CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede allerup Nybegynder
30. december 2004 - 23:02 Der er 22 kommentarer og
1 løsning

ny hjt log

Fik hjælp af andersenph, men der må være noget han eller jeg har overset, for den "onde" startside er vendt tilbage, så her er en ny log:

Logfile of HijackThis v1.99.0
Scan saved at 22:59:59, on 30-12-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Fælles filer\BullGuard\BullGuard Communicator\xcommsvr.exe
C:\Programmer\Fælles filer\BullGuard\BullGuard Scan Server\bdss.exe
c:\programmer\bullguard\bdmcon.exe
C:\Programmer\BullGuard\vsserv.exe
C:\Documents and Settings\Bruger\Skrivebord\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Bruger\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Bruger\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5D3BBAAD-71D4-47D3-81D9-DDB0731E04C0} - C:\WINDOWS\System32\ijlo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BDMCon] C:\Programmer\BullGuard\\bdmcon.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O18 - Filter: text/html - {78950656-B942-4A83-A3F3-94A2F8C49DD0} - C:\WINDOWS\System32\ijlo.dll
O18 - Filter: text/plain - {78950656-B942-4A83-A3F3-94A2F8C49DD0} - C:\WINDOWS\System32\ijlo.dll
O23 - Service: BullGuard Scan Server - Unknown - C:\Programmer\Fælles filer\BullGuard\BullGuard Scan Server\bdss.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: BullGuard Virus Shield - Unknown - C:\Programmer\BullGuard\vsserv.exe
O23 - Service: BullGuard Communicator - Softwin - C:\Programmer\Fælles filer\BullGuard\BullGuard Communicator\xcommsvr.exe
Avatar billede kalp Novice
30. december 2004 - 23:05 #1
Ja jeg kan allerede se noget ved et skimme hehe.. 
kigger den lige igennem
Avatar billede allerup Nybegynder
30. december 2004 - 23:06 #2
men den sidste log tidligere i dag var ren nok... se emnet HJT log et par pladser længere nede :o(
Avatar billede kalp Novice
30. december 2004 - 23:12 #3
Ja det kan jeg se.. du bør overveje at upgradere til sp2!
og har du kigget på http://www.spywarefri.dk/pakken.htm ? gratis software som du kan installere som forhindre spyware i at nå dig!

Jeg læser din log igennem nu og fortæller dig hvad du skal gøre
Avatar billede andersenph Nybegynder
30. december 2004 - 23:14 #4
Med al respekt kalp. Denne log er lidt halvsvær.
Vi skal finde en fil Windows ikke kan se.
Derfor er startsiden kommet igen.

Hent dette lille værktøj fra Option^explicit:

http://downloads.subratam.org/DllCompare.exe

Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind i dit næste svar.
-----------------------------------------------------------------

Så skulle vi gerne have navnene på de skadelige filer.
Avatar billede allerup Nybegynder
30. december 2004 - 23:20 #5
Der var vist kun en enkelt:

*    DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\resapp.dll    Sat 24 Apr 2004  20.07.40  A...R        57.344    56,00 K
________________________________________________

1.243 items found:  1.243 files, 0 directories.
Total of file sizes:  234.796.365 bytes    223,92 M

Administrator Account =  True

--------------------End log---------------------
Avatar billede kalp Novice
30. december 2004 - 23:24 #6
andersenph:

Det helt i orden:) Har ikke sammelignet rigtigt.. men der er så vidt jeg kan se kommet nyt i denne log siden sidst.
Avatar billede kalp Novice
30. december 2004 - 23:27 #7
resapp.dll kan jeg godt nok ikke tolke så måske ar du ret andersenph :o) kender ikke filen i hvertfald..
Avatar billede andersenph Nybegynder
30. december 2004 - 23:28 #8
Nej der kan du se :O)

Jeg kommer tilbage om to minutter :O)
Avatar billede allerup Nybegynder
30. december 2004 - 23:29 #9
Og jeg er spændt som en fjeder :o))
Avatar billede andersenph Nybegynder
30. december 2004 - 23:34 #10
Dit forrige indlæg fandt synderen.
Du skal bruge et lille program til at fjerne den med:
Hent dette værktøj fra TrendMicro:

https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip

Pak det ud til dit Skrivebord, så du kan finde det igen. Kør programmet (programmet vil genstarte din computer for at få slettet filen).

Start så op i fejlsikret tilstand. (Tast f8 under genstart og vælg fejlsikret) og uden forbindelse til Nettet.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.



Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Bruger\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Bruger\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {5D3BBAAD-71D4-47D3-81D9-DDB0731E04C0} - C:\WINDOWS\System32\ijlo.dll
O18 - Filter: text/html - {78950656-B942-4A83-A3F3-94A2F8C49DD0} - C:\WINDOWS\System32\ijlo.dll
O18 - Filter: text/plain - {78950656-B942-4A83-A3F3-94A2F8C49DD0} - C:\WINDOWS\System32\ijlo.dll


For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Find og slet:

C:\DOCUME~1\Bruger\LOKALE~1\Temp\sp.dll
C:\WINDOWS\System32\ijlo.dll

Og så skal du køre programmet CWS
Angående CWShredder:
.
Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Derefter en tur i Regedit.
Klik på Start gå i - Kør - skriv: regedit - tast enter
Du får et vindue lidt ligesom stifinder.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Du finder måske slet ikke noget med homeoldsp og about blank, men søg lige efter det alligevel.

Kør så programmet Ad-aware, fjern alt hvad den finder.


Genstart, kør en scanning med hijackthis og kopier en ny log herind til test.
Avatar billede serverservice Praktikant
30. december 2004 - 23:41 #11
med på en lytter
Avatar billede andersenph Nybegynder
30. december 2004 - 23:44 #12
Hej D

Godt at "se" dig ;O)
Avatar billede serverservice Praktikant
30. december 2004 - 23:59 #13
Ilm andersen prøver at holde dampen oppe , der er nyt til hijack kan jeg se spændende...
Avatar billede serverservice Praktikant
31. december 2004 - 00:05 #14
hvad sker ser nu med den resapp.dll ?
Avatar billede allerup Nybegynder
31. december 2004 - 00:05 #15
Jeg er da glad for at jeg kan bidrage med noget "nyt"... eller det :o+
Avatar billede allerup Nybegynder
31. december 2004 - 00:10 #16
Her er så en frisk log:

Logfile of HijackThis v1.99.0
Scan saved at 00:09:25, on 31-12-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\BullGuard\BullGuard Communicator\xcommsvr.exe
C:\Programmer\Fælles filer\BullGuard\BullGuard Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\BullGuard\bdmcon.exe
C:\Programmer\BullGuard\vsserv.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Symantec\LiveUpdate\AUpdate.exe
C:\Documents and Settings\Bruger\Skrivebord\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BDMCon] C:\Programmer\BullGuard\\bdmcon.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: BullGuard Scan Server - Unknown - C:\Programmer\Fælles filer\BullGuard\BullGuard Scan Server\bdss.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: BullGuard Virus Shield - Unknown - C:\Programmer\BullGuard\vsserv.exe
O23 - Service: BullGuard Communicator - Softwin - C:\Programmer\Fælles filer\BullGuard\BullGuard Communicator\xcommsvr.exe
Avatar billede andersenph Nybegynder
31. december 2004 - 00:20 #17
Så er loggen ren.

resapp.dll blev fjernet af trendmicro´s fixtool
Så nu loader den ikke snavset mere.
Du burde kunne surfe rundt nu uden problemer.
Avatar billede allerup Nybegynder
31. december 2004 - 00:23 #18
Takker... så mangler jeg bare at du lige lægger et svar så du kan få dine vel fortjente point:o)
Avatar billede andersenph Nybegynder
31. december 2004 - 00:25 #19
Tag dem selv. Jeg fik jo ikke fjernet den i første omgang. Du har jo ret til at reklamere ;O)
Avatar billede allerup Nybegynder
31. december 2004 - 00:30 #20
hæhæ... jamen så gør jeg det... men tak stadigvæk!
Avatar billede allerup Nybegynder
31. december 2004 - 00:31 #21
orv, så fik jeg osse 100 point... :o=
Avatar billede kalp Novice
31. december 2004 - 00:39 #22
hehe og så lærte jeg en ny filtype at kende;)

Godt nytår til Jer:-)
Avatar billede andersenph Nybegynder
31. december 2004 - 10:01 #23
Ja det var et godt tip i fik der :O)

Godt nytår til jer alle :O)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 14:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
I dag 11:14 Bærbar til Sims 3? Af idamarie i PC
I dag 10:49 Adobe til excel Af densortehingst i Andet software
I dag 09:26 Chrome Af fjorbak i Andet netværk
I går 21:08 Hvor kan man se Alan Turings mekaniske apparat til at løse Enignas koder Af KurtG i Andet hardware
White papers
Flere white papers »


Premium
Teaser billede
5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?
Læs mere »
Hackere udnytter CrowdStrike-nedbruddet: Spreder malware ved hjælp af falske løsninger
Microsoft skyder dele af skylden for CrowdStrike-nedbrud på 15 år gammel EU-aftale
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Peter Lüth udlever CTO-drømmen: Bygger et system fra bunden og tjener kassen på det
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Læs mere »
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »