CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede allerup Nybegynder
30. december 2004 - 23:02 Der er 22 kommentarer og
1 løsning

ny hjt log

Fik hjælp af andersenph, men der må være noget han eller jeg har overset, for den "onde" startside er vendt tilbage, så her er en ny log:

Logfile of HijackThis v1.99.0
Scan saved at 22:59:59, on 30-12-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Fælles filer\BullGuard\BullGuard Communicator\xcommsvr.exe
C:\Programmer\Fælles filer\BullGuard\BullGuard Scan Server\bdss.exe
c:\programmer\bullguard\bdmcon.exe
C:\Programmer\BullGuard\vsserv.exe
C:\Documents and Settings\Bruger\Skrivebord\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Bruger\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Bruger\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5D3BBAAD-71D4-47D3-81D9-DDB0731E04C0} - C:\WINDOWS\System32\ijlo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BDMCon] C:\Programmer\BullGuard\\bdmcon.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O18 - Filter: text/html - {78950656-B942-4A83-A3F3-94A2F8C49DD0} - C:\WINDOWS\System32\ijlo.dll
O18 - Filter: text/plain - {78950656-B942-4A83-A3F3-94A2F8C49DD0} - C:\WINDOWS\System32\ijlo.dll
O23 - Service: BullGuard Scan Server - Unknown - C:\Programmer\Fælles filer\BullGuard\BullGuard Scan Server\bdss.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: BullGuard Virus Shield - Unknown - C:\Programmer\BullGuard\vsserv.exe
O23 - Service: BullGuard Communicator - Softwin - C:\Programmer\Fælles filer\BullGuard\BullGuard Communicator\xcommsvr.exe
Avatar billede kalp Novice
30. december 2004 - 23:05 #1
Ja jeg kan allerede se noget ved et skimme hehe.. 
kigger den lige igennem
Avatar billede allerup Nybegynder
30. december 2004 - 23:06 #2
men den sidste log tidligere i dag var ren nok... se emnet HJT log et par pladser længere nede :o(
Avatar billede kalp Novice
30. december 2004 - 23:12 #3
Ja det kan jeg se.. du bør overveje at upgradere til sp2!
og har du kigget på http://www.spywarefri.dk/pakken.htm ? gratis software som du kan installere som forhindre spyware i at nå dig!

Jeg læser din log igennem nu og fortæller dig hvad du skal gøre
Avatar billede andersenph Nybegynder
30. december 2004 - 23:14 #4
Med al respekt kalp. Denne log er lidt halvsvær.
Vi skal finde en fil Windows ikke kan se.
Derfor er startsiden kommet igen.

Hent dette lille værktøj fra Option^explicit:

http://downloads.subratam.org/DllCompare.exe

Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind i dit næste svar.
-----------------------------------------------------------------

Så skulle vi gerne have navnene på de skadelige filer.
Avatar billede allerup Nybegynder
30. december 2004 - 23:20 #5
Der var vist kun en enkelt:

*    DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\resapp.dll    Sat 24 Apr 2004  20.07.40  A...R        57.344    56,00 K
________________________________________________

1.243 items found:  1.243 files, 0 directories.
Total of file sizes:  234.796.365 bytes    223,92 M

Administrator Account =  True

--------------------End log---------------------
Avatar billede kalp Novice
30. december 2004 - 23:24 #6
andersenph:

Det helt i orden:) Har ikke sammelignet rigtigt.. men der er så vidt jeg kan se kommet nyt i denne log siden sidst.
Avatar billede kalp Novice
30. december 2004 - 23:27 #7
resapp.dll kan jeg godt nok ikke tolke så måske ar du ret andersenph :o) kender ikke filen i hvertfald..
Avatar billede andersenph Nybegynder
30. december 2004 - 23:28 #8
Nej der kan du se :O)

Jeg kommer tilbage om to minutter :O)
Avatar billede allerup Nybegynder
30. december 2004 - 23:29 #9
Og jeg er spændt som en fjeder :o))
Avatar billede andersenph Nybegynder
30. december 2004 - 23:34 #10
Dit forrige indlæg fandt synderen.
Du skal bruge et lille program til at fjerne den med:
Hent dette værktøj fra TrendMicro:

https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip

Pak det ud til dit Skrivebord, så du kan finde det igen. Kør programmet (programmet vil genstarte din computer for at få slettet filen).

Start så op i fejlsikret tilstand. (Tast f8 under genstart og vælg fejlsikret) og uden forbindelse til Nettet.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.



Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Bruger\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Bruger\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {5D3BBAAD-71D4-47D3-81D9-DDB0731E04C0} - C:\WINDOWS\System32\ijlo.dll
O18 - Filter: text/html - {78950656-B942-4A83-A3F3-94A2F8C49DD0} - C:\WINDOWS\System32\ijlo.dll
O18 - Filter: text/plain - {78950656-B942-4A83-A3F3-94A2F8C49DD0} - C:\WINDOWS\System32\ijlo.dll


For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Find og slet:

C:\DOCUME~1\Bruger\LOKALE~1\Temp\sp.dll
C:\WINDOWS\System32\ijlo.dll

Og så skal du køre programmet CWS
Angående CWShredder:
.
Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Derefter en tur i Regedit.
Klik på Start gå i - Kør - skriv: regedit - tast enter
Du får et vindue lidt ligesom stifinder.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Du finder måske slet ikke noget med homeoldsp og about blank, men søg lige efter det alligevel.

Kør så programmet Ad-aware, fjern alt hvad den finder.


Genstart, kør en scanning med hijackthis og kopier en ny log herind til test.
Avatar billede serverservice Praktikant
30. december 2004 - 23:41 #11
med på en lytter
Avatar billede andersenph Nybegynder
30. december 2004 - 23:44 #12
Hej D

Godt at "se" dig ;O)
Avatar billede serverservice Praktikant
30. december 2004 - 23:59 #13
Ilm andersen prøver at holde dampen oppe , der er nyt til hijack kan jeg se spændende...
Avatar billede serverservice Praktikant
31. december 2004 - 00:05 #14
hvad sker ser nu med den resapp.dll ?
Avatar billede allerup Nybegynder
31. december 2004 - 00:05 #15
Jeg er da glad for at jeg kan bidrage med noget "nyt"... eller det :o+
Avatar billede allerup Nybegynder
31. december 2004 - 00:10 #16
Her er så en frisk log:

Logfile of HijackThis v1.99.0
Scan saved at 00:09:25, on 31-12-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\BullGuard\BullGuard Communicator\xcommsvr.exe
C:\Programmer\Fælles filer\BullGuard\BullGuard Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\BullGuard\bdmcon.exe
C:\Programmer\BullGuard\vsserv.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Symantec\LiveUpdate\AUpdate.exe
C:\Documents and Settings\Bruger\Skrivebord\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BDMCon] C:\Programmer\BullGuard\\bdmcon.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: BullGuard Scan Server - Unknown - C:\Programmer\Fælles filer\BullGuard\BullGuard Scan Server\bdss.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: BullGuard Virus Shield - Unknown - C:\Programmer\BullGuard\vsserv.exe
O23 - Service: BullGuard Communicator - Softwin - C:\Programmer\Fælles filer\BullGuard\BullGuard Communicator\xcommsvr.exe
Avatar billede andersenph Nybegynder
31. december 2004 - 00:20 #17
Så er loggen ren.

resapp.dll blev fjernet af trendmicro´s fixtool
Så nu loader den ikke snavset mere.
Du burde kunne surfe rundt nu uden problemer.
Avatar billede allerup Nybegynder
31. december 2004 - 00:23 #18
Takker... så mangler jeg bare at du lige lægger et svar så du kan få dine vel fortjente point:o)
Avatar billede andersenph Nybegynder
31. december 2004 - 00:25 #19
Tag dem selv. Jeg fik jo ikke fjernet den i første omgang. Du har jo ret til at reklamere ;O)
Avatar billede allerup Nybegynder
31. december 2004 - 00:30 #20
hæhæ... jamen så gør jeg det... men tak stadigvæk!
Avatar billede allerup Nybegynder
31. december 2004 - 00:31 #21
orv, så fik jeg osse 100 point... :o=
Avatar billede kalp Novice
31. december 2004 - 00:39 #22
hehe og så lærte jeg en ny filtype at kende;)

Godt nytår til Jer:-)
Avatar billede andersenph Nybegynder
31. december 2004 - 10:01 #23
Ja det var et godt tip i fik der :O)

Godt nytår til jer alle :O)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
pop up black friday Af Malm i Virus 10 22/11/202420:49 23/11/202410:46
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 08:16 Outlook Af jdann i E-mail programmer
I går 20:00 Genie Timeline Af Malm i Andet software
I går 16:09 Plex virker ikke uden for netværk ??? Af Ronron i Mac
I går 16:03 exFat Af Bruce i Apps til iOS
I går 14:57 Ukendt enhed logget på mit netværk Af KristinaS i Wifi
White papers
Flere white papers »


Premium
Teaser billede
Et år efter hård kritik: En stribe myndigheder har fortsat store huller i deres kriseberedskaber
Læs mere »
Næsten alle de gode navne er taget, men domænehandleren Marcus har en opskrift, der kan hjælpe dig med at kapre drømmeadressen
EU åbner NIS2-sag mod Danmark efter store forsinkelser: Får to måneder
Gør som stort konsulenthus: Rekruttér selv og få bedre kvalitet … og spar en masse penge
Se alle »
Computerworld
Teaser billede
Omfattende netværksproblemer hos TDC: Nu er årsagen muligvis fundet
Læs mere »
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Stortest: Med USB-C skulle alle kabler være lige - men det er de bare slet ikke
Et ”mareridt for privatlivets fred”: Kontroversiel Windows-funktion er udkommet i en test-version
Se alle »
CIO
Teaser billede
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Læs mere »
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Leverandør til 50 danske kommuner ramt af ransomware: "Det er ikke sjovt," siger direktør Thomas à Porta
Microsoft et døgn efter nedbrud: Stadig problemer med Outlook
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Twoday er rykket til et af de dyreste postnumre i Danmark – og det kan betale sig, siger topchef Lars Berthelsen
Se alle »
White paper
Teaser billede
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Læs mere »
Cyberangreb bliver mere kostbare: Er du forberedt?
MDR: Transparent sikkerhed og overvågning i realtid
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »