Søg
Avatar billede f5 Nybegynder
17. maj 2004 - 11:05 Der er 60 kommentarer og
1 løsning

Genindstalere explorer

Jeg har fået en undelige bug i min browser. Den gør følgende:

1. Sætter altid min startside til "C:\startpage" som er en side den selv laver og ligger på min harddsik, lige meget hvor mamnge gnage jeg sletter den.

2. Hver gnag jeg prøver at skrive en adresse ind i browseren, tager den mig til en side som hedder "http://easy-search.biz/". Så SKAL jeg søge igennem den, selv om jeg bare skriver en adresse direkte i URL adressebaren.

3. Min MSN kan ikke logge på.

Det må være et eller andet program som har indsatleret sig på min computer. Jeg ved ikke om nogen kender det og ved om det kan afindstaleres, ellers vil jeg genindstallere explorere. Mit sprøgrsmål er, hvordan gør jeg det uden at skulle genindstallere hele XP?

tak
Michael
Avatar billede flim Nybegynder
17. maj 2004 - 11:10 #1
Der findes et program der hedder ad-aware som evt. kan fjerne det skidt du har liggende.

Kan hentes her: http://www.lavasoft.de/software/adaware/

Mvh Flim
Avatar billede beorn Nybegynder
17. maj 2004 - 11:12 #2
jeg ved ikke om der er et program som kan fjerne det igen, men der er sket en ændring i din registringsdatabase under Internet explorer. prøv at søge på easy-search.biz på google, så finder du sikkert en side hvad de præcise stier er i regedit for at fjerne det.

det hjælper ikke at installere IE igen,men en installation af netscape eller opera skulle hjælpe.

ved ikke hvor MSN ikke kan logge på, det burde ikke have noget med det at gøre
Avatar billede f5 Nybegynder
17. maj 2004 - 11:39 #3
Flim,
Jeg har prøvet t instalere og køre lavasoft. Heg har fjernet filerne, men det hjalp desværre ikke. Har du nogle andre forslag?

Beborn,
Jeg forstår ikke hvad du mener med "så finder du sikkert en side hvad de præcise stier er i regedit for at fjerne det."?
Siger du at jeg kan reperer min explorere ved at instalere Navigator?

VH
Michael
Avatar billede f5 Nybegynder
17. maj 2004 - 11:42 #4
Min broswer ser ud til at opføre sig fint hvis jeg skriver hele adressen, altså "http://www.eksperten.dk", men går helt amok hvis jeg bare skriver "www.eksperten.dk" hvis det kan hjælpe jer, for jeg er helt lost...

/Michael
Avatar billede flim Nybegynder
17. maj 2004 - 12:04 #5
Du skulle prøve at skifte browser...

Firefox/Mozilla burde ikke give dig nogle problemer, og er langt hen af vejen faktisk en bedre browser end IE
Avatar billede flim Nybegynder
17. maj 2004 - 12:08 #6
Siger du at jeg kan reperer min explorere ved at instalere Navigator?
--------------

IE og NN (Netscape) er to forskellige browsere, så nej, du kan ikke redde IE. Som jeg skrev ovenfor, så er et browserskifte nok den eneste (umiddelbare) løsning
Avatar billede dan_n Nybegynder
17. maj 2004 - 12:08 #7
Det er højst sandsynligt noget spyware !!!

Hent hijackthis ((vejl. http://www.spywarefri.dk/hijackthis.man.htm)
kør denne og smid en log??
Avatar billede dan_n Nybegynder
17. maj 2004 - 12:10 #8
forkert link: (http://www.webattack.com/get/hijackthis.shtml)
Lad være med at få HijackThis til at "fixe" noge, før du har postet en log, det kan skade mere end det gavner ??
Avatar billede f5 Nybegynder
17. maj 2004 - 12:22 #9
Jeg har nu hentet Hijackthis og kørt den, men kan ikke finde et sted hvor jeg kan udskrive en logfil. Jeg får bare en lang liste som jeg kan krydse af. Jeg kan kun markere en af gangen og trykke "info on selcted item..."?

VH
Michael
Avatar billede f5 Nybegynder
17. maj 2004 - 12:23 #10
Undskyld, min fejl. Jeg har fundet den nu:

Logfile of HijackThis v1.97.7
Scan saved at 12:24:01, on 17-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NavNT\vptray.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Michael\Desktop\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.politiken.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = c:\searchpage.html#1525
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\searchpage.html#1525
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html#1525
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html#1525
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BurnQuick Queue] C:\WINDOWS\BQTray.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/11ca88a3ae41013ac723/netzip/RdxIE601.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.3561921296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede dan_n Nybegynder
17. maj 2004 - 12:25 #11
Okey.
Klik på "Save Log" HijackThis vil nu gemme en fil *.log, finde denne fil åben den med notepad og kopier indholdet, post det i en kommentar !
Avatar billede f5 Nybegynder
17. maj 2004 - 12:26 #12
Håber i kan hjælpe.

Jeg bliver desvære nød til at sige at som det første kørte jeg adaware og slettede de ting den kom frem med. Håber ikke det er en katastrofe. Det er faktisk belvet bedere af det...

VH
Michael
Avatar billede dan_n Nybegynder
17. maj 2004 - 12:26 #13
jeg tager lig et kig på loggen ??
Avatar billede dan_n Nybegynder
17. maj 2004 - 12:28 #14
Det gør absolut intet, adware fjerner meget af spywaren, forhåbentlig kan vi fjerne det sidste manuelt.
Avatar billede f5 Nybegynder
17. maj 2004 - 12:29 #15
super, tak
Avatar billede dan_n Nybegynder
17. maj 2004 - 12:49 #16
Du er blevet ramt af bla. CoolWebSearch

C:\WINDOWS\WININET32.EXE
C:\WINDOWS\RUNWIN32.EXE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

[Trin 1] Først skal du slå systemtgendannelse fra i Windows, genstart
[Trin 2] Hent dette program:
http://www.spywareinfo.com/~merijn/files/CWShredder.exe

[Trin 3] Kør CWShredder.exe. Sørg for at lukke alle andre winduer/programmer end CWShredder.exe, klik på "Check for updates" og derefter "FIX". Når den er færdigt klik på "Next", til sidst klik på" Exit".

[Trin 4] Genstart computeren, kørt Hijackthis igen og post en ny log.
Avatar billede f5 Nybegynder
17. maj 2004 - 13:08 #17
Jeg er ikke helt sikker på hvad du mener med
[Trin 1] Først skal du slå systemtgendannelse fra i Windows, genstart

/Michael
Avatar billede f5 Nybegynder
17. maj 2004 - 13:10 #18
Jeg har forresten en engelsk Windows version
Avatar billede dan_n Nybegynder
17. maj 2004 - 13:15 #19
CWShredder.exe skulle gerne fjerne "CoolWebSearch" og for at være sikker på at alt snavns er væk fra din com, skal du lige poste en ny hijacklog, det du har fulgt min vejl.

på ME:
højreklik på Denne Computer på skrivebordet, så vælg Egenskaber - Ydeevne - Filsystem - Fanebladet Fejlfinding. Sæt flueben i Deaktiver systemgendannelse, klik ok og genstart pc'en

på XP:
Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart
Avatar billede dan_n Nybegynder
17. maj 2004 - 13:20 #20
ups på eng. "Automated System Recovery" brug evt windows hjælp hvis du ikke kan finde det
Avatar billede f5 Nybegynder
17. maj 2004 - 13:27 #21
Tror du det er den som hedder "Turn off System Restor on all devices"?
Avatar billede f5 Nybegynder
17. maj 2004 - 13:28 #22
under "System Restore" i "System Properties"...
Avatar billede dan_n Nybegynder
17. maj 2004 - 13:32 #23
Yep, lige præcis
Avatar billede f5 Nybegynder
17. maj 2004 - 13:36 #24
CWShredder v1.57.0 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 SP1)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Documents and Settings\Michael\Application Data
Username: Michael

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (25 bytes, AH)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Registry value: DefaultPrefix (should be http://) [] c:\searchpage.html?page=
Registry value: WWW Prefix (should be http://) [www] c:\searchpage.html?page=
Registry value: Mosaic Prefix (should be http://) [mosaic] c:\searchpage.html?page=
Registry value: Home Prefix (should be http://) [home] c:\searchpage.html?page=
Found Win.ini file: C:\WINDOWS\win.ini (657 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A)

- END OF REPORT -
Avatar billede f5 Nybegynder
17. maj 2004 - 13:36 #25
Her er rappporten
Avatar billede f5 Nybegynder
17. maj 2004 - 13:39 #26
jg var lidt for hurtig igen, loggen kommer om 2 sek..
Avatar billede dan_n Nybegynder
17. maj 2004 - 13:41 #27
Kør CWShredder.exe igen, klik på "FIX" (nederst til højre). Når den er færdigt klik på "Next", til sidst klik på" Exit". Genstart derefter comp.

Kør nu Hijackthis igen og post en ny hijackthis log, så jeg kan se om der er mere snavs tilbage ??
Avatar billede f5 Nybegynder
17. maj 2004 - 13:42 #28
Logfile of HijackThis v1.97.7
Scan saved at 13:41:53, on 17-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NavNT\vptray.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Documents and Settings\Michael\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = c:\searchpage.html#1525
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\searchpage.html#1525
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html#1525
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html#1525
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BurnQuick Queue] C:\WINDOWS\BQTray.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/11ca88a3ae41013ac723/netzip/RdxIE601.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.3561921296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede dan_n Nybegynder
17. maj 2004 - 13:45 #29
Har du klikket "Fix" i CWShredder.exe
Avatar billede f5 Nybegynder
17. maj 2004 - 13:46 #30
Ja, og der stod at min maskine var en
Avatar billede f5 Nybegynder
17. maj 2004 - 13:46 #31
Men, forresten, den kunne ikke få en forbindelse til updates.....
Avatar billede f5 Nybegynder
17. maj 2004 - 13:48 #32
Nu prøvede jeg igen at trykke updates, og der stod:

Current version: CWShredder v1.57.0
Connecting...
Fetching CWShredder update information from merijn.org...
Unable to retrieve CWShredder update information. The server might be unavailable, try again later.

Fetching CWShredder update information from spywareinfo.com...
You have the latest version of CWShredder.

Så det ser jo ud som om jeg har den nyeste
Avatar billede f5 Nybegynder
17. maj 2004 - 14:05 #33
Hej Dan, og tak for alt hjælpen. Jeg håber ikke du har givet op, fordi jeg sidder og overvejer om jeg skal tage den sidste udvej, hvilket er at genindstalere Windows, hvilket jeg virklig ikke har lyst til....

Så jeg ville bare høre om du stadig er det.

VH
michael
Avatar billede resist Nybegynder
17. maj 2004 - 14:06 #34
Prøv lige CWShredder igen.

http://www.spywareinfo.com/~merijn/files/CWShredder.exe

Kør programmet, tjek for updates, luk alle vinduer, undtagen CWShredder, klik på Fix (og ikke Scan only). Programmet scanner nu. Når det er færdigt, så klik på Next og Exit.

Genstart og derefter sender du en ny HijackThis-log herind.
Avatar billede dan_n Nybegynder
17. maj 2004 - 14:07 #35
>> resist, må lige rette mig hvis jeg skriver noget forkert

okey, så gør vi det uden CWShredder.exe

[Trin 1]
Genstart din computer og hiv netstikket ud ??

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = c:\searchpage.html#1525
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = c:\searchpage.html#1525
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\searchpage.html#1525
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html#1525
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html#1525
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/11ca88a3ae41013ac723/netzip/RdxIE601.cab


[Trin 2]
Nu skal du lige ændre mappe indstillingerne for at få vist evt skjulte filer og mapper
Ved ikke lige hvad det forskellige hedder på eng. men det gøre sådan på dansk.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".



[Trin 3]
Genstart nu compurteren i fejlsikret tilstand. klik F8 ved opstart
Nu skal du finde finde og slette disse 2 filer:

O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe

[Trin 4]
Genstart, sæt netstikket i igen og endnu en gang kør hijackthis og post loggen
Avatar billede dan_n Nybegynder
17. maj 2004 - 14:12 #36
>> f5
hvis du kan nå det:
Så skal du ikke fjerne denne linie;
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
Avatar billede dan_n Nybegynder
17. maj 2004 - 14:25 #37
Var lige lidt for hurtig.
Denne linie må ikke fjernes med Hijackthis,
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

Du skal istedet lukke alle mine programmer og gå ind under:
Control Panel > internet options > advanced

Her skal du fjerne "fluebenet" fra
[ ] use http 1.1 through proxie settings

Klik nu "Apply"

Gå nu ind under faneblacet "Connections" og ned i bunden til "Lan" og klik her på.
fjern "fluebennet" i "use a proxie server....."

Bemærk: hvis du bruge en proxy server for at komme på internetter før du fik problemmer skal du sætte indstillingerne op igen !

Genstart, endnu en gang kør hijackthis og post loggen
Avatar billede resist Nybegynder
17. maj 2004 - 14:33 #38
Udover hvad dan n allerede har sagt, skal du også afinstallere fildelingsprogrammer via Tilføj/fjern programmer – det er højst sandsynligt herigennem ”snavset” er kommet.

Husk også at slå systemgendannelse fra inden du fixer noget. Hvis du ikke ved, hvordan du gør, så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Fix også disse med HijackThis:

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -


Genstart i fejlsikret tilstand (F8 i opstart). Find og slet:

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe >>>> mappen P2P Networking

....
Disse kan stoppes i msconfig - de bruger bare af computerens ”kræfter” og kan startes via Start > Programmer.
Gå i Start > Kør. Skriv: msconfig > OK. Under fanebladet Start fjerner du vingen ud for:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
Avatar billede f5 Nybegynder
17. maj 2004 - 14:39 #39
Nu har jeg gjort hvad dan skrev og har lige set din kommentare resist. Her er den forløbige logfil:

Logfile of HijackThis v1.97.7
Scan saved at 14:37:03, on 17-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NavNT\vptray.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Documents and Settings\Michael\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BurnQuick Queue] C:\WINDOWS\BQTray.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.3561921296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede f5 Nybegynder
17. maj 2004 - 14:42 #40
resist, der er nogle ting jeg ikke helt forstår:

Udover hvad dan n allerede har sagt, skal du også afinstallere fildelingsprogrammer via Tilføj/fjern programmer – det er højst sandsynligt herigennem ”snavset” er kommet.

Hvilke programmer??

Disse kan stoppes i msconfig - de bruger bare af computerens ”kræfter” og kan startes via Start > Programmer.
Gå i Start > Kør. Skriv: msconfig > OK. Under fanebladet Start fjerner du vingen ud for:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

Skal jeg gå ind i Start>run?? Min XP er på engelsk.

VH
Michael
Avatar billede resist Nybegynder
17. maj 2004 - 14:47 #41
Slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Herunder er der nogle filer, som du skal fixe. Sæt en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned.

Fix disse med HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -



Genstart i fejlsikret tilstand (F8 i opstart).  Find og slet:

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe >>>> mappen P2P Networking
C:\WINDOWS\runwin32.exe >>>> filen runwin32.exe
C:\WINDOWS\wininet32.exe >>>> filen wininet32.exe


Genstart almindeligt og send en ny log herind, så vi kan se, om alt nu også er væk.
Avatar billede dan_n Nybegynder
17. maj 2004 - 14:47 #42
Michael, de programmer som resist snakker om er de små ikoner som du kan finde nede i højre hjørne i windows nede ved siden af uret.

Disse programmer start op hver gang du starter din computer. for at bla. at få din computer til at starte op hurtigere, foreslar han og jeg at du fjern disse to filer.

du skal som du selv foreslå gå ind i

Start > Run > skriv msconfig "ok" vælg fanebladet længst til højre kaldet "start" og fjern flybennet ved de to førnævnte programmer, og afslut med "Apply"
Avatar billede f5 Nybegynder
17. maj 2004 - 14:50 #43
ok...det mente jeg også, men som jeg efterhånden selv kan se fra logfilerne, er der stadig noget snavs tibage. Har du nogle forslag til det.

Det er allerede blevet bedere. Min MSN virker nu f.eks...

/Michael
Avatar billede dan_n Nybegynder
17. maj 2004 - 14:53 #44
Programmerne der er tale om er QuickTime og Real Player, du vil på ingen måder slette disse to programmer men, gøre så de ikke automatisk og uden grund start op hvergang Windows starter.

Ovenstående har ikke noget at gøre med dit problem mht. startside, og er heller ikke på nogen måder spyware. det er blot en ting du kan gøre for at forøge opstarts hastigheden på din com.
Avatar billede dan_n Nybegynder
17. maj 2004 - 14:55 #45
Har du fundet og slettet disse filer:
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe

Det er nemlig dem som opretter de andre:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz

Så når du har fået fjernet de omtalte filer, er din maskiner Rent for snavns
Avatar billede resist Nybegynder
17. maj 2004 - 14:56 #46
Følg min vejledning 17/05-2004 14:47:35 og lad os se en ny log fra HijackThis!
Avatar billede dan_n Nybegynder
17. maj 2004 - 14:58 #47
Rettelse "Rent for snavns" -> "forhåbentlig ren for snavs"
Detter kan vi først se når der kommer en hijackthis log uden
C:\WINDOWS\wininet32.exe osv.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz osv.
Avatar billede f5 Nybegynder
17. maj 2004 - 15:06 #48
Ok, så har jeg gjort alt hvad i har skrevet endnu til nu, kørt hijackthis og her logfilen. Det ser ud til at der stadig er noget:

Logfile of HijackThis v1.97.7
Scan saved at 15:04:56, on 17-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\NavNT\vptray.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\Michael\Desktop\HijackThis.exe
C:\WINDOWS\System32\MsgSys.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BurnQuick Queue] C:\WINDOWS\BQTray.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.3561921296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede resist Nybegynder
17. maj 2004 - 15:15 #49
Du har slået systemgendannelse fra? Ellers gør det.

Vi prøver igen ;-)

Fix disse med HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -



Genstart i fejlsikret tilstand (F8 i opstart).  Find og slet:

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe >>>> mappen P2P Networking
C:\WINDOWS\runwin32.exe >>>> filen runwin32.exe
C:\WINDOWS\wininet32.exe >>>> filen wininet32.exe

Genstart normalt og ny log - tak
Avatar billede dan_n Nybegynder
17. maj 2004 - 15:19 #50
Det var besynderligt. men vi skal nok få det til at virke!!

Okey, prøv at starte din comp. op i fejlsikret tilstand (F8)

Søg nu efter disse filer, med start > search:
wininet32.exe
P2P Networking.exe
runwin32.exe

For hver resultat i din søgning, højreklikker du og vælg "Delete".
Det er meget vigtigt at du start op i fejlsikret tilstand og har systemtgendannelse slået fra !! Tjeck lige engang at system gendannelse er flået fra.

Efter du har slettet disse omtalte filer vha. search.

Genstart normalt og post nu en ny og frisk hijackthis log
Avatar billede f5 Nybegynder
17. maj 2004 - 15:27 #51
Nu tror jeg den er der. Her er i hvertfaldet den sidste logfil:

Logfile of HijackThis v1.97.7
Scan saved at 15:26:39, on 17-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NavNT\vptray.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Documents and Settings\Michael\Desktop\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BurnQuick Queue] C:\WINDOWS\BQTray.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.3561921296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede dan_n Nybegynder
17. maj 2004 - 15:33 #52
Så skulle din maskine være rent. og det du burde nu også have fået "kontrol" over IE startsiden.

Jeg vil lige opfordre dig til at instrallere et par anti-spyware programmer så du i fremtiden undgår problemmer som dette.

Jeg benytter selv og vil anbefale dig at installere ihverfald disse programmer:

Spywareblaster
Spywareguard
IE-SPYAD
Spybot

Du kan læse mere om disse programmer på http://www.spywarefri.dk/vaerktoj.htm
Avatar billede f5 Nybegynder
17. maj 2004 - 15:35 #53
ja, og jeg har enlig også kontrol over min start side. Så super fedt og mange gange tak for hjælpen!!!

Vil i ikke ligge et svar så jeg uddele nogle velfortjente point.

Og vil du så foreslå at køre alle de programmer?
Avatar billede dan_n Nybegynder
17. maj 2004 - 15:36 #54
Jeg ville dog lige køre hijackthis en sidste gang og fixe:
O9 - Extra button: Research (HKLM)

Der er tale om en knap, som vises i IE adresse bjælke.
Avatar billede dan_n Nybegynder
17. maj 2004 - 15:38 #55
Er glad for jeg kunne hjælpe, spyware er en temmelig irriterende ting at bøvle med ?
Avatar billede f5 Nybegynder
17. maj 2004 - 15:41 #56
Det er helt vildt irreternde. Det var en hel dag jeg har brugt på det. Nu vil jeg så også få installeret de rigitge programmer. Du anbefaler altså hele denne liste:

Spywareblaster
Spywareguard
IE-SPYAD
Spybot

/Michael
Avatar billede dan_n Nybegynder
17. maj 2004 - 15:47 #57
Yep.
Læs mere på http://www.spywarefri.dk/vaerktoj.htm

>> resist Credit for en kanon information hjemmeside, super godt arbejde Team Spyware Fri
Avatar billede dan_n Nybegynder
17. maj 2004 - 15:49 #58
information = informativ
Avatar billede f5 Nybegynder
17. maj 2004 - 15:53 #59
ok, jeg vil lige checke up på det. Dan du for pointene her, så lave jeg lige et nyt sprg med point til resist. I skal jo have hvad i fortjenere ;-)
Avatar billede dan_n Nybegynder
17. maj 2004 - 15:54 #60
takker
Avatar billede resist Nybegynder
17. maj 2004 - 15:57 #61
dan n >>> takker for ordene ;-)

f5 >>> Din log ser ren ud, og du må slå systemgendannelse til igen og sætte mappeindstillinger tilbage til oprindelige indstillinger.

Hent og installer programmet Ad-Aware. Opdater det straks efter installationen - inden du kører en scanning. Fjern alt hvad programmet finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware

Her er et par links til sikker surfing:
http://www.eksperten.dk/artikler/144
http://experten.dk/artikler/254
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Browsere kategorien

Titel Indlæg Oprettet Seneste aktivitet
lukkede cookies i microsoft edge Af ole falsted i Browsere 4 26/10/202517:02 01/11/202514:19
Firefox: Hvordan forhindrer jeg DOOM i altid at loade ved start af firefox? Af KurtG i Browsere 7 13/10/202517:21 14/10/202508:42
Gøre højden af tabelrække mindre Af KurtG i Browsere 1 08/10/202509:39 08/10/202509:41
Kan ikke logge på HBO Max på pc Af Finn-Erik i Browsere 2 06/10/202516:52 14/10/202511:55
Lukket ude Af arnel i Browsere 1 05/10/202512:37 05/10/202514:14
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 09:50 Mobilpay svindel Af nu_igen i Andre onlineløsninger
22/0120:51 Knap til ipad Af FinnLauridsen i Excel
21/0113:53 Icloud mail via Outlook Af lbc i E-mail programmer
21/0108:32 USB NØGLE gratis Af nu_igen i Andet hardware
20/0121:11 Hvordan får jeg reCAPTCHA på min hjemmeside? Af Strawberry i PHP
White papers
Flere white papers »