CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede hfeldt Nybegynder
03. august 2004 - 18:57 Der er 21 kommentarer

hijack log fil

Logfile of HijackThis v1.98.0
Scan saved at 18:57:46, on 03-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mszg32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\WINDOWS\essspk.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\system32\apphh.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programmer\TEXTware\HotKey\Twalink.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Henning\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2EF1BCC0-3F79-1A75-DA9B-CD7651147AC9} - C:\WINDOWS\system32\apptm.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [diagent] C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [apphh.exe] C:\WINDOWS\system32\apphh.exe
O4 - HKLM\..\RunOnce: [syswe32.exe] C:\WINDOWS\syswe32.exe
O4 - HKLM\..\RunOnce: [ntyw.exe] C:\WINDOWS\system32\ntyw.exe
O4 - HKLM\..\RunOnce: [javayt.exe] C:\WINDOWS\javayt.exe
O4 - HKLM\..\RunOnce: [crub.exe] C:\WINDOWS\system32\crub.exe
O4 - HKLM\..\RunOnce: [atlso32.exe] C:\WINDOWS\system32\atlso32.exe
O4 - HKLM\..\RunOnce: [winyp32.exe] C:\WINDOWS\winyp32.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [ipmy32.exe] C:\WINDOWS\system32\ipmy32.exe
O4 - HKLM\..\RunOnce: [appze.exe] C:\WINDOWS\appze.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [mszg32.exe] C:\WINDOWS\system32\mszg32.exe
O4 - HKLM\..\RunOnce: [winpc.exe] C:\WINDOWS\winpc.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [iezr32.exe] C:\WINDOWS\system32\iezr32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Corel Registration.lnk = C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmer\Autodesk Architectural Desktop 3\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programmer\Autodesk Architectural Desktop 3\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmer\Autodesk Architectural Desktop 3\AcPreview.ocx
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Avatar billede wannadoo Nybegynder
03. august 2004 - 19:14 #1
Jeg kigger den igennem med det samme.
Avatar billede wannadoo Nybegynder
03. august 2004 - 20:03 #2
Download SpyBot, opdater online, scan, og slet hvad den finder.
Download SpyBot: http://www.download.com/redir?pid=10289035&merid=null&mfgid=null&ltype=dl_dlnow&lop=link&edId=3&siteId=4&oId=3000-8022-10289035&ontId=8022&destUrl=%2F3001-8022-10289035.html

Opret en ny mappe kun til HiJackThis. Start programmet, scan, og sæt et flueben ved flg.:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - HKLM\..\Run: [apphh.exe] C:\WINDOWS\system32\apphh.exe
O4 - HKLM\..\RunOnce: [syswe32.exe] C:\WINDOWS\syswe32.exe
O4 - HKLM\..\RunOnce: [appze.exe] C:\WINDOWS\appze.exe
O4 - HKLM\..\RunOnce: [mszg32.exe] C:\WINDOWS\system32\mszg32.exe
O4 - HKLM\..\RunOnce: [winpc.exe] C:\WINDOWS\winpc.exe
O4 - HKLM\..\RunOnce: [iezr32.exe] C:\WINDOWS\system32\iezr32.exe
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmer\Autodesk Architectural Desktop 3\InstBanr.ocx
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Deaktiver Systemgendannelse(http://www.spywarefri.dk/virusscannere.htm#alle), genstart Windows i fejlsikret tilstand(F8 i opstart), og slet flg.:
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe (Mulighed for HiJacking)
C:\WINDOWS\syswe32.exe
C:\WINDOWS\appze.exe
C:\WINDOWS\system32\mszg32.exe
C:\WINDOWS\winpc.exe
C:\WINDOWS\system32\iezr32.exe
C:\WINDOWS\msopt.dll


Desuden kan jeg ikke finde nogen oplysninger om nedenstående filer:
O4 - HKLM\..\RunOnce: [crub.exe] C:\WINDOWS\system32\crub.exe
O4 - HKLM\..\RunOnce: [atlso32.exe] C:\WINDOWS\system32\atlso32.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe


Når processen er gennemførst, laver du en ny log, og ligger herind. Så vil jeg imellemtiden finde oplysninger om de ukente filer.
Avatar billede wannadoo Nybegynder
03. august 2004 - 20:12 #3
Tag desuden en tur med Kaspersky's engangsscanner: http://www.mwti.net/antivirus/free_utilities.asp
Avatar billede hfeldt Nybegynder
03. august 2004 - 20:30 #4
inden jeg kørte hijack This - kørte jeg en opdateret SpyBot og slettede hvad den fandt....
Avatar billede wannadoo Nybegynder
03. august 2004 - 20:36 #5
Fint. Har du gjort alt, som jeg har skrevet?
Avatar billede hfeldt Nybegynder
03. august 2004 - 20:51 #6
nej - vender lige tilbage om en halv times tid (skal lige ha' overstået aftensmaden..)
Avatar billede andersenph Nybegynder
03. august 2004 - 22:03 #7
Du må altså ikke fixe og slette denne:
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
Så ryger din printer sig en tur...
Avatar billede hfeldt Nybegynder
03. august 2004 - 22:22 #8
har nu gjort som nævnt og har nu flg. log:

Logfile of HijackThis v1.98.0
Scan saved at 22:21:28, on 03-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mszg32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\essspk.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmer\SpyKiller\spykiller.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programmer\TEXTware\HotKey\Twalink.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Henning\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2EF1BCC0-3F79-1A75-DA9B-CD7651147AC9} - C:\WINDOWS\system32\apptm.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [diagent] C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [ipmy32.exe] C:\WINDOWS\system32\ipmy32.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe
O4 - HKLM\..\RunOnce: [sdkbm32.exe] C:\WINDOWS\system32\sdkbm32.exe
O4 - HKLM\..\RunOnce: [sysaz.exe] C:\WINDOWS\sysaz.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Corel Registration.lnk = C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programmer\Autodesk Architectural Desktop 3\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmer\Autodesk Architectural Desktop 3\AcPreview.ocx
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Avatar billede magictouch Nybegynder
03. august 2004 - 22:26 #9
Prøv at genstart et par gange;)
Avatar billede hfeldt Nybegynder
03. august 2004 - 22:27 #10
øh hvorfor?
Avatar billede andersenph Nybegynder
03. august 2004 - 22:29 #11
Så skal du bare se din log udvikle sig...
Avatar billede fromsej Praktikant
03. august 2004 - 22:30 #12
Genstart, gå på nettet, genstart på nettet osv 4-5 gange, kom så med en frisk log, den infektion er ikke væk.
Den er uhyggelig svær at få has på.
Avatar billede hfeldt Nybegynder
03. august 2004 - 22:30 #13
ok det prøver jeg lige...
Avatar billede hfeldt Nybegynder
03. august 2004 - 22:37 #14
så ser den således ud:

Logfile of HijackThis v1.98.0
Scan saved at 22:40:11, on 03-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mszg32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\essspk.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\system32\apphh.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmer\SpyKiller\spykiller.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programmer\TEXTware\HotKey\Twalink.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Henning\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2EF1BCC0-3F79-1A75-DA9B-CD7651147AC9} - C:\WINDOWS\system32\apptm.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [diagent] C:\Programmer\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [apphh.exe] C:\WINDOWS\system32\apphh.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [ipmy32.exe] C:\WINDOWS\system32\ipmy32.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe
O4 - HKLM\..\RunOnce: [sdkbm32.exe] C:\WINDOWS\system32\sdkbm32.exe
O4 - HKLM\..\RunOnce: [sysaz.exe] C:\WINDOWS\sysaz.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Corel Registration.lnk = C:\Programmer\Corel\WordPerfect Office 2000\Register\Remind32.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programmer\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programmer\Autodesk Architectural Desktop 3\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmer\Autodesk Architectural Desktop 3\AcPreview.ocx
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Avatar billede fromsej Praktikant
03. august 2004 - 22:52 #15
Bingo.
res://xuibd.dll/index.html#96676
Avatar billede hfeldt Nybegynder
03. august 2004 - 22:53 #16
ja den er træls...
Avatar billede fromsej Praktikant
03. august 2004 - 23:00 #17
Ja, du får en større opgave om lidt, hvis du ikke gør det i aften, så lad for guds skyld være med at slukke eller genstarte din PC, inden du har fulgt vejledningen.

wannadoo>>Den er altså rigtig grim, det er en af de allerværste CoolWebSearch infektioner, så der er ikke noget at sige til du ikke kunne, det fix jeg kommer med er udarbejdet af Spywareinfo, Tomcoyote osv, i skøn forening.
Avatar billede magictouch Nybegynder
03. august 2004 - 23:01 #18
Hent det her program først: http://www.snapfiles.com/get/aboutbuster.html

Herefter køres engang med CWShredder, da den lige skal fjerne en enkelt registrering.


Hent CWShredder her:
http://www.computercops.biz/zx/phoenix22/cws.zip

Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.


Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. NB. Gælder kun for dem som kører med Windows XP eller ME. Der er ikke systemgendannelse i Win98 samt Win2000. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virusscannere.htm#alle
Genstart til fejlsikret tilstand- tryk F8

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xuibd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xuibd.dll/index.html#96676
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [apphh.exe] C:\WINDOWS\system32\apphh.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [ipmy32.exe] C:\WINDOWS\system32\ipmy32.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe
O4 - HKLM\..\RunOnce: [sdkbm32.exe] C:\WINDOWS\system32\sdkbm32.exe
O4 - HKLM\..\RunOnce: [sysaz.exe] C:\WINDOWS\sysaz.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup

Kør AboutBuster, kopier indholdet af loggen ind i en txt fil.

Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Genstart din computer.

Kør denne scanner: http://www.mwti.net/antivirus/free_utilities.asp
Tag et af de 7 øverste lins
Du skal også lige hente og installere programmet Ad-aware. Opdater det straks efter installationen, og inden du kører en scanning med denne. Fjern alt hvad den finder.
Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware

http://www.spywarefri.dk/tipsogtricks.htm#adaware

og kopier en ny log herind, sammen med Aboutbuster loggen
Avatar billede hfeldt Nybegynder
03. august 2004 - 23:04 #19
puh ha.....og så så sent...er det ikke nemmere at formatere HD og geninstallere Windows???
Avatar billede fromsej Praktikant
03. august 2004 - 23:07 #20
Magictouch>>Det tager den ikke.*S*
Følg denne vejledning, den burde snuppe det.

Hent værktøjet About:Buster lavet af Rubber Ducky.
http://tools.zerosrealm.com/AboutBuster.zip
Opret en mappe på dit skrivebord, og pak About:Buster ud i denne mappe.

Hent dette regcleaner Supreme program, som er gratis i en 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Hent og installer denne engangsskanner fra Kaspersky: http://www.mwti.net/antivirus/free_utilities.asp


Enten skal du bruge et program til at få renset ud i Temp mm. eller gøre det manuelt som senere vist.

Hent: http://www.spywarefri.dk/vaerktoj.htm#emptytemp
Og læs manualen til opsætning af programmet her:
http://www.spywarefri.dk/emptytempfolders.manual.htm

Hvis du vælger at bruge programmet, skal du installere og sætte det op med det samme. Jeg vil tilråde at du benytter dette prg. da det kan lave en totalt oprydning på din maskine.


Udskriv denne anvisning, da du skal af Nettet senere.

Når du gjort dette, skal du lade programmerne du lige har hentet ligge lidt, for du skal bruge dem lidt senere.

---------------------------------------------------------------------------------------

Slå nu systemgendannelse fra.
Hvis du ikke ved, hvordan du gør det så kig her:
http://www.spywarefri.dk/virusscannere.htm#alle

---------------------------------------------------------------------------------------

Du skal nu trække netstikket ud af din computer.

Brug "Taskmanager/procesliste" (Ctrl+Alt+Del) til at afslutte følgende processer hvis

du kan finde dem:

C:\WINDOWS\system32\xuibd.dll
C:\WINDOWS\system32\apptm.dll
C:\WINDOWS\system32\apphh.exe
C:\WINDOWS\system32\javarf.exe
C:\WINDOWS\system32\ipmy32.exe
C:\WINDOWS\adddj32.exe
C:\WINDOWS\addyg32.exe
C:\WINDOWS\system32\javann.exe
C:\WINDOWS\system32\mfcnm.exe
C:\WINDOWS\sysik32.exe
C:\WINDOWS\syszq32.exe
C:\WINDOWS\system32\d3qg32.exe
C:\WINDOWS\apiwt32.exe
C:\WINDOWS\sdkvy32.exe
C:\WINDOWS\mfczm.exe
C:\WINDOWS\javaxf.exe
C:\WINDOWS\system32\ntev32.exe
C:\WINDOWS\winha32.exe
C:\WINDOWS\ntvw32.exe
C:\WINDOWS\system32\msrn.exe
C:\WINDOWS\javahj.exe
C:\WINDOWS\ieej.exe
C:\WINDOWS\croc.exe
C:\WINDOWS\system32\sdkbm32.exe
C:\WINDOWS\sysaz.exe
C:\Programmer\SpyKiller\spykiller.exe
C:\WINDOWS\msopt.dll
-------------------------------------------------------------------------------------

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge

ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er

meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at

lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

BEMÆRK: DU MÅ KUN FIXE DEM VI BEDER DIG OM

Fix disse:

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2EF1BCC0-3F79-1A75-DA9B-CD7651147AC9} - C:\WINDOWS\system32\apptm.dll
O4 - HKLM\..\Run: [apphh.exe] C:\WINDOWS\system32\apphh.exe
O4 - HKLM\..\RunOnce: [javarf.exe] C:\WINDOWS\system32\javarf.exe
O4 - HKLM\..\RunOnce: [ipmy32.exe] C:\WINDOWS\system32\ipmy32.exe
O4 - HKLM\..\RunOnce: [adddj32.exe] C:\WINDOWS\adddj32.exe
O4 - HKLM\..\RunOnce: [addyg32.exe] C:\WINDOWS\addyg32.exe
O4 - HKLM\..\RunOnce: [javann.exe] C:\WINDOWS\system32\javann.exe
O4 - HKLM\..\RunOnce: [mfcnm.exe] C:\WINDOWS\system32\mfcnm.exe
O4 - HKLM\..\RunOnce: [sysik32.exe] C:\WINDOWS\sysik32.exe
O4 - HKLM\..\RunOnce: [syszq32.exe] C:\WINDOWS\syszq32.exe
O4 - HKLM\..\RunOnce: [d3qg32.exe] C:\WINDOWS\system32\d3qg32.exe
O4 - HKLM\..\RunOnce: [apiwt32.exe] C:\WINDOWS\apiwt32.exe
O4 - HKLM\..\RunOnce: [sdkvy32.exe] C:\WINDOWS\sdkvy32.exe
O4 - HKLM\..\RunOnce: [mfczm.exe] C:\WINDOWS\mfczm.exe
O4 - HKLM\..\RunOnce: [javaxf.exe] C:\WINDOWS\javaxf.exe
O4 - HKLM\..\RunOnce: [ntev32.exe] C:\WINDOWS\system32\ntev32.exe
O4 - HKLM\..\RunOnce: [winha32.exe] C:\WINDOWS\winha32.exe
O4 - HKLM\..\RunOnce: [ntvw32.exe] C:\WINDOWS\ntvw32.exe
O4 - HKLM\..\RunOnce: [msrn.exe] C:\WINDOWS\system32\msrn.exe
O4 - HKLM\..\RunOnce: [javahj.exe] C:\WINDOWS\javahj.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\ieej.exe
O4 - HKLM\..\RunOnce: [croc.exe] C:\WINDOWS\croc.exe
O4 - HKLM\..\RunOnce: [sdkbm32.exe] C:\WINDOWS\system32\sdkbm32.exe
O4 - HKLM\..\RunOnce: [sysaz.exe] C:\WINDOWS\sysaz.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
---------------------------------------------------------------------------------------


Nu lukker du ALLE vinduer. Find den mappe hvori du lagde About:Buster. Kør programmet - tryk ok til meddelelsen, tryk på start - tast følgende i den hvide boks, hvis programmet beder dig om det (det vil sjældent ske du skal taste denne linje) – res://C:\WINDOWS\system32\xuibd.dll/sp.html#96676
- Kopier den log, som kommer frem i den anden hvide boks. Gem den i notesblok, da du skal bruge den lidt senere.

---------------------------------------------------------------------------------------

Så skal vi lige være sikre på at du kan se alle filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

---------------------------------------------------------------------

Okay nu skal der ryddes op i Temp filer m.m. Du kan enten bruge metoden som vist
herunder, eller bruge EmptyTempFolders. Ved hjælp af manualen, skal du nu slette alt i:
Temp, Temporary Internet Files, Cookies, History og tøm derefter din papirkurv.

Den ”manuelle løsning”
Slet alle filer/mapper i følgende mapper (IKKE hele mappen, KUN alle filer/mapper i mappen)

C:\Windows\Temp\
C:\Documents and Settings\<Din bruger>\Local Settings\Temp\
C:\Documents and Settings\<Alle andre brugere>\Local Settings\Temp\
C:\Documents and Settings\<Din bruger>\Local Settings\Temporary Internet Files\
C:\Documents and Settings\<Alle andre brugere>\Local Settings\Temporary Internet Files\
Tøm din "Papirkurv"
(Gælder kun 2K og XP, i win98 er stierne anderledes)
----------------------------------------------------------------------------------

Så får du lige et lille job. Åbn Notepad/Notesblok du finder det under - Start -

Tilbehør. Kopier det her med fed ind i Notepad/Notesblok:

del C:\WINDOWS\system32\xuibd.dll /f
del C:\WINDOWS\system32\apptm.dll /f
del C:\WINDOWS\system32\apphh.exe /f
del C:\WINDOWS\system32\javarf.exe /f
del C:\WINDOWS\system32\ipmy32.exe /f
del C:\WINDOWS\adddj32.exe /f
del C:\WINDOWS\addyg32.exe /f
del C:\WINDOWS\system32\javann.exe /f
del C:\WINDOWS\system32\mfcnm.exe /f
del C:\WINDOWS\sysik32.exe /f
del C:\WINDOWS\syszq32.exe /f
del C:\WINDOWS\system32\d3qg32.exe /f
del C:\WINDOWS\apiwt32.exe /f
del C:\WINDOWS\sdkvy32.exe /f
del C:\WINDOWS\mfczm.exe /f
del C:\WINDOWS\javaxf.exe /f
del C:\WINDOWS\system32\ntev32.exe /f
del C:\WINDOWS\winha32.exe /f
del C:\WINDOWS\ntvw32.exe /f
del C:\WINDOWS\system32\msrn.exe /f
del C:\WINDOWS\javahj.exe /f
del C:\WINDOWS\ieej.exe /f
del C:\WINDOWS\croc.exe /f
del C:\WINDOWS\system32\sdkbm32.exe /f
del C:\WINDOWS\sysaz.exe /f
del C:\Programmer\SpyKiller\spykiller.exe /f
del C:\WINDOWS\msopt.dll /f


Gem filen som: clear.bat
I filtypen skal der stå ”Alle filer”
Klik derefter på gem.

Lukke ALLE vinduer - dobbeltklik på filen clear.bat - det kan du roligt gøre et par gange.

For en sikkerheds skyld skal du bagefter, tjekke om disse filer er blevet slettet. Hvis
de ikke er, prøv da at slette dem manuelt. Hvis du ikke kan slette dem, og der opstår
fejl, prøv da at trykke ”ctrl+alt+del” og afslut dem i ”Taskmanager” og prøv så at
slette dem.

---------------------------------------------------------------------------
Kør HijackThis igen og se om de ting du lige har slettet er kommet igen. Hvis de er kommet igen, marker da disse filer igen ligesom før og fix dem, og kør About:Buster  igen (At gøre dette to gange er ikke ualmindeligt).

Kør så Regsupreme som du har hentet tidligere og fix/fjern det den finder

Bagefter kører du så engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.

Og følg det råd her med at få lagt den adresse i klassificeret zone og evt også i firewall http://www.spywarefri.dk/virus.htm#snedig

Hent denne fil her, og gem den i C\Windows\System32 : http://home8.inet.tele.dk/fbj/SHELL.DLL

Genstart (<----Dette skulle gerne være din første genstart efter vi startede)

Kør en ny scanning med Hijackthis, og kopier en frisk log herind.


--------------------------------------------------------------------------------
Avatar billede wannadoo Nybegynder
04. august 2004 - 21:12 #21
fromsej:
Tak for din opbagning, vedr. kommentaren "03/08-2004 23:00:28". Jeg er begyndt at interessere mig for IT-sikkerhed, og har derfor meget at lære *gg* :)
Men da der ikke var andre, der havde tid på daværende tidspunkt, hoppede jeg ud i det. For jeg er egentlig glad for du overtog :) For ja, den var slem.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 21:08 Hvor kan man se Alan Turings mekaniske apparat til at løse Enignas koder Af KurtG i Andet hardware
I går 18:46 Kan det passe ;-) Af fjorbak i Routere & Switches
I går 15:27 Billeder kan ikke åbnes Jpeg.modd Af KristinaS i Billedbehandling
I går 13:44 eM Client Af valby i E-mail programmer
I går 13:33 Facebook gruppe Af Btimmer i Sociale medier
White papers
Flere white papers »


Premium
Teaser billede
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?
Læs mere »
Europas største software-leverandør stryger frem på cloud-fronten – men 97 procent af overskuddet er forduftet
Frustrerede synshaller og billister: Motorstyrelsens it-system plages af store driftsforstyrrelser
Fire år gamle Wiz takker nej til Alphabets historiske opkøbstilbud på 160 milliarder kroner: Satser i stedet på børsnotering
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Peter Lüth udlever CTO-drømmen: Bygger et system fra bunden og tjener kassen på det
Sådan forbereder energiselskabet OK sig på cyberangreb: "Prisen for ikke at gøre noget kan være forfærdeligt høj"
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Læs mere »
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Sådan høster du forretningsfordelene ved Internet of Things
Sådan: Sikker, hurtig og fleksibel storage til dine kritiske data
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »