CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

superbarbie Nybegynder

26. marts 2005 - 21:07 Der er 7 kommentarer og
2 løsninger

Hijack this log - I give up

Hej,
Er der en, der vil kigge på min hijackthis-log, tak - har kæmpet med det i flere dage og kan ikke engang køre Panda online scan ell lignende, da mine sider bliver ændret til en search page (der har lagt sig ind som about:blank siden) så snart jeg kommer på. Jeg har prøvet med Microsoft AntiSpyware, CW-shredder, Spybot, S&D - u name it. Det er ikke alle sider, der bliver ændret - fx går eksperten.dk fri. Det gør yahoo, hotmail og den slags dog ikke. Jeg ved ikke, om det har noget at sige.

Ovenstående scans har hjulpet i et øjeblik, men da jeg tændte computeren igen, var den tilbage. Det er som om det regenererer og lægger sig ind over de andre sider (og genererer en masse popups).

På forhånd tak,
Barbie

Logfile of HijackThis v1.97.7
Scan saved at 20:59:28, on 26-03-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~2\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\System32\rundll32.exe
G:\Div spyware\gcasServ.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Louise\Application Data\lmtn.exe
G:\Div spyware\gcasDtServ.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\iKernel.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Louise\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\DIVSPY~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {81988564-EB47-446E-8E69-F47975AB4736} - C:\WINDOWS\System32\mkjd.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [THGuard] "G:\TrojanHunter 4.2\THGuard.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [gcasServ] "G:\Div spyware\gcasServ.exe"

Synes godt om

arlet Juniormester

26. marts 2005 - 21:37 #1

Hent lige nyeste version af hijackthis(1.99.1) herfra:
http://www.arlet.dk/hjt.exe
og lav en ny log

Synes godt om

superbarbie Nybegynder

27. marts 2005 - 11:52 #2

Værsgo:
Logfile of HijackThis v1.99.1
Scan saved at 11:51:18, on 27-03-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\PROGRA~2\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\rundll32.exe
G:\Div spyware\gcasServ.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
G:\Div spyware\gcasDtServ.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Documents and Settings\Louise\Application Data\lmtn.exe
C:\Program Files\Internet Explorer\iexplore.exe
G:\cwshredder\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\DIVSPY~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {81988564-EB47-446E-8E69-F47975AB4736} - C:\WINDOWS\System32\mkjd.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [THGuard] "G:\TrojanHunter 4.2\THGuard.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [gcasServ] "G:\Div spyware\gcasServ.exe"
O18 - Filter: text/html - {4969DA70-7E52-43A1-B9DB-7A7DFC9FF0FC} - C:\WINDOWS\System32\mkjd.dll
O18 - Filter: text/plain - {4969DA70-7E52-43A1-B9DB-7A7DFC9FF0FC} - C:\WINDOWS\System32\mkjd.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Synes godt om

arlet Juniormester

27. marts 2005 - 13:04 #3

Her er hvad du skal starte med at gøre:
Hent og opdater Ad-Aware: http://www.arlet.dk/spywarescanner.htm
Hent http://www.webmasterfree.com/regcleaner.html
Cwshredder: http://www.arlet.dk/special.htm
Lad de programmer ligge lidt endnu, du skal bruge dem længere nede.
----------------------------------------------------------------------

Først skal du slå systemgendannelse fra.
Hvis du ikke ved, hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm

Genstart i fejlsikret tilstand (f8 ved opstart)

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {81988564-EB47-446E-8E69-F47975AB4736} - C:\WINDOWS\System32\mkjd.dll

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll,DllInstall

O18 - Filter: text/html - {4969DA70-7E52-43A1-B9DB-7A7DFC9FF0FC} - C:\WINDOWS\System32\mkjd.dll
O18 - Filter: text/plain - {4969DA70-7E52-43A1-B9DB-7A7DFC9FF0FC} - C:\WINDOWS\System32\mkjd.dll

----------------------------------------------------------------------

Så skal vi lige være sikre på at du kan se alle filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
----------------------------------------------------------------------
Find og slet manuelt:

C:\WINDOWS\System32\mkjd.dll

---------------------

C:\DOCUME~1\Louise\LOCALS~1\Temp\<<<<<Tøm mappen

Nu kører du en scanning med Ad-Aware og fjerner, hvad den finder.
Og så kører du programmet CWShredder, se herunder hvad du skal gøre.

Angående CWShredder:
Opret en mappe kun til CWShredder.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.
Kør regcleaneren
---------------------------------------------------------------------

Genstart normalt og kom med en ny log til tjek.

Synes godt om

superbarbie Nybegynder

27. marts 2005 - 18:06 #4

Ny logfil:
Logfile of HijackThis v1.99.1
Scan saved at 18:01:17, on 27-03-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~2\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
G:\Div spyware\gcasServ.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
G:\Div spyware\gcasDtServ.exe
C:\Documents and Settings\Louise\Application Data\lmtn.exe
C:\Program Files\Internet Explorer\iexplore.exe
G:\cwshredder\hjt.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\DIVSPY~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [THGuard] "G:\TrojanHunter 4.2\THGuard.exe"
O4 - HKLM\..\Run: [gcasServ] "G:\Div spyware\gcasServ.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll,DllInstall
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Jeg er stadig ikke kommet af med popups. Kunne ikke få lov til at slette temp-mappen (disk is full protected or in use blabla - det var den ikke ud fra mine bedste computerskills).

C:\WINDOWS\System32\mkjd.dll var der ikke?

Indtil videre kan jeg godt få lov til at tjekke mail (kunne jeg ikke før).

På forhånd tak for videre svar.

Synes godt om

arlet Juniormester

27. marts 2005 - 19:08 #5

start op i fejlsikret og fix denne:
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Louise\LOCALS~1\Temp\se.dll,DllInstall

C:\DOCUME~1\Louise\LOCALS~1\Temp<-tøm mappen

genstart og ny log

Synes godt om

superbarbie Nybegynder

29. marts 2005 - 22:50 #6

Ny log:
Logfile of HijackThis v1.99.1
Scan saved at 22:50:05, on 29-03-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~2\VeriSign\NAVI\NAVICL~1.EXE
G:\Div spyware\gcasServ.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Louise\Application Data\lmtn.exe
G:\Div spyware\gcasDtServ.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
G:\cwshredder\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\DIVSPY~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [THGuard] "G:\TrojanHunter 4.2\THGuard.exe"
O4 - HKLM\..\Run: [gcasServ] "G:\Div spyware\gcasServ.exe"
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Den ser da fin ud, hva?

Synes godt om

arlet Juniormester

30. marts 2005 - 16:34 #7

Ja, du er sg dygtig*S*

Så er din log ren.

Efter sådan en tur er det altid en god ide og rydde op i dine systemgendannelses filerne.
Deaktiver systemgendannelse ( http://www.arlet.dk/systemgendannelsen.htm ) - genstart din computer - aktiver systemgendannelse.
Og så skal du også lige skjule dine filer og mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil.
Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

Meget vigtigt:
Hent og installer Sp1 eller Sp2 til Windows og IE her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Synes godt om

superbarbie Nybegynder

30. marts 2005 - 17:16 #8

Det er meget fint, tak for professionel hjælp :)

Synes godt om

superbarbie Nybegynder

30. marts 2005 - 17:18 #9

Faaaan, er jeg helt blind? Nå, jeg tror at jeg har givet dig point..giv gerne besked, hvis noget ikke er gjort korrekt.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus	21	22/06/202419:22	23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus	23	07/05/202421:02	13/05/202419:48
trusler Af gerhardpet i Virus	4	26/01/202410:02	27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus	16	09/01/202416:37	10/01/202419:59
virusscanning Af JetteD i Virus	2	10/11/202312:55	10/11/202316:36

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS