Hjælp mig med Hijackthis.log

Okay, jeg checker din log.

Har du nogle særlige/specielle problemer pt. ??

Ja der kommer mange popup kasse som jeg skal svare på
om ændring af start side

og der kommer besked om at er indstalleret nye programmer i ved opstart
og jeg har ikke lagt nye programmer ind.

Beskyttelse i fremtiden mod pop-ups:



Download freeware (gratis) programet; Bayden PopupPopper. Det er ekstremt let at bruge!

Du kan finde det her: http://www.spywarefri.dk/vaerktoj.htm  --- 3. nederst ud af alle de forskellige værktøjer

---------

- Jeg vender tilbage om 10-25 minutter ang. din log file

Åben HijackThis og placere et ’kryds’ i boxen uden for flg. filer:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank  <-- SKAL FINDES!!

Hvis du ikke genkender R1’eren herunder, så sæt også HijackThis til, at checke denne ;-)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Mogens\LOKALE~1\Temp\sp.html

Luk alle browers og vinduer (inc. denne), og tryk ’fix checked’

Installere den nye version af ‘HijackThis’ – kan findes her: http://www.spywarefri.dk/vaerktoj.htm (rul et godt stykke ned af listen) – husk den skal have din egen mappe ;-)

Genstart, og kom med en ny log ;)

------------------

Ved du hvad dette er?
O4 - HKLM\..\Run: [mwavscan] "C:\DOCUME~1\Mogens\LOKALE~1\Temp\mwavscan.com" /s

Tak jeg går igang
jeg kender ikke den 04- hklm som du spøger om

Det hjælper ikke
de kommer tilbage med det samme selv om jeg har slettet dem.

->mosskov du skulle jo lægge den nye log til spywarewarrior så han kan rense den
mwavscan<-er det ikke scanner fra kaspersky?

"de kommer tilbage med det samme selv om jeg har slettet dem."

Vi prøver lige at tage dem med CWshredder så - Men kan du ikke lige først komme med en nye log?

HUSK: at lukke SAMTLIGE brower (internet sider) og vinduer ned inden du trykker "Fix checked" <--- Ellers er det ikke sikkert at HijackThis (HJT) kan slette dem!

----------------------
mwavscan <-er det ikke scanner fra kaspersky?

Ja, det kunne godt tyde på det... Takker ;-)

->mosskov->Desværre så ved spywarewarrior ikke hvad han har med at gøre her.
->Dannyboyd->Desværre så ved spywarewarrior ikke hvad han har med at gøre her. ;O)
->spywarewarrior->Du aner ikke hvad du roder med her. Du griber det totalt forkert an. Du vil aldrig få renset den log, med de værktøjer du bruger eller rettere prøver dig frem med.
Og når du ikke engang kan genkende mwavscan, så er det tilbage til læsebøgerne et par måneder endnu......

andersenph du skal der være velkommen til at tage over, hvis du mener at du kan gøre det bedre :-)

->spywarewarrior, selvfølgelig er andersenph bedre - Du er ikke opmærksom på de filer som ligger i temp mappen og har endnu ikke fundet de filer som er vigtige at få slettet i denne log - desuden det som bør fjernes i registreringsdatabasen.

->mosskov-> Vi starter lige forfra.
Jeg skal være den første til at beklage dette lille intermezzo.
http://danborg.org/spy/HJT/hijackthis.exe
Hent den nyeste version af Hijackthis og kom med en ny log.
Så tager vi den derfra....

Undskyld jeg først kommer tilbage nu men jeg er selvstændig med egen lille forretning så arbejds dagen bliver som regel lang.
men her er min log
Logfile of HijackThis v1.98.2
Scan saved at 20:16:13, on 22-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\FSScrCtl.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mogens\Dokumenter\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Mogens\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Mogens\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tdconline.dk/start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Mogens\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Mogens\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {EB4F3982-D2BB-4368-B753-65687EEC8DE7} - C:\WINDOWS\System32\jdbjgp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mwavscan] "C:\DOCUME~1\Mogens\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.tdconline.dk/start
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/html/activex/danskesikker/BG/DanskeSikker.cab
O18 - Filter: text/html - {90B0B533-AF41-48EE-AC2F-09416156A8EB} - C:\WINDOWS\System32\jdbjgp.dll
O18 - Filter: text/plain - {90B0B533-AF41-48EE-AC2F-09416156A8EB} - C:\WINDOWS\System32\jdbjgp.dll

Du får lige lidt mere at gøre:

1. Hent dette lille værktøj fra Option^explicit:

http://download.broadbandmedic.com/DllCompare.exe

2. Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

3. Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

4. Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind i din næste kommentar

Her er min nye log
*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\comlcil.dll    Tue 22 Jun 2004  0.21.02  ....R        57.344    56,00 K
________________________________________________

1.221 items found:  1.221 files, 0 directories.
Total of file sizes:  231.862.420 bytes    221,12 M

Administrator Account =  True

--------------------End log---------------------

Hent disse programmer:
https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix (Samme som nedenstående)
http://www.rokop-security.de/main/download.php?op=getit&lid=59(Samme som ovenstående)
http://danborg.org/spy/CWS/cwshredder.exe
Pak zipfilerne ud i hver sin mappe.

VIGTIGT!!!
Klik så på det røde SG ovre ved uret, så spywareguard åbner, vælg Options og fjern alle tre flueben, vælg Save settings og luk Spywareguard igen.

Kør først Fixagent, derefter sphjfix.exe-filen her skal du klikke på knappen: Desinfektion starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.
Herefter køres CWShredder, da den lige skal fjerne en enkelt registrering, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp. Skal du også slette dem.

Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.


Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. http://www.spywarefri.dk/virusscannere.htm#alle

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Mogens\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Mogens\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Mogens\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Mogens\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {EB4F3982-D2BB-4368-B753-65687EEC8DE7} - C:\WINDOWS\System32\jdbjgp.dll
O18 - Filter: text/html - {90B0B533-AF41-48EE-AC2F-09416156A8EB} - C:\WINDOWS\System32\jdbjgp.dll
O18 - Filter: text/plain - {90B0B533-AF41-48EE-AC2F-09416156A8EB} - C:\WINDOWS\System32\jdbjgp.dll
-------------------------------------------------------------------
For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i fejlsikret tilstand søg og slet:
C:\WINDOWS\System32\jdbjgp.dll
C:\WINDOWS\SYSTEM32\comlcil.dll   
C:\DOCUME~1\Mogens\LOKALE~1\Temp\ - Tøm alt i mappen Temp, og derefter skal du tømme din papirkurv.

Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Genstart, og kopier en ny log herind.

Her er en ny log
Jeg kan ikke forstå at mwavscan ikke er væk?

Logfile of HijackThis v1.98.2
Scan saved at 22:34:26, on 23-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Documents and Settings\Mogens\Dokumenter\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Mogens\Dokumenter\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tdconline.dk/start
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mwavscan] "C:\DOCUME~1\Mogens\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.tdconline.dk/start
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/html/activex/danskesikker/BG/DanskeSikker.cab

Mwawscan er i din log fordi du har trykket "add to startup", da du kørte programmet i sin tid. Det er ikke noget at være urolig for. Vil du ikke have den der, så kan du blot fixe linien i HiJackThis.
Din log ser ud til at være ren, men vent lige til andersenph eller fromsej erklærer den ren.
(Teknikken der er brugt her er ny for mig, så jeg ved ikke om der er flere steps du skal igennem)

Puhh, det lykkedes trods den uheldige start.
Mwavscan har Tonnybrandt svaret på, hvis du vil have den væk, fixer du bare denne linie med Hijackthis:
O4 - HKLM\..\Run: [mwavscan] "C:\DOCUME~1\Mogens\LOKALE~1\Temp\mwavscan.com" /s

Så er din log ren, du skal lige deaktivere systemgendannelse, genstarte og genaktivere den samt sætte filvisning til normal.
http://spywarefri.dk/virusscannere.htm#alle - Systemgendannelse
Vi har skrevet et par artikler om sikkerhed på nettet.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.

Jeg takker for hjælpen
og giver med glæde fromsej Point

Velbekomme, tak for point. :o)