TJEN POINT! system32\scopedll.exe er væk!

Følg vejledningen her:
Gå ind her og hent Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Derefter udpakker du Hijackthis og smider filen i en mappe, oprettet kun til den. Kør filen, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

HiJackThis er ikke større end den kan ligge på en diskette. Og du kan få loggen ud på samme måde. Når vi har fikset den, så den kan gå på nettet, kan vi rense den fuldstændigt bagefter.

Og grunden til rådet:
http://computercops.biz/startuplist-5544.html

Det har næppe noget med databaser at gøre.

Så vidt jeg ved er scopedll.exe en grim en som man fjerner når man renser en PC
for virus & spyware !

Så du vil næppe have den igen !!

tonny>

Han har jo netop ikke filen.

Det lyder som en ukomplet fjernelse d.v.s. at EXE filen er fjernet men det der
forsøger at køre den er ikke.

undskyld men vidste ikke hvilken kategori jeg skulle sætte den i..

Måske skal du bare fjerne den reference (lidt Googling antyder at det er i win.ini
at den skal fjernes).

Men et komplet check med Hijackthis er sikkert en god ting.

Tonny kan analysere din hijackthis log  fil.

arne_v > Det har han ikke, men det lyder netop som en ukomplet spyware udrensning hvor f.eks pc'en har været inficeret med new.net. Bliver den ikke fjernet med de rigtige værktøjer mister man internettet bagefter. Så når der er spyware og intet internet, er en HiJackThis log nødvendig så vi ved hvad vi er oppe imod.

jeg er altså total nybegynder, kan jeg få en lidt let vejledning? :)

Download denne:
http://danborg.org/spy/HJT/hijackthis.exe

Kopier den ud på en diskette.
Sæt disketten i problem computeren og kopier hijackthis.exe ind på skrivebordet.

Dobbeltklik programmet. Så trykker du på Scan.
Knappen skifter nu navn til Save log. Den trykker du på og vælger at den skal gemme på a: (disketten)
Så smider du disketten over i den anden computer og kopierer indholdet af a:\hijackthis.log ind i et indlæg her.

okay, skal prøve...

Logfile of HijackThis v1.98.2
Scan saved at 21:51:44, on 13-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\NORMAN\Nvc\BIN\NPFSVICE.EXE
D:\NORMAN\NVC\BIN\Zanda.exe
D:\WINDOWS\System32\svchost.exe
D:\NORMAN\Nvc\BIN\NVCSCHED.EXE
D:\NORMAN\Nvc\BIN\NJEEVES.EXE
D:\NORMAN\Nvc\BIN\nvcoas.exe
D:\NORMAN\Nvc\BIN\nipsvc.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\NORMAN\Nvc\BIN\ZLH.EXE
D:\windows\system32\sncntr.exe
D:\Programmer\Hotbar\bin\4.3.6.0\HbInst.exe
D:\WINDOWS\System32\ctfmon.exe
D:\NORMAN\Nvc\BIN\NYMSE.EXE
D:\NORMAN\Nvc\BIN\NIP.EXE
D:\NORMAN\Nvc\BIN\cclaw.exe
D:\NORMAN\Nvc\BIN\npfmsg2.exe
D:\Documents and Settings\Vroue\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F3 - REG:win.ini: run=d:\windows\system32\scopedll.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - D:\Programmer\Hotbar\bin\4.5.1.0\HbHostIE.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - D:\Programmer\Hotbar\bin\4.5.1.0\HbHostIE.dll
O4 - HKLM\..\Run: [Soltek] D:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Norman ZANDA] D:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [sncntr] d:\windows\system32\sncntr.exe /nocomm
O4 - HKLM\..\Run: [Mscnt] d:\windows\system32\mscnt.exe /noconnect
O4 - HKLM\..\Run: [Hotbar] D:\Programmer\Hotbar\bin\4.3.6.0\HbInst.exe /Upgrade
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: D:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {01CA75F1-054B-4A63-9221-C6926369EC52} (HS_live Control) - http://install.homestead.com/~site/InstallFiles/SIFiles/lpxlive/HS_live.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.67/ecwplugins/ncs.cab
O16 - DPF: {BD092CD7-AA66-4FF6-8CE1-D4E01489ED2B} (VacPro.UserControl1) - http://www.7adpower.com/dialer/EMSAT.CAB
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v6.cab


er det rigtigt??????

Du har gjort det rigtigt. Jeg kigger lige på den..

Hent disse 2 programmer og gem dem på en diskette.

http://cexx.org/LSPFix.exe
http://danborg.org/spy/Newnet/winsockxpfix.exe - Winsockfix.
Forklaring allernederst i dette indlæg.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked.

F3 - REG:win.ini: run=d:\windows\system32\scopedll.exe
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - D:\Programmer\Hotbar\bin\4.5.1.0\HbHostIE.dll
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - D:\Programmer\Hotbar\bin\4.5.1.0\HbHostIE.dll
O4 - HKLM\..\Run: [sncntr] d:\windows\system32\sncntr.exe /nocomm
O4 - HKLM\..\Run: [Mscnt] d:\windows\system32\mscnt.exe /noconnect
O4 - HKLM\..\Run: [Hotbar] D:\Programmer\Hotbar\bin\4.3.6.0\HbInst.exe /Upgrade
O16 - DPF: {01CA75F1-054B-4A63-9221-C6926369EC52} (HS_live Control) - http://install.homestead.com/~site/InstallFiles/SIFiles/lpxlive/HS_live.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.67/ecwplugins/ncs.cab
O16 - DPF: {BD092CD7-AA66-4FF6-8CE1-D4E01489ED2B} (VacPro.UserControl1) - http://www.7adpower.com/dialer/EMSAT.CAB
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v6.cab

Genstart i fejlsikret tilstand, og kør igen HiJackThis og kontroller at de ting du lige fixede ikke er kommet igen. Er de det fixer du dem med det samme.

Genstart normalt. Check om internettet nu fungerer. Hvis ikke så udfør det der står under den sipæede linie i dette indlæg.

Kom med en ny log til kontrol

-------------------

Hvis ovenstående ikke var nok til at få dig på nettet igen så prøv lige dette:

Kør først LSPfix, sæt flueben i I know what I am doing, klik på finish, genstart så burde det virke.

Gør det ikke det, så prøv Winsockfix, klik først på Reg-backup, og gem en kopi af din regdatabase, når det er slut klik på Fix, når den er færdig genstart og så skulle du gerne kunne komme på nettet igen.

sipæede linie = stiplede linie
(der må være en der har flyttet på mit tastatur) *s*

sådan..har gjort ALT nu.... beskeden kommer heller ikke mere, men kan stadig ikke gå på nettet. Må nok hellere fortælle at computeren er 2i1. den har både en xp og en win 98. når jeg har været herinde er jeg bare logget ind på win98'eren. xpéren er den der har et problem........

Nu ser det sådan ud!...
Logfile of HijackThis v1.98.2
Scan saved at 23:04:28, on 13-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\NORMAN\Nvc\BIN\ZLH.EXE
D:\NORMAN\NVC\BIN\Zanda.exe
C:\Program Files\SCom\Dialers\XXXmovie_dk\XXXmovie_dk.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Hotbar\bin\4.5.1.0\WeatherOnTray.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programmer\QuickTime\qttask.exe
D:\WINDOWS\System32\ctfmon.exe
D:\NORMAN\Nvc\BIN\NYMSE.EXE
D:\NORMAN\Nvc\BIN\NIP.EXE
D:\NORMAN\Nvc\BIN\NVCSCHED.EXE
D:\NORMAN\Nvc\BIN\nvcoas.exe
D:\NORMAN\Nvc\BIN\nipsvc.exe
D:\NORMAN\Nvc\BIN\NJEEVES.EXE
D:\NORMAN\Nvc\BIN\cclaw.exe
D:\NORMAN\Nvc\BIN\npfmsg2.exe
D:\NORMAN\Nvc\BIN\NPFSVICE.EXE
D:\Documents and Settings\Vroue\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Soltek] D:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Norman ZANDA] D:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [XXXmovie_dk] C:\Program Files\SCom\Dialers\XXXmovie_dk\XXXmovie_dk.exe /dontdial
O4 - HKLM\..\Run: [WeatherOnTray] D:\Programmer\Hotbar\bin\4.5.1.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = D:\Programmer\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: D:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab

og lige en ting. Denne computer har IKKE besøgt xxxmovie.dk

Nej det tror jeg da heller ikke *s*

Gå i fejlsikker tilstand og fix disse to i HiJackThis:
O4 - HKLM\..\Run: [XXXmovie_dk] C:\Program Files\SCom\Dialers\XXXmovie_dk\XXXmovie_dk.exe /dontdial
O4 - HKLM\..\Run: [WeatherOnTray] D:\Programmer\Hotbar\bin\4.5.1.0\WeatherOnTray.exe

Slet så :
Mapperne:
D:\Programmer\Hotbar
D:\Program Files\SCom

Genstart og en ny log til kontrol.

http://startup.iamnotageek.com/st-3906.html

Hmm... jeg checkede lige en ekstra gang og jeg er da blevet snydt af denne:
O4 - HKLM\..\Run: [Soltek] D:\WINDOWS\System32\autorun.exe

Den skal også fixes i HiJackThis sammen med de 2 andre

Og foruden de 2 mapper skal du slette denne fil:
D:\WINDOWS\System32\autorun.exe

Har fulgt din vejledning præcis, men kan stadig ikke gå på nettet. Her er ny logLogfile of HijackThis v1.98.2
Scan saved at 10:09:45, on 14-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\NORMAN\Nvc\BIN\NPFSVICE.EXE
D:\NORMAN\NVC\BIN\Zanda.exe
D:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\NORMAN\Nvc\BIN\ZLH.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Programmer\QuickTime\qttask.exe
D:\WINDOWS\System32\ctfmon.exe
D:\NORMAN\Nvc\BIN\NYMSE.EXE
D:\NORMAN\Nvc\BIN\NIP.EXE
D:\NORMAN\Nvc\BIN\npfmsg2.exe
D:\NORMAN\Nvc\BIN\NJEEVES.EXE
D:\NORMAN\Nvc\BIN\NVCSCHED.EXE
D:\NORMAN\Nvc\BIN\nipsvc.exe
D:\NORMAN\Nvc\BIN\nvcoas.exe
D:\NORMAN\Nvc\BIN\cclaw.exe
D:\Documents and Settings\Vroue\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Norman ZANDA] D:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = D:\Programmer\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: D:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab

Loggen er pinligt ren nu.

Prøv lige at klikke start | kør, skriv cmd og tryk enter.
her skriver du
ipconfig
og trykker enter.
Hvad står der i ipaddressen ?

undskyld undskyld undskyld!... internetforbindelsen var slået fra, men trojanen er væk nu. 1000 tak for din gode hjælp! går ind og gir noget karma

Godt at problemet blev fundet :)

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Kan spørgsmålet lukkes ?

Husk  at lukke spørgsmålet her