Avatar billede lasselakken Nybegynder
31. oktober 2004 - 11:10 Der er 74 kommentarer og
2 løsninger

IE hijack - hijackthis log

Hej

Der er noget der hele tiden forsøger at ændre min startside i IE. Her kommer min hijackthis-log. Håber nogen kan hjælpe...


-------------------------
Logfile of HijackThis v1.98.2
Scan saved at 11:06:18, on 31-10-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\M-Audio USB Quattro\Install\QuatInst.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\M-Audio USB Quattro\QuatTask.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Lakken\Desktop\Hijack This\hijackthis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DIAGENT] C:\Program Files\Creative\SBLive\Creative Diagnostics 2.0\DIAGENT.EXE startup
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: M-Audio Quattro Control Panel Launcher.lnk = C:\Program Files\M-Audio USB Quattro\QuatTask.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094034506750
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede forevernewbie Nybegynder
31. oktober 2004 - 11:48 #1
Der er ikke meget at komme efter i den log. Fix disse
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=Userinit.exe,

Og Prøv at køre CWShredder http://www.intermute.com/spysubtract/cwshredder_download.html, og se om det hjælper ;)
Avatar billede lasselakken Nybegynder
31. oktober 2004 - 12:03 #2
Hej

Tak for det hurtige svar. Men det løste desværre ikke mit problem...  Jeg bruger Spywareguard og den bliver ved med at komme op og sige at et program forsøger at ændre min startside til about:blank. Og lige meget hvad jeg sætter startsiden til så starter den op på denne her side http://a-search.biz/?wmid=3301  som indeholder links til spyware-removal tools og alt det fis der...

Andre forslag??
Avatar billede forevernewbie Nybegynder
31. oktober 2004 - 12:19 #3
Jep, prøv at genstarte, og smid en ny log ind. Så kan det være at den kommer frem i lyset ;)
Avatar billede lasselakken Nybegynder
31. oktober 2004 - 12:25 #4
ok - her er loggen efter genstart:

----------------------------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 12:23:56, on 31-10-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\M-Audio USB Quattro\Install\QuatInst.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\M-Audio USB Quattro\QuatTask.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Lakken\Desktop\Hijack This\hijackthis.exe
C:\WINDOWS\System32\wuauclt.exe

F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DIAGENT] C:\Program Files\Creative\SBLive\Creative Diagnostics 2.0\DIAGENT.EXE startup
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: M-Audio Quattro Control Panel Launcher.lnk = C:\Program Files\M-Audio USB Quattro\QuatTask.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094034506750
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede forevernewbie Nybegynder
31. oktober 2004 - 12:37 #5
Hmm, det var pokkers ;( hvor er den s....... Prøv at hente About Buster her http://tools.zerosrealm.com/AboutBuster.zip Pak den ud til sin egen mappe, og kør den to gange

Fix den her i fejlsikret (tryk f8 flere gange under opstart)

F2 - REG:system.ini: UserInit=Userinit.exe,

Jeg bliver desværre nødt til at gå offline. Hvis ikke der kommer andre forbi, der kan hjælpe dig, er jeg tilbage om et par timer :)
Avatar billede lasselakken Nybegynder
31. oktober 2004 - 12:41 #6
helt ok - jeg er også på vej ud og når ikke at gøre mere før i morgen aften... men jeg skriver når jeg er kommet videre.
Tak for hjælpen indtil nu!
Avatar billede forevernewbie Nybegynder
31. oktober 2004 - 12:43 #7
Ok, jeg prøver så lige at finde ud af noget mere om den infektion
Avatar billede fromsej Praktikant
31. oktober 2004 - 13:18 #8
Avatar billede forevernewbie Nybegynder
31. oktober 2004 - 13:59 #9
Mødet aflyst, så jeg er tilbage igen ;) Fromsej-> Jeg har læst fixet igennem, og forstår det godt. Jeg tror dog, at jeg ikke skal begive mig ud i det endnu. Det vil nok være bedre at kigge den store mester over skulderen, nogle gange først. Så hvis du har tid, og lyst til at køre fixet, så vil jeg kigge med fra sidelinien :) Brugeren er jo først på igen, i morgen aften, så det haster jo ikke ;)
Avatar billede fromsej Praktikant
31. oktober 2004 - 15:45 #10
Vi prøver så.*S*
1. Det første du skal gøre er at hente Servicefilter her:
http://home.comcast.net/~rand1038/vbscript/ServiceFilter099.zip

Pak zipfilen ud i C:\getservice åbn mappen du pakkede den ud i, og dobbeltklik på Servicefilter.vbs , der kommer en logfil ud af det, denne logfil kopierer du herind i dit næste indlæg.
Mens vi prøver at rense din PC må du ikke genstarte den.
Avatar billede forevernewbie Nybegynder
01. november 2004 - 02:22 #11
Linket til getservices virker ikke. Det her gør http://www.bleepingcomputer.com/files/getservice.php
Avatar billede tonnybrandt Nybegynder
01. november 2004 - 08:57 #12
Prøv dette link istedet:
http://home.comcast.net/~rand1038/vbscript/ServiceFilter.zip

forevernewbie > Det skal helst være den fra comcast, idet den selv filtrerer de almindelige services fra, så der kun er det tilbage som ikke umiddelbart kan identificeres. Så slipper vi for en alenlang liste, der er svær at læse igennem *s*
Avatar billede forevernewbie Nybegynder
01. november 2004 - 11:27 #13
Tonnybrandt-> Tak for det. Så kan vi forhåbentligt finde noget. Jeg har en mistanke om at det kan være en af de varianter, der bliver skjult af hackerdefender, eller lignende. Vi får se :)
Avatar billede lasselakken Nybegynder
01. november 2004 - 22:38 #14
Hey - så er jeg tilbage! Her er loggen fra getservice - jeg hentede det på linket fra tonnybrandt. Da jeg kørte programmet brokkede min norton antivirus sig, men jeg gik ud fra at det var norton der fejlagtigt troede at det var en virus så jeg bad den om at ignorere...

Her kommer loggen

-------------------------------------------------------
The script did not recognize the services listed below.
This does not mean they are a problem.

Please post everything below the row of # signs
and nothing from above it.

Thank You
################################################################################

ServiceFilter 1.0
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 1
nov 1, 2004 22:36:12

Service Name: QuattroInstallerService
Display Name: Quattro Installer
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\program files\m-audio usb quattro\install\quatinst.exe
State: Running
Process ID: 1652
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Manages software-based volume shadow copies ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{0340b117-de8f-4d04-b881-04c4840a6baa}
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False


Script Execution Time: 51,45313 seconds.
Avatar billede lasselakken Nybegynder
01. november 2004 - 22:48 #15
Det første den nævner (QuattroInstallerService) er noget med mit lydkorts drivere...
Avatar billede forevernewbie Nybegynder
01. november 2004 - 23:00 #16
Den anden er også legal (med mindre Fromsej protesterer;)

Prøv lige at hente dette værktøj hos Symantec. Læs vejledningen, og kør det. Kør CWShredder bagefter http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html
Avatar billede forevernewbie Nybegynder
01. november 2004 - 23:05 #17
Og hiv stikket til internetforbindelsen ud imens. Tøm Temporary internet files
Avatar billede lasselakken Nybegynder
01. november 2004 - 23:25 #18
Hey - den fandt ingenting - heller ikke CWShredder... jeg havde dog ikke nået at tømme temporary internet files - gør det noget??

----------------------------------
Symantec Backdoor.Agent.B Removal Tool 1.0.1.2


C:\System Volume Information: (not scanned)
Backdoor.Agent.B has not been found on your computer.
Avatar billede forevernewbie Nybegynder
01. november 2004 - 23:40 #19
Hmm, prøv en gang at lade Spywareguard ændre startsiden, og kør HijackThis igen, og se om der kommer noget mere frem. Hvis der gør, så smid lige loggen ind ;)
Avatar billede forevernewbie Nybegynder
01. november 2004 - 23:41 #20
Du skal lige genstarte inden du køre HijackThis
Avatar billede lasselakken Nybegynder
01. november 2004 - 23:49 #21
hey - så prøvede jeg det...  Det der med at give spywareguard lov til at ændre siden kunne jeg ikke. For på et tidspunkt er den stoppet med at advare. Jeg har skrevet en startside ind i internet options, men den bliver bare helt automatisk skiftet til den uønskede startside nu.

Men jeg har genstartet og kørt hijackthis - her kommer loggen:

-----------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 23:46:46, on 01-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\M-Audio USB Quattro\Install\QuatInst.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\M-Audio USB Quattro\QuatTask.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Lakken\Desktop\Hijack This\hijackthis.exe
C:\WINDOWS\System32\wuauclt.exe

F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DIAGENT] C:\Program Files\Creative\SBLive\Creative Diagnostics 2.0\DIAGENT.EXE startup
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: M-Audio Quattro Control Panel Launcher.lnk = C:\Program Files\M-Audio USB Quattro\QuatTask.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094034506750
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede forevernewbie Nybegynder
02. november 2004 - 00:05 #22
Fixede du den her i fejlsikret tidligere ? Ellers gør det igen

F2 - REG:system.ini: UserInit=Userinit.exe,

Prøvede du About Buster før, ellers prøv at køre den http://tools.zerosrealm.com/AboutBuster.zip Pak den ud til sin egen mappe, og kør den to gange.

Bagefter skal du en tur i regedit, vender tilbage med det ;)
Avatar billede forevernewbie Nybegynder
02. november 2004 - 00:35 #23
Jeg er ved at gå til køjs, men jeg har samlet lidt sammen, så vi kan køre videre i morgen;)
Avatar billede lasselakken Nybegynder
02. november 2004 - 00:37 #24
Shit - den post havde jeg helt glemt. Nu har jeg gjort begge dele - loggen fra About Buster er nedenfor (ser ikke ud til at den rigtig fandt noget..). Min startside bliver stadig tvunget.
Jeg er klar på instruktioner ifm. regedit...  Og endnu en gang mange, mange tak for hjælpen!!

--------------------------------------------------
Scanned at: 00:21:58  on: 02-11-2004


-- Scan 1 ---------------------------
About:Buster Version 3.0
Reference List : 15

No ADS found on system
Removed 4 Random Key Entries
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 3.0
Reference List : 15

No ADS found on system
Removed 4 Random Key Entries
Attempted Clean Of Temp folder.
Pages Reset... Done!






Scanned at: 00:31:02  on: 02-11-2004


-- Scan 1 ---------------------------
About:Buster Version 3.0
Reference List : 15

No ADS found on system
Removed 4 Random Key Entries
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 3.0
Reference List : 15

No ADS found on system
Removed 4 Random Key Entries
Attempted Clean Of Temp folder.
Pages Reset... Done!
Avatar billede forevernewbie Nybegynder
02. november 2004 - 00:45 #25
Jeg har godt nok aldrig været ude for sådan en skjult én før. Ok, here goes

Klik på Start gå i - Kør - skriv: regedit - tast enter
Du får et vindue der er lidt ligesom stifinder.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. slet filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Jeg venter lige på din tilbagemelding, og vender så tilbage i morgen. Jeg har fundet lidt mere der kan prøves ;)
Avatar billede lasselakken Nybegynder
02. november 2004 - 00:52 #26
Jeg fandt kun en enkelt about:blank - efter jeg slettede den bliver spywareguard ved med at gøre mig opmærksom på at startsiden er ændret.
Avatar billede forevernewbie Nybegynder
02. november 2004 - 00:59 #27
About Buster slettede også fire nøgler. Lad os lige prøve det her. Jeg har tilladt mig at "låne" den her hos Spywarefri, håber at det er ok med dem ;)

1. Hent dette lille værktøj fra Option^explicit:

http://download.broadbandmedic.com/DllCompare.exe

2. Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

3. Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

4. Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind i dit næste svar.

Fromsej-> du sidder helt sikkert i "fynland" og følger med her;) En hjælpende hånd vil være meget velkommen, for jeg er efterhånden ved at være blank
Avatar billede tonnybrandt Nybegynder
02. november 2004 - 01:03 #28
fromsej er gået i seng for flere timer siden, desværre. Jeg følger dog med, men er ligesom du lidt tabt :(

lasselakken>
Hvad er det her for noget ?
O4 - Startup: M-Audio Quattro Control Panel Launcher.lnk = C:\Program Files\M-Audio USB Quattro\QuatTask.exe
Avatar billede lasselakken Nybegynder
02. november 2004 - 01:08 #29
når jeg trykker Run Locate.com får jeg følgende fejlmeddelelse:
16 bit MS-DOS Subsystem
C:\DOCUME~1\Lakken\Desktop\locate.com
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT. The system file is not suitable for running MS-DOS and Microsoft Windows applications.

og så kan jeg vælge Close eller Ignore. Men den vil ikke køre Compare bagefter...
Avatar billede lasselakken Nybegynder
02. november 2004 - 01:11 #30
tonnybrandt>
Jeg går ud fra at det har noget at gøre med mit lydkort som er et M-audio Quattro. Jeg tror bare det er lydkortets control panel som starter op med windows...
Avatar billede forevernewbie Nybegynder
02. november 2004 - 01:13 #31
Tonnybrandt-> Godt du er med ;)  Hmm, så det er nok en f0r0r, der skal tages fra DOS. Jeg vender tilbage
Avatar billede tonnybrandt Nybegynder
02. november 2004 - 01:21 #32
16 bit MS-DOS Subsystem fejlen, fjerner du ved at kopiere c:\windows\repair\autoexec.nt til c:\windows\system32
Avatar billede lasselakken Nybegynder
02. november 2004 - 01:25 #33
jeps - så virkede det. Her er loggen:

-----------------------------------------
*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\tgbrfv_5.dll  Tue  2 Nov 2004  0.33.42  A..H.        73.728    72,00 K
________________________________________________

1.310 items found:  1.310 files (1 H/S), 0 directories.
Total of file sizes:  255.407.385 bytes    243,57 M

Administrator Account =  True

--------------------End log---------------------
Avatar billede tonnybrandt Nybegynder
02. november 2004 - 01:36 #34
Hent dette værktøj fra TrendMicro:

https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip

Pak det ud til dit Skrivebord, så du kan finde det igen. Kør programmet (programmet vil genstarte din computer for at få slettet filen).

Når du er tilbage online, så check igen om det har virket
Avatar billede forevernewbie Nybegynder
02. november 2004 - 01:43 #35
Det er en searh.biz/?wmid1010. Kaspersky skulle kunne snuppe den ;) Hent den her scanner, og aktiver alt inde i opsætningen, og scan med den i fejlsikret. http://www.spywareinfo.dk/download/mwav.exe
Avatar billede lasselakken Nybegynder
02. november 2004 - 01:44 #36
TrendMicro-værktøjet løste ikke problemet. Vil straks prøve Kaspersky...
Avatar billede forevernewbie Nybegynder
02. november 2004 - 01:51 #37
Nu går jeg altså i seng, scanneren kan tage op til flere timer ;) Håber at den napper den, Ellers prøver vi manuelt i morgen :)
Avatar billede lasselakken Nybegynder
02. november 2004 - 09:17 #38
Godmorgen!
Hmmm, den snuppede nogle ting,men problemet er stadig ikke løst :-( Det første jeg blev mødt med da jeg genstartede i normal mode var en advarsel fra spywareguarden.
Avatar billede forevernewbie Nybegynder
02. november 2004 - 14:12 #39
Hej igen :)

Prøv lige at lægge det som scanneren fandt, herind. Ikke hele den lange log, men kun det den fandt, tak ;)

Prøv også at slå Spywareguards beskyttelse af startsiden, helt fra, lad den ændre startside. Luk helt for Spywareguard om nødvendigt, genstart, og en ny HijackThis log.
Avatar billede lasselakken Nybegynder
02. november 2004 - 14:34 #40
Jeg ved ikke helt om det var denne her del af loggen du gerne ville have. Jeg prøvede at finde de rapporter om fejl som kommer løbende i loggen - men loggen er så lang så det ville tage mig meget lang tid at gå det hele igennem... synes ikke jeg kunne se noget sted hvor fejlene står samlet...
Jeg genstarter lige om lidt og sender ny hijackthis-log.

--------------------------------------------
Tue Nov 02 03:36:46 2004 => ***** Scanning complete. *****

Tue Nov 02 03:36:46 2004 => Total Number of Files Scanned: 108307
Tue Nov 02 03:36:46 2004 => Total Number of Virus(es) Found: 36
Tue Nov 02 03:36:46 2004 => Total Number of Disinfected Files: 0
Tue Nov 02 03:36:46 2004 => Total Number of Files Renamed: 0
Tue Nov 02 03:36:46 2004 => Total Number of Deleted Files: 6
Tue Nov 02 03:36:46 2004 => Total Number of Errors: 2
Tue Nov 02 03:36:46 2004 => Time Elapsed: 01:47:25
Tue Nov 02 03:36:46 2004 => Virus Database Date: 2004/10/24
Tue Nov 02 03:36:46 2004 => Virus Database Count: 107296

Tue Nov 02 03:36:46 2004 => Scan Completed.
Avatar billede lasselakken Nybegynder
02. november 2004 - 14:39 #41
hijackthis-log her:

------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 14:38:19, on 02-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\M-Audio USB Quattro\Install\QuatInst.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\M-Audio USB Quattro\QuatTask.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Documents and Settings\Lakken\Desktop\Hijack This\hijackthis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DIAGENT] C:\Program Files\Creative\SBLive\Creative Diagnostics 2.0\DIAGENT.EXE startup
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: M-Audio Quattro Control Panel Launcher.lnk = C:\Program Files\M-Audio USB Quattro\QuatTask.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094034506750
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede forevernewbie Nybegynder
02. november 2004 - 17:26 #42
Prøv lige det her. Jeg har ikke de store forhåbninger, men lad os lige prøve ;)


Hent Spybot her http://www.safer-networking.org/en/mirrors/index.html scan, og afhjælp problemer

Hent lige CCleaner her http://www.ccleaner.com/download112.php Den skal køres senere.

Så kører du denne procedure igen

Klik på Start gå i - Kør - skriv: regedit - tast enter
Du får et vindue der er lidt ligesom stifinder.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. slet filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.


Start op i fejlsikret


-------------------------------------------------------------------

Luk alle andre vinduer end Hijack This, og sæt flueben ved disse linier:

F2 - REG:system.ini: UserInit=Userinit.exe,


Klik "fix checked"
-------------------------------------------------------------------

For at du kan finde skjulte filer og mapper, gør du dette:

Åbn en tilfældig mappe, klik på -> Funktioner-> Mappeindstillinger-> Vis.
Fjern flueben ved ->"Skjul beskyttede operativsystemfiler".
Fjern flueben ved ->"Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse filer og/eller mapper slettes i fejlsikret tilstand


Mapper:



Filer: tgbrfv_5.dll


-------------------------------------------------------------------
Nu åbner du CCleaner

Fanebladet "applications", sæt flueben ved alt. Derefter fanebladet "Windows", her bruger du de indstillinger
der er flueben ved i forvejen. Klik "run cleaner". Derefter
går du fanebladet "issues", og sætter flueben ved alt, og derefter klikker du "scan for issues". Kør den flere
gange, til den ikke finder mere.

-------------------------------------------------------------------
Så kører du About Buster, CWShredder, og E-scan igen
-------------------------------------------------------------------
Genstart computeren i normal tilstand, og læg venligst en ny log ind til tjek :)

Så krydser vi fingre ;)
Avatar billede fromsej Praktikant
02. november 2004 - 20:39 #43
Hmm, den er sq sejlivet.
Jeg er med endnu, men i gør et godt job gutter.*S*
Avatar billede forevernewbie Nybegynder
02. november 2004 - 20:53 #44
Tak *s* Jeg har prøvet at finde noget om den. Det lader til at den kun er ca. en uge eller to, gammel. Der ligger flere logs med den, som ikke er løst. Der er forhåbentlig et fix på vej
Avatar billede lasselakken Nybegynder
02. november 2004 - 22:18 #45
Hej igen!
Ja, den er sgu ikke sådan at få bugt med. Jeg har fulgt hele instruktionen ovenfor - kunne dog ikke finde den der tgbrfv_5.dll. Men ellers er det hele gjort - dog uden held...

Her kommer hijackthis-loggen

------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 22:14:03, on 02-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\M-Audio USB Quattro\Install\QuatInst.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\M-Audio USB Quattro\QuatTask.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Documents and Settings\Lakken\Desktop\Hijack This\hijackthis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DIAGENT] C:\Program Files\Creative\SBLive\Creative Diagnostics 2.0\DIAGENT.EXE startup
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: M-Audio Quattro Control Panel Launcher.lnk = C:\Program Files\M-Audio USB Quattro\QuatTask.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094034506750
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede forevernewbie Nybegynder
03. november 2004 - 06:19 #46
Jeg har ikke flere ideer. Du bliver desværre nok nødt til at formatere :-(, medmindre Fromsej har noget i ærmet, og vil prøve at give den et "skud"
Avatar billede lasselakken Nybegynder
03. november 2004 - 11:01 #47
Hmmm, det ville godt nok passe mig rigtig dårligt at formatere lige nu..  Du snakkede om, at der også var nogle andre der arbejdede med problemet. Tror du måske der er en chance for at de kommer op med noget??
Avatar billede forevernewbie Nybegynder
03. november 2004 - 11:22 #48
Det er der da, og der er gang i noget, men hvornår der kommer et rigtigt "fix" er ikke til at vide. Denne her er ualmindelig skjult, så det kan måske tage noget tid. Imens vi venter på, om Fromsej kan hive noget op af hatten, så arbejder jeg videre med det.
Avatar billede lasselakken Nybegynder
03. november 2004 - 11:36 #49
Ok - jeg venter og ser. Problemet er jo heller ikke særlig stort. Det er bare irriterende at jeg ikke selv kan vælge startsiden. Men derudover generer det mig ikke - jeg ved dog selvfølgelig ikke hvad det ellers kan finde på at udrette af skade :-(

Men lad mig endelig høre hvis du støder på noget... 
Mange tak for hjælpen indtil nu!
Avatar billede forevernewbie Nybegynder
03. november 2004 - 11:44 #50
Jeg følger udviklingen hele tiden, og vender tilbage så snart der er noget der kan bruges
Avatar billede tonnybrandt Nybegynder
03. november 2004 - 19:27 #51
Jeg har fundet dette fix, men aner ikke om det virker, men jeg synes det er værd at prøve:

Download denne "Security task manager" (30 dages trial): http://www.neuber.com/taskmanager/
Installer den og kør den.
Kig så efter om du kan finde tgbrfv_5.dll  i vinduet. Finder du den, så højreklik den og vælg fjern.
Den ryger nu over i Karantæne.

Hvis du genstarter maskinen skulle du nu kunne se den i Security task manager'en som "userinit / TGBRFV_5" med status fil missing.

Åbn så hijackthis, og slet en linie der ser sådan ud:
F2 - REG:system.ini: UserInit=Userinit.exe, / TGBRFV_5.dll

Åbn så Security task manager'en og slet filen fra Karantæne.

Slut procedure.
Avatar billede lasselakken Nybegynder
03. november 2004 - 19:52 #52
Jeps! Det virkede sgu! Jeg satte tgbrfv_5.dll i karantæne i security task manageren, genstartede og kørte Hijackthis. Der fik jeg så nedenstående log og slettede de to poster, der starter med R0 - genstartede og så var det hele godt!

Mange tak for hjælpen.


-----------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 19:44:19, on 03-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\M-Audio USB Quattro\Install\QuatInst.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\M-Audio USB Quattro\QuatTask.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Security Task Manager\TaskMan.exe
C:\Documents and Settings\Lakken\Desktop\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://a-search.biz?wmid=3301
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://a-search.biz?wmid=3301
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DIAGENT] C:\Program Files\Creative\SBLive\Creative Diagnostics 2.0\DIAGENT.EXE startup
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: M-Audio Quattro Control Panel Launcher.lnk = C:\Program Files\M-Audio USB Quattro\QuatTask.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094034506750
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede forevernewbie Nybegynder
03. november 2004 - 19:58 #53
Det var da godt. Fix disse, og genstart

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://a-search.biz?wmid=3301
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://a-search.biz?wmid=3301
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

Og smid lige en ny log ind, så vi kan se at den er helt væk ;)
Avatar billede tonnybrandt Nybegynder
03. november 2004 - 20:01 #54
Bingo :)
Avatar billede forevernewbie Nybegynder
03. november 2004 - 20:04 #55
Jep, og lad os håbe at den bliver væk ;)
Avatar billede lasselakken Nybegynder
03. november 2004 - 20:11 #56
Det ser rigtig fint ud. Dejligt at have kontrol over sin egen startside igen :-)


------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 20:09:50, on 03-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\M-Audio USB Quattro\Install\QuatInst.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\M-Audio USB Quattro\QuatTask.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Lakken\Desktop\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DIAGENT] C:\Program Files\Creative\SBLive\Creative Diagnostics 2.0\DIAGENT.EXE startup
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: M-Audio Quattro Control Panel Launcher.lnk = C:\Program Files\M-Audio USB Quattro\QuatTask.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094034506750
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede lasselakken Nybegynder
03. november 2004 - 20:13 #57
Forresten: jeg overvejer at installere SP2 - er det en god ide og er der nogle specielle ting jeg skal være opmærksom på?
Avatar billede forevernewbie Nybegynder
03. november 2004 - 20:18 #58
Ja, det ser sørme ud til at bæstet er væk. Lad os dog lige holde tråden åben et par dage, hvis den skulle dukke op igen.

Btw, jeg har lige fundet et andet fix, hvis den skulle komme igen;)

SP2 er en god ide, computeren skal være ren når du installerer det, og det er den tilsyneladende nu :)

Det må være point til Tonnybrandt her ;))
Avatar billede tonnybrandt Nybegynder
03. november 2004 - 20:22 #59
Jeg springer over point her.
Din arbejdsindsats er imponerende og den skal belønnes efter min mening :)

Du har jo også hjulpet mig et par gange, så det kan jo gå lige op *s*
Avatar billede forevernewbie Nybegynder
03. november 2004 - 20:26 #60
Hmm, du har da brugt noget tid på at finde det fix, og hvis der er nogen der knokler her på sikkerhed, så er det dig, så smid nu det svar ;)
Avatar billede lasselakken Nybegynder
03. november 2004 - 20:27 #61
Jeg er lidt i tvivl om hvordan det fungerer det der med at afgive pointene... Efter den sidste post er der et felt hvor der står forevernewbie og ved siden af en knap, der hedder Accepter. Er det bare at trykke på den knap og så går pointene til forevernewbie? (jeg kan ikke helt se hvordan det skulle være muligt for mig at give pointene til tonnybrandt - men det behøver jeg jo selvfølgelig heller ikke at kunne...).
Når du skriver at vi skal vente et par dage med at lukke tråden, mener du så at jeg skal vente med at afgive pointene eller?
Avatar billede forevernewbie Nybegynder
03. november 2004 - 20:38 #62
Nu har jeg lagt et svar, og det kan du acceptere ved at markere brugernavnet, og derefter klikke "accepter". Du må selv om du vil vente et par dage med det, til vi ved om den er kommet igen(hvilket jeg ikke tror at den gør), men under alle omstændigheder, så har vi et fix til, i baghånden.

Slut lige af med dette:

Nu er din log ren, og der skal lige "ryddes op" i systemgendannelsen

Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i "deaktiver systemgendannelse". Klik ok og genstart.
Derefter aktiverer du systemgendannelsen igen

Du skal skal så lige "skjule" dine skjulte filer, og mapper igen

Lige et par links til sikker surf

http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Avatar billede forevernewbie Nybegynder
03. november 2004 - 20:38 #63
Hmm, svaret er her ;)
Avatar billede fromsej Praktikant
03. november 2004 - 22:31 #64
Jeg bukker og klapper.
Godt gået gutter. ;o)
Avatar billede forevernewbie Nybegynder
03. november 2004 - 23:17 #65
Lasselakken-> Tak for point :)

Fromsej-> Tak Mester :)

Fromsej og Tonnybrandt-> BC har lige netop opdateret fixene for search.biz ;)
Avatar billede tonnybrandt Nybegynder
03. november 2004 - 23:43 #66
Også en tak til fromsej herfra :)
Avatar billede forevernewbie Nybegynder
05. november 2004 - 15:50 #67
Fromsej og Tonnybrandt-> I får lige et fix til den der ;)

Hvis man ikke kan se dll`en i userinit, finder man den med Dll compare. Der er så en exe fil med samme navn. De sættes begge to i kø til "delete on reboot" samtidig i "Killbox". Efter genstart fixes userinit entrien i HJT. Væk! ;)

I dette tilfælde ville det så være disse stier:

C:\Windows\system32\TGBRFV_5.dll
C:\WINDOWS\System32\TGBRFV_.exe

Lasselaken-> så nemt er det, når bare man lige ved det. Hvis vi bare havde vidst det, havde meget været nemmere. Desværre er de bæster et skridt foran hele tiden.

Tro mig, det vil være mig en sand fornøjelse, at fixe det bæst fremover ;D
Avatar billede tonnybrandt Nybegynder
05. november 2004 - 16:06 #68
Ja, man bliver jo hævngerrig, når den har voldt så mange kvaler :)

Tak for info'en. Det er vist noget nemmere end "min" metode :)
Avatar billede fromsej Praktikant
05. november 2004 - 18:20 #69
Bukker og takker.
Det skal i hvert fald testes næste gang vi ser en.
Avatar billede aovergaard Nybegynder
05. november 2004 - 18:38 #70
Undskyld for spam. Men forevernewbie, kan jeg ikke få dig til at sende mig en mail med din mailadresse? send til abovergaard  spywarefri.dk
Avatar billede forevernewbie Nybegynder
06. november 2004 - 09:35 #71
Aovergaard-> forevernewbie yahoo.dk
Avatar billede lasselakken Nybegynder
06. november 2004 - 12:56 #72
Hej allesammen!
Nu dukkede den sgu op igen :-( jeg fulgte forevenewbies fix her ovenfor. Jeg fandt både .exe-filen og .dll-filen med dll compare og stte dem i kø til delete on reboot i Killbox. Så bad jeg killbox om at reboote - men så ville windows sgu ikke starte ordentligt op!! Den frøs imens den var ved at loade. Så prøvede jeg at starte op i fejlsikret tilstand - det kunne den godt. Her kørte jeg HJT, men den fandt ikke noget. Så rebootede jeg og så ville windows gerne starte helt almindeligt... 
Så enten har jeg klumret i det eller også så er det fix ikke helt perfekt. Men jeg tror til gengæld at problemet forsvandt bare ved at slette dem i Killbox. Jeg mærker i hvert fald ikke noget til det nu. Men tror i at det er en virus, der ligger et sted og kan finde på at dukke op igen??
Avatar billede fromsej Praktikant
06. november 2004 - 13:01 #73
Det er ikke til at vide, det forb. CWS er meget svært at få has på.
Prøv at lade der gå et par dage, medmindre infektionen dukker op igen, så kom med en helt frisk Hijackthislog.
Avatar billede forevernewbie Nybegynder
06. november 2004 - 13:57 #74
Hmm, prøv lige at tjekke om den About:Blank entry i reg. er væk. Opdater så lige About Buster, og start op i fejlsikret. Kør HijackThis, og fix denne  F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe , hvis den er dukket op igen. Kør så lige About Buster, og så lige en "tur" med CCleaner.
Avatar billede lasselakken Nybegynder
06. november 2004 - 16:23 #75
Jeps - så er det kørt. Jeg fandt en enkelt about:blank som jeg slettede. HJT fandt ikke F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe - about buster fandt ikke rigtig noget og CCleaner fandt en lille smule, men ikke noget slemt - tror jeg ikke i hvert fald.
Avatar billede forevernewbie Nybegynder
06. november 2004 - 16:28 #76
Det lyder ihvertfald positivt :) Vi krydser fingre, og håber. Hvis den skulle dukke op igen, så følg endelig Fromsejs råd, om at lægge en ny Hijackthis log ind ;)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester