CoolWebSearch - Er der én der har tid?

Følg vejledningen her: http://www.arlet.dk/cwshredder.htm

Derefter:

Følg vejledningen for Spybot og Hijackthis her: http://www.arlet.dk/spybothjt.htm

Smid loggen herind, i dette spm, så vil vi kigge på den. Husk at indsætte *alle* linier fra loggen herinde.

oki!

Voilà!



Logfile of HijackThis v1.97.7
Scan saved at 12:11:31, on 07-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\khooker.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\ASUS\ASUS Hotkey\Hotkey.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Simon\Desktop\HijackThis\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3C8206F3-0445-4E47-8F2A-6F1108D6C68F} - C:\WINDOWS\System32\nnfh.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hotkey.lnk = C:\Program Files\ASUS\ASUS Hotkey\Hotkey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Save with Download Manager... - C:\Program Files\J River\Media Jukebox\DMDownload.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectNT.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37954.1494097222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hmmm....gik vi kolde??  =)

Ja, det gjorde vi sådan set.. :-)
har gang i nogle spm her på Eksperten, plus noget halløj udenfor E.. :-)
..har et par aftaler..

Jeg vil prøve at se, om jeg ikke kan fange en af de andre.. måske har de mere tid :-)

Check spm'et igen med en times mellemrum.. og brug venligst ikke computeren indtil da..
Sorry..

Hehe...Mr. Popular!  =)

Fint nok...

Jeg har lige talt med min sekretær, og hun siger at jeg netop kan klemme dig ind, imellem 2 V.I.P aftaler ;-)

Her er noget til dig:

- Information: "fixes":
Når du får at vide at noget "fixes", skal du sætte et hak til venstre for linien, i HijackThis.
Når du har sat hakker ved alle linierne, som skal fixes, lukker du *alle* vinduer, undtagen HijackThis. Det skal være det eneste vindue åbent.
Så klikker du på Fix.


- Information: "fejlsikret tilstand":
Det gør du ved at trykke F8 ved opstarten, lige før Windows logoet kommer frem. Windows starter så op, med et begrænset antal drivere og programmer aktive.


- Du skal først deaktiver systemgendannelse:
Højreklik på "Denne Computer" på skrivebordet, vælg egenskaber og fanebladet "Systemgendannelse" og sæt flueben i "Deaktiver systemgendannelse". Klik ok og genstart.


- Fixes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nnfh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {3C8206F3-0445-4E47-8F2A-6F1108D6C68F} - C:\WINDOWS\System32\nnfh.dll


- Fixes (overflødige):
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE


- Genstart og ny log.

C:\WINDOWS\System32\nnfh.dll <- Filen skal slettes.

Tak for kommentarerne, jeg vender tilbage efter påske og tjekker det hele igennem...!

Lebon

Tak for indsatsen, det løste desværre ikke problemet (jeg ved hjælpen ikke nødvendigvis var slut der) men jeg fik hjælp et andet sted fra. - Der skulle tages meget mere omfattende fat!

Ja, og den metode har jeg også, det ville være næste skridt.
Men OK, når min hjælp ikke var noget værd, generer det mig da ikke at have brugt tid på det uden at få point.

fromsej, drop sarkasmen! Hvis der var een der havde fortjent point i dette spm, så var det vel thesurfer!! (Måske du kun lige tjekkede den sidste kommentar som var fra digselv???)

Jeg har prøvet to gange at fjerne skidtet ved hjælp fra jer eksperter herinde, og det plejer jo at lykkedes, men det gjorde det bare ikke denne gang (ved godt at jeg måske kunne have givet det en chance mere her, men jeg var pænt presset, og jeg frygtede at du eller thesurfer ikke var online efter at spm'et havde været dødt i 1½ uge!). Derfor søgte jeg assistance i et andet forum, hvor en bruger fik fjerne alt i eet hug.

Hvis du føler dig forbigået, så sig til, så smider jeg 50 point, jeg er sgu ligeglad jeg går ikke fallit! (thesurfer, du siger også bare til;o)  )

Tag endelig ikke fejl, jeg er MEGET taknemmelig for din og andres hjælp herinde, det har reddet mit skind utallige gange, men jeg kunne da ikke vide at "den metode ville være dit næste skridt"!

Undskyld, jeg var møgsur på en anden, forhåbentlig snart EX, bruger på E!, det gik ud over dig fuldstændig uberettiget, jeg har ikke engang gjort mig den ulejlighed at se om jeg havde deltaget i tråden, det kan man vist kalde en brøler af et vist omfang.
Jeg håber du accepterer min undskyldning.

Drik et par spande isvand "fromsej" *LOL*

Victor-1 -> hehe og det skulle komme fra dig*GH*
Ekspertudtalelse*G*

Det er helt ok, fromsej! ;o)

Godt, så er det i orden, og jeg har forhåbentlig lært at tænke før jeg skriver. ;o)

fromsej >> Hvis det var denne tråd du var oppe at køre over, så har jeg fuld forståelse!!!!  ;Op

http://www.eksperten.dk/spm/488399

Det var lige præcis den, men det fik jo en passende udgang.*S*