

Du er simpelthen for sej - og ikke til at styre. checker lige op på den første - den ser mest lovende ud

Hmmm  det giver sku ikke det store:
Jeg har fundet ud af at min "kryptografisk tjeneste" kører, så jeg ved ikke rigtig.
Tror jeg laver den hårde udrensning en af dagene
Men endnu en gang 1000 tak