CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede hfeldt Nybegynder
03. august 2004 - 18:57 Der er 21 kommentarer

hijack log fil

Logfile of HijackThis v1.98.0
Scan saved at 18:57:46, on 03-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mszg32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\WINDOWS\essspk.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\system32\apphh.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programmer\TEXTware\HotKey\Twalink.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Henning\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2EF1BCC0-3F79-1A75-DA9B-CD7651147AC9} - C:\WINDOWS\system32\apptm.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [diagent] C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [apphh.exe] C:\WINDOWS\system32\apphh.exe
O4 - HKLM\..\RunOnce: [syswe32.exe] C:\WINDOWS\syswe32.exe
O4 - HKLM\..\RunOnce: [ntyw.exe] C:\WINDOWS\system32\ntyw.exe
O4 - HKLM\..\RunOnce: [javayt.exe] C:\WINDOWS\javayt.exe
O4 - HKLM\..\RunOnce: [crub.exe] C:\WINDOWS\system32\crub.exe
O4 - HKLM\..\RunOnce: [atlso32.exe] C:\WINDOWS\system32\atlso32.exe
O4 - HKLM\..\RunOnce: [winyp32.exe] C:\WINDOWS\winyp32.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [ipmy32.exe] C:\WINDOWS\system32\ipmy32.exe
O4 - HKLM\..\RunOnce: [appze.exe] C:\WINDOWS\appze.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [mszg32.exe] C:\WINDOWS\system32\mszg32.exe
O4 - HKLM\..\RunOnce: [winpc.exe] C:\WINDOWS\winpc.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [iezr32.exe] C:\WINDOWS\system32\iezr32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Corel Registration.lnk = C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmer\Autodesk Architectural Desktop 3\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programmer\Autodesk Architectural Desktop 3\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmer\Autodesk Architectural Desktop 3\AcPreview.ocx
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Avatar billede wannadoo Nybegynder
03. august 2004 - 19:14 #1
Jeg kigger den igennem med det samme.
Avatar billede wannadoo Nybegynder
03. august 2004 - 20:03 #2
Download SpyBot, opdater online, scan, og slet hvad den finder.
Download SpyBot: http://www.download.com/redir?pid=10289035&merid=null&mfgid=null&ltype=dl_dlnow&lop=link&edId=3&siteId=4&oId=3000-8022-10289035&ontId=8022&destUrl=%2F3001-8022-10289035.html

Opret en ny mappe kun til HiJackThis. Start programmet, scan, og sæt et flueben ved flg.:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - HKLM\..\Run: [apphh.exe] C:\WINDOWS\system32\apphh.exe
O4 - HKLM\..\RunOnce: [syswe32.exe] C:\WINDOWS\syswe32.exe
O4 - HKLM\..\RunOnce: [appze.exe] C:\WINDOWS\appze.exe
O4 - HKLM\..\RunOnce: [mszg32.exe] C:\WINDOWS\system32\mszg32.exe
O4 - HKLM\..\RunOnce: [winpc.exe] C:\WINDOWS\winpc.exe
O4 - HKLM\..\RunOnce: [iezr32.exe] C:\WINDOWS\system32\iezr32.exe
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmer\Autodesk Architectural Desktop 3\InstBanr.ocx
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Deaktiver Systemgendannelse(http://www.spywarefri.dk/virusscannere.htm#alle), genstart Windows i fejlsikret tilstand(F8 i opstart), og slet flg.:
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe (Mulighed for HiJacking)
C:\WINDOWS\syswe32.exe
C:\WINDOWS\appze.exe
C:\WINDOWS\system32\mszg32.exe
C:\WINDOWS\winpc.exe
C:\WINDOWS\system32\iezr32.exe
C:\WINDOWS\msopt.dll


Desuden kan jeg ikke finde nogen oplysninger om nedenstående filer:
O4 - HKLM\..\RunOnce: [crub.exe] C:\WINDOWS\system32\crub.exe
O4 - HKLM\..\RunOnce: [atlso32.exe] C:\WINDOWS\system32\atlso32.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe


Når processen er gennemførst, laver du en ny log, og ligger herind. Så vil jeg imellemtiden finde oplysninger om de ukente filer.
Avatar billede wannadoo Nybegynder
03. august 2004 - 20:12 #3
Tag desuden en tur med Kaspersky's engangsscanner: http://www.mwti.net/antivirus/free_utilities.asp
Avatar billede hfeldt Nybegynder
03. august 2004 - 20:30 #4
inden jeg kørte hijack This - kørte jeg en opdateret SpyBot og slettede hvad den fandt....
Avatar billede wannadoo Nybegynder
03. august 2004 - 20:36 #5
Fint. Har du gjort alt, som jeg har skrevet?
Avatar billede hfeldt Nybegynder
03. august 2004 - 20:51 #6
nej - vender lige tilbage om en halv times tid (skal lige ha' overstået aftensmaden..)
Avatar billede andersenph Nybegynder
03. august 2004 - 22:03 #7
Du må altså ikke fixe og slette denne:
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
Så ryger din printer sig en tur...
Avatar billede hfeldt Nybegynder
03. august 2004 - 22:22 #8
har nu gjort som nævnt og har nu flg. log:

Logfile of HijackThis v1.98.0
Scan saved at 22:21:28, on 03-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mszg32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\essspk.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmer\SpyKiller\spykiller.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programmer\TEXTware\HotKey\Twalink.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Henning\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2EF1BCC0-3F79-1A75-DA9B-CD7651147AC9} - C:\WINDOWS\system32\apptm.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [diagent] C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [ipmy32.exe] C:\WINDOWS\system32\ipmy32.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe
O4 - HKLM\..\RunOnce: [sdkbm32.exe] C:\WINDOWS\system32\sdkbm32.exe
O4 - HKLM\..\RunOnce: [sysaz.exe] C:\WINDOWS\sysaz.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Corel Registration.lnk = C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programmer\Autodesk Architectural Desktop 3\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmer\Autodesk Architectural Desktop 3\AcPreview.ocx
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Avatar billede magictouch Nybegynder
03. august 2004 - 22:26 #9
Prøv at genstart et par gange;)
Avatar billede hfeldt Nybegynder
03. august 2004 - 22:27 #10
øh hvorfor?
Avatar billede andersenph Nybegynder
03. august 2004 - 22:29 #11
Så skal du bare se din log udvikle sig...
Avatar billede fromsej Praktikant
03. august 2004 - 22:30 #12
Genstart, gå på nettet, genstart på nettet osv 4-5 gange, kom så med en frisk log, den infektion er ikke væk.
Den er uhyggelig svær at få has på.
Avatar billede hfeldt Nybegynder
03. august 2004 - 22:30 #13
ok det prøver jeg lige...
Avatar billede hfeldt Nybegynder
03. august 2004 - 22:37 #14
så ser den således ud:

Logfile of HijackThis v1.98.0
Scan saved at 22:40:11, on 03-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mszg32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\essspk.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\system32\apphh.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmer\SpyKiller\spykiller.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programmer\TEXTware\HotKey\Twalink.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Henning\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2EF1BCC0-3F79-1A75-DA9B-CD7651147AC9} - C:\WINDOWS\system32\apptm.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [diagent] C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [apphh.exe] C:\WINDOWS\system32\apphh.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [ipmy32.exe] C:\WINDOWS\system32\ipmy32.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe
O4 - HKLM\..\RunOnce: [sdkbm32.exe] C:\WINDOWS\system32\sdkbm32.exe
O4 - HKLM\..\RunOnce: [sysaz.exe] C:\WINDOWS\sysaz.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Corel Registration.lnk = C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programmer\Autodesk Architectural Desktop 3\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmer\Autodesk Architectural Desktop 3\AcPreview.ocx
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Avatar billede fromsej Praktikant
03. august 2004 - 22:52 #15
Bingo.
res://xuibd.dll/index.html#96676
Avatar billede hfeldt Nybegynder
03. august 2004 - 22:53 #16
ja den er træls...
Avatar billede fromsej Praktikant
03. august 2004 - 23:00 #17
Ja, du får en større opgave om lidt, hvis du ikke gør det i aften, så lad for guds skyld være med at slukke eller genstarte din PC, inden du har fulgt vejledningen.

wannadoo>>Den er altså rigtig grim, det er en af de allerværste CoolWebSearch infektioner, så der er ikke noget at sige til du ikke kunne, det fix jeg kommer med er udarbejdet af Spywareinfo, Tomcoyote osv, i skøn forening.
Avatar billede magictouch Nybegynder
03. august 2004 - 23:01 #18
Hent det her program først: http://www.snapfiles.com/get/aboutbuster.html

Herefter køres engang med CWShredder, da den lige skal fjerne en enkelt registrering.


Hent CWShredder her:
http://www.computercops.biz/zx/phoenix22/cws.zip

Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.


Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. NB. Gælder kun for dem som kører med Windows XP eller ME. Der er ikke systemgendannelse i Win98 samt Win2000. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virusscannere.htm#alle
Genstart til fejlsikret tilstand- tryk F8

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [apphh.exe] C:\WINDOWS\system32\apphh.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [ipmy32.exe] C:\WINDOWS\system32\ipmy32.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe
O4 - HKLM\..\RunOnce: [sdkbm32.exe] C:\WINDOWS\system32\sdkbm32.exe
O4 - HKLM\..\RunOnce: [sysaz.exe] C:\WINDOWS\sysaz.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup

Kør AboutBuster, kopier indholdet af loggen ind i en txt fil.

Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Genstart din computer.

Kør denne scanner: http://www.mwti.net/antivirus/free_utilities.asp
Tag et af de 7 øverste lins
Du skal også lige hente og installere programmet Ad-aware. Opdater det straks efter installationen, og inden du kører en scanning med denne. Fjern alt hvad den finder.
Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware

http://www.spywarefri.dk/tipsogtricks.htm#adaware

og kopier en ny log herind, sammen med Aboutbuster loggen
Avatar billede hfeldt Nybegynder
03. august 2004 - 23:04 #19
puh ha.....og så så sent...er det ikke nemmere at formatere HD og geninstallere Windows???
Avatar billede fromsej Praktikant
03. august 2004 - 23:07 #20
Magictouch>>Det tager den ikke.*S*
Følg denne vejledning, den burde snuppe det.

Hent værktøjet About:Buster lavet af Rubber Ducky.
http://tools.zerosrealm.com/AboutBuster.zip
Opret en mappe på dit skrivebord, og pak About:Buster ud i denne mappe.

Hent dette regcleaner Supreme program, som er gratis i en 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Hent og installer denne engangsskanner fra Kaspersky: http://www.mwti.net/antivirus/free_utilities.asp


Enten skal du bruge et program til at få renset ud i Temp mm. eller gøre det manuelt som senere vist.

Hent: http://www.spywarefri.dk/vaerktoj.htm#emptytemp
Og læs manualen til opsætning af programmet her:
http://www.spywarefri.dk/emptytempfolders.manual.htm

Hvis du vælger at bruge programmet, skal du installere og sætte det op med det samme. Jeg vil tilråde at du benytter dette prg. da det kan lave en totalt oprydning på din maskine.


Udskriv denne anvisning, da du skal af Nettet senere.

Når du gjort dette, skal du lade programmerne du lige har hentet ligge lidt, for du skal bruge dem lidt senere.

---------------------------------------------------------------------------------------

Slå nu systemgendannelse fra.
Hvis du ikke ved, hvordan du gør det så kig her:
http://www.spywarefri.dk/virusscannere.htm#alle

---------------------------------------------------------------------------------------

Du skal nu trække netstikket ud af din computer.

Brug "Taskmanager/procesliste" (Ctrl+Alt+Del) til at afslutte følgende processer hvis

du kan finde dem:

C:\WINDOWS\system32\xuibd.dll
C:\WINDOWS\system32\apptm.dll
C:\WINDOWS\system32\apphh.exe
C:\WINDOWS\system32\javarf.exe
C:\WINDOWS\system32\ipmy32.exe
C:\WINDOWS\adddj32.exe
C:\WINDOWS\addyg32.exe
C:\WINDOWS\system32\javann.exe
C:\WINDOWS\system32\mfcnm.exe
C:\WINDOWS\sysik32.exe
C:\WINDOWS\syszq32.exe
C:\WINDOWS\system32\d3qg32.exe
C:\WINDOWS\apiwt32.exe
C:\WINDOWS\sdkvy32.exe
C:\WINDOWS\mfczm.exe
C:\WINDOWS\javaxf.exe
C:\WINDOWS\system32\ntev32.exe
C:\WINDOWS\winha32.exe
C:\WINDOWS\ntvw32.exe
C:\WINDOWS\system32\msrn.exe
C:\WINDOWS\javahj.exe
C:\WINDOWS\ieej.exe
C:\WINDOWS\croc.exe
C:\WINDOWS\system32\sdkbm32.exe
C:\WINDOWS\sysaz.exe
C:\Programmer\SpyKiller\spykiller.exe
C:\WINDOWS\msopt.dll
-------------------------------------------------------------------------------------

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge

ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er

meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at

lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

BEMÆRK: DU MÅ KUN FIXE DEM VI BEDER DIG OM

Fix disse:

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2EF1BCC0-3F79-1A75-DA9B-CD7651147AC9} - C:\WINDOWS\system32\apptm.dll
O4 - HKLM\..\Run: [apphh.exe] C:\WINDOWS\system32\apphh.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [ipmy32.exe] C:\WINDOWS\system32\ipmy32.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe
O4 - HKLM\..\RunOnce: [sdkbm32.exe] C:\WINDOWS\system32\sdkbm32.exe
O4 - HKLM\..\RunOnce: [sysaz.exe] C:\WINDOWS\sysaz.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
---------------------------------------------------------------------------------------


Nu lukker du ALLE vinduer. Find den mappe hvori du lagde About:Buster. Kør programmet - tryk ok til meddelelsen, tryk på start - tast følgende i den hvide boks, hvis programmet beder dig om det (det vil sjældent ske du skal taste denne linje) – res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
- Kopier den log, som kommer frem i den anden hvide boks. Gem den i notesblok, da du skal bruge den lidt senere.

---------------------------------------------------------------------------------------

Så skal vi lige være sikre på at du kan se alle filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

---------------------------------------------------------------------

Okay nu skal der ryddes op i Temp filer m.m. Du kan enten bruge metoden som vist
herunder, eller bruge EmptyTempFolders. Ved hjælp af manualen, skal du nu slette alt i:
Temp, Temporary Internet Files, Cookies, History og tøm derefter din papirkurv.

Den ”manuelle løsning”
Slet alle filer/mapper i følgende mapper (IKKE hele mappen, KUN alle filer/mapper i mappen)

C:\Windows\Temp\
C:\Documents and Settings\<Din bruger>\Local Settings\Temp\
C:\Documents and Settings\<Alle andre brugere>\Local Settings\Temp\
C:\Documents and Settings\<Din bruger>\Local Settings\Temporary Internet Files\
C:\Documents and Settings\<Alle andre brugere>\Local Settings\Temporary Internet Files\
Tøm din "Papirkurv"
(Gælder kun 2K og XP, i win98 er stierne anderledes)
----------------------------------------------------------------------------------

Så får du lige et lille job. Åbn Notepad/Notesblok du finder det under - Start -

Tilbehør. Kopier det her med fed ind i Notepad/Notesblok:

del C:\WINDOWS\system32\xuibd.dll /f
del C:\WINDOWS\system32\apptm.dll /f
del C:\WINDOWS\system32\apphh.exe /f
del C:\WINDOWS\system32\javarf.exe /f
del C:\WINDOWS\system32\ipmy32.exe /f
del C:\WINDOWS\adddj32.exe /f
del C:\WINDOWS\addyg32.exe /f
del C:\WINDOWS\system32\javann.exe /f
del C:\WINDOWS\system32\mfcnm.exe /f
del C:\WINDOWS\sysik32.exe /f
del C:\WINDOWS\syszq32.exe /f
del C:\WINDOWS\system32\d3qg32.exe /f
del C:\WINDOWS\apiwt32.exe /f
del C:\WINDOWS\sdkvy32.exe /f
del C:\WINDOWS\mfczm.exe /f
del C:\WINDOWS\javaxf.exe /f
del C:\WINDOWS\system32\ntev32.exe /f
del C:\WINDOWS\winha32.exe /f
del C:\WINDOWS\ntvw32.exe /f
del C:\WINDOWS\system32\msrn.exe /f
del C:\WINDOWS\javahj.exe /f
del C:\WINDOWS\ieej.exe /f
del C:\WINDOWS\croc.exe /f
del C:\WINDOWS\system32\sdkbm32.exe /f
del C:\WINDOWS\sysaz.exe /f
del C:\Programmer\SpyKiller\spykiller.exe /f
del C:\WINDOWS\msopt.dll /f


Gem filen som: clear.bat
I filtypen skal der stå ”Alle filer”
Klik derefter på gem.

Lukke ALLE vinduer - dobbeltklik på filen clear.bat - det kan du roligt gøre et par gange.

For en sikkerheds skyld skal du bagefter, tjekke om disse filer er blevet slettet. Hvis
de ikke er, prøv da at slette dem manuelt. Hvis du ikke kan slette dem, og der opstår
fejl, prøv da at trykke ”ctrl+alt+del” og afslut dem i ”Taskmanager” og prøv så at
slette dem.

---------------------------------------------------------------------------
Kør HijackThis igen og se om de ting du lige har slettet er kommet igen. Hvis de er kommet igen, marker da disse filer igen ligesom før og fix dem, og kør About:Buster  igen (At gøre dette to gange er ikke ualmindeligt).

Kør så Regsupreme som du har hentet tidligere og fix/fjern det den finder

Bagefter kører du så engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.

Og følg det råd her med at få lagt den adresse i klassificeret zone og evt også i firewall http://www.spywarefri.dk/virus.htm#snedig

Hent denne fil her, og gem den i C\Windows\System32 : http://home8.inet.tele.dk/fbj/SHELL.DLL

Genstart (<----Dette skulle gerne være din første genstart efter vi startede)

Kør en ny scanning med Hijackthis, og kopier en frisk log herind.


--------------------------------------------------------------------------------
Avatar billede wannadoo Nybegynder
04. august 2004 - 21:12 #21
fromsej:
Tak for din opbagning, vedr. kommentaren "03/08-2004 23:00:28". Jeg er begyndt at interessere mig for IT-sikkerhed, og har derfor meget at lære *gg* :)
Men da der ikke var andre, der havde tid på daværende tidspunkt, hoppede jeg ud i det. For jeg er egentlig glad for du overtog :) For ja, den var slem.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
pop up black friday Af Malm i Virus 10 I går 20:49 I dag 10:46
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 15:56 Navigation i Peugeot 3-2008 fra 2017 Af arnepedersen i Andet software
I dag 14:10 Outlook henter ikke mails Af TTA i Office & Kontorpakker
I dag 13:58 vise billeder i kartotek med store ikoner inklusive optagelsesdato Af Malm i Billedbehandling
I dag 13:35 Adobe Elements 2019, Organizer Crasher Af mort1 i Billedbehandling
I går 20:49 pop up black friday Af Malm i Virus
White papers
Flere white papers »


Premium
Teaser billede
Vil købe tele-løsninger til det offentlige for 370 millioner kroner
Læs mere »
Efterspørgslen på AI-regnekraft er enorm - og det smitter af på priserne: "Vi kan sælge næsten alt, hvad vi får ind"
Nyt værtøj fra Microsoft: Snart kan du reparere nedbrudte Windows-enheder på distancen
Politiet skriver kontrakt på 75 millioner kroner med dansk it-firma: Medarbejdere skal flytte ind hos politiet
Se alle »
Computerworld
Teaser billede
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Læs mere »
Test: Prøv kun disse B&O-hovedtelefoner, hvis du har råd
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Telegigant klar med AI-baseret mormor: Holder telefon-svindlere fast i røret med sniksnak og dumme spørgsmål
Se alle »
CIO
Teaser billede
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Læs mere »
Kæmpe-opgave for Danske Bank har banet vej for fuldautomatiseret migrering til cloud: Nu udbredes metoden i hele AWS
Microsofts store årlige event: De tre vigtigste nøglebudskaber fra Satya Nadella om Microsofts fremtid
Tre vigtige erkendelser, som Computerworld tog med hjem fra Gartners store topmøde i Barcelona
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Topchef Sara Green mener, at der er brug for et radikalt nyt syn på it-ledelse - særligt én ny trend hader hun som pesten
Se alle »
White paper
Teaser billede
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Læs mere »
Managed Detection & Response: Forsvar din virksomhed mod cybertrusler døgnet rundt
Cyberstatus 2024: Her er truslerne – og her forbereder virksomhederne sig
Er din cybersikkerhed klar til AI-revolutionen?
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »