Notifikationer

Markér alle som læst Log ud

enevold1 Nybegynder

10. juni 2004 - 18:43 Der er 39 kommentarer og
1 løsning

Spyware, fjernelse af HOMEOldSP registreringsfiler.

Opfølgning på tidligere problem:
Spywareguard har hver eneste gang jeg åbner computeren gennem de sidste uger, fundet en BHO fil indlagt i system32. De har forskellige navne hver gang men ender altid på .dll. Typsik ændres min internet startside sig til en 'about-search'. Jeg kører hver gang hijackthis, får en masse R1 og R0 frem, identificerer .dll filen, fjerner den i fejlsikret tilstand, fixer R1 og R0 i hijackthis, kører Adaware og fjerner de CoolWebSearch 'registry keys' som Adaware finder hver gang denne BHO fil etc bliver lagt ind på min computer.

Jeg har nu også været inde og fjerne HOMEOldSP reg. filer gennem 'Regedit' som I anbefalede. Disse HOMEOldSP filer kommer imidlertidig tilbage igen, så 'noget andet' må vel indlægge dem!?

OG: Under HOMEOldSP søgningen kommer der desuden en række andre filer op som virker bekendte (og som ikke burde ligge under reg. editor?) såsom: Search Bar, Search Page, Local Page, about:blank efterfulgt af fx res://%43%3a (osv) eller %systemroot%\system32\blank.htm

Overgaard sagde at han muligvis 'havde noget andet i ærmet' til hvad der skulle fjernes? Er der andre filer jeg kan søge på og fjerne i reg. editor (tilsyneladende deri at der ligger mere snavs?)

Her kommer lige den seneste logfil (før jeg fixer R1 og R0 filerne...)

mvh
Anders

Logfile of HijackThis v1.97.5
Scan saved at 18:44:00, on 10-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmer\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\regedit.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Outlook Express\msimn.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Documents and Settings\Anders Enevold\Skrivebord\Anti-spyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jddpaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jddpaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jddpaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jddpaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jddpaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jddpaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {5AE49741-07BE-49AE-B050-C242BEF06DF4} - C:\WINDOWS\System32\jddpaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: emprun.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programmer\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Synes godt om

xozzi Nybegynder

10. juni 2004 - 18:50 #1

www.spywarefri.dk
download den det der program der cleaner din regbase..
mener også der er noget der hedder "RegCleaner" prøv at søg på google eller download.dk

Synes godt om

serverservice Praktikant

10. juni 2004 - 19:02 #2

Deaktiver systemgendannelse i system.
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
Kør og fix med cwshredder -
Fix dine R0, R1
System32\jddpaa.dll slet denne fil i fejlsikret - genstart , ny log

Synes godt om

enevold1 Nybegynder

10. juni 2004 - 19:06 #3

Jo, men det har jeg gjort masser af gange (skal nok gøre det du skriver - og det gør jeg hver dag!, men det må være i regbasen at der er et problem).

Synes godt om

serverservice Praktikant

10. juni 2004 - 19:24 #4

Ja men hijackthis ordner også registry keys.
Vi er heller ikke færdige for der er mere der skal slettes og fixes.
Slet også alle midlertidige ineternetfiler og cookies. og så gør ovenstående og ny log...

Synes godt om

zyklone Nybegynder

10. juni 2004 - 19:30 #5

Overgaard er en hende. ;-)

Men har ingen endnu anbefalet dig at køre CWShredder i fejlsikret tilstand?
Har du ikke prøvet dette kan du hente den her http://www.spywareinfo.com/downloads/tools/CWShredder.exe Kør programmet og husk at tjekke for updates.

Synes godt om

serverservice Praktikant

10. juni 2004 - 19:35 #6

Du skal slette filen herfra i fejlsikret C:\Programmer\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
Fix disse
O4 - Global Startup: Kodak software updater.lnk = C:\Programmer\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime

Synes godt om

serverservice Praktikant

10. juni 2004 - 19:39 #7

->zyklone hvofor denne comment? Overgaard er en hende. ;-)

Synes godt om

enevold1 Nybegynder

10. juni 2004 - 20:48 #8

CWShredder kører jeg både i og efter fejlsikret tilstand. Jeg har installeret Kodaks digital kamera software for en uge siden - det kan i hvert fald ikke være de filer der gør nogen forskel - problemet har stået på i en måned.
Her en ny logfile efter jeg (igen!) har fixet med hijackthis, CWShredder og Adaware osv osv...
Den ser sikkert fin ud, og det har jeg gjort hver dag de sidste uger, så der må være et alternativ. Det kommer blot tilbage...
Kan I ikke evt anbefale/foreslå nogle andre filer end HOMEOldSP som kan slettes/identificeres i Regedit, og som evt kunne være det der er problemet?

mvh
anders

Logfile of HijackThis v1.97.5
Scan saved at 20:41:09, on 10-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmer\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anders Enevold\Skrivebord\Anti-spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: emprun.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programmer\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Synes godt om

serverservice Praktikant

10. juni 2004 - 21:00 #9

Fix denne
O4 - Global Startup: Kodak software updater.lnk = C:\Programmer\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

C:\Programmer\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
Slet filen i fejlsikret

ny log

Synes godt om

zyklone Nybegynder

10. juni 2004 - 21:33 #10

>dannyboyd Fordi jeg er forvisset om at envold1 referere til Annette Overgaard fra TeamSpywarefri alias aovergaard.

Hvis jeg må blande mig i log debatten skal så ikke denne fjernes også?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

Dette er kun et spørgsmål til dannyboyd og ikke en opfordring til enevold1

Synes godt om

serverservice Praktikant

10. juni 2004 - 21:39 #11

->zyklone, Nej den skulle være ok når han har fjernet de andre..
Nå nu kan jeg se hvad du mener-"Overgaard sagde at han muligvis 'havde noget andet i ærmet' til hvad der skulle fjernes?

Synes godt om

enevold1 Nybegynder

10. juni 2004 - 21:44 #12

Her ny log, men jeg tror desværre ikke det har løst det med reg. filerne som jeg har skrevet før (regedit etc...)

Logfile of HijackThis v1.97.5
Scan saved at 21:45:03, on 10-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anders Enevold\Skrivebord\Anti-spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: emprun.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Synes godt om

serverservice Praktikant

10. juni 2004 - 21:48 #13

Ja det var bedre - hører lige fromsej om der skulle være mere...

Synes godt om

fromsej Praktikant

10. juni 2004 - 21:53 #14

Loggen er ren.
Jeg tror heller ikke du skal fjerne mere med Regedit nu.

Synes godt om

serverservice Praktikant

10. juni 2004 - 22:03 #15

Så kan du trygt aktivere systemgendannelse igen, se også hvordan du sikrer din pc. En god ide ville være Ie-spyad samt spybot m. resident shield. + andre
http://www.eksperten.dk/artikler/144 Spywarefri pc sikkerhed
http://www.eksperten.dk/artikler/254 Undgå spyware & virus
pøj med det...

Synes godt om

enevold1 Nybegynder

10. juni 2004 - 22:03 #16

Tak, men hvad gør jeg så når denne HOMEOldSP dukker op igen (imorgen?)? Der må jo være 'noget' der lægger den ind i Registreringsbasen?

Synes godt om

fromsej Praktikant

10. juni 2004 - 22:04 #17

Gør den det, så kommer du med en ny log, så tager vi det rigtigt tunge skyts i brug.

Synes godt om

serverservice Praktikant

10. juni 2004 - 22:15 #18

http://www.softpile.com/Utilities/AntiVirus/Review_16496_index.html
Jeg kan anbefale Regrun gold tidsbegrænset, til at scanne regdatabasen for unødvendige filer og din opstart.
http://www.majorgeeks.com/download477.html Registry crawler er lynende hurtig til at søge i regdatabasen - men fjern nu ikke mere end godt er...

Synes godt om

enevold1 Nybegynder

10. juni 2004 - 22:44 #19

Har kørt Registry crawler på min computer: Den fandt 80 problemer! Heriblandt 58 .dll filer i C:windows\system32 som den benævnte 'errors'... Kan jeg fjerne dem?
Desuden denne error:
C:windows\system32\cmmgr32.exe

De flg. errors kan kun fixes i den betalte version af programmet:
5 fejl i shared programmes
3 fejl i add/remove programmes
1 fejl i configurations fil

Ville lige høre om jeg skal gå til værks med noget af dette?

mvh
Anders

Synes godt om

enevold1 Nybegynder

10. juni 2004 - 22:45 #20

- og nu har en ny BHO lagt sig ind mens jeg skriver!
Her er loggen:

Logfile of HijackThis v1.97.5
Scan saved at 22:46:54, on 10-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anders Enevold\Skrivebord\Anti-spyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hbfk.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hbfk.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hbfk.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hbfk.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hbfk.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hbfk.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: BHODemon.lnk = C:\Programmer\BHODemon\BHODemon.exe
O4 - Startup: emprun.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Synes godt om

fromsej Praktikant

10. juni 2004 - 22:51 #21

1. Download og installer følgende programmer:

Reglite - http://www.resplendence.com/reglite
Adaware - http://www.lavasoft.de/support/download/
SpyBot S&D - http://www.safer-networking.org/index.php?lang=en&page=download

2. Download og placer programmerne her i deres egne mapper:

CWShredder - http://www.spywareinfo.com/downloads/tools/CWShredder.exe
TheKillBox - http://home8.inet.tele.dk/fbj/TheKillBox.exe

3. Kør Reglite og skriv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

ind i "Adress" feltet, tryk <Enter>.

4. Dobbeltklik på AppInit_DLLs for at åbne "Data Editor", hvis det nederste felt kaldet "Value" indeholder en .dll fil er det den vi leder efter.

5. Den kan ikke slettes endnu, skriv stien og navnet ned på et stykke papir, det skal bruges senere.

6. I venstre vindue, højreklik på mappen "Windows"(Den er fremhævet med lilla), vælg "Rename" og omdøb den til "Notwindows".

7. Klik på AppInit_DLLs igen, slet værdien der indeholder .dll'en klik OK, så burde den være væk.

8. Omdøb "Notwindows" tilbage til "Windows"

9. Kør Spybot, Ad-aware og CWShredder, husk at opdatere online inden du kører programmet.

10. Nu er det tid til at slette den .dll fil.

11. Kør TheKillBox (skal være pakket ud til sin egen mappe). I tekstfeltet skriver du stien til den fil du skrev ned tidligere (eksempelvis c:\windows\system23\dllha.dll). Nu skal du vælge Action -> Delete on reboot. Nu dukker der et lille vindue op - vælg File -> Add file. Vælg Action -> Process and reboot

12. Genstart din PC i Fejlsikret tilstand (ved at taste F8 under opstart). Kør Spybot, Ad-aware og CWShredder igen. Genstart i Normal mode og læg en frisk HijackThis log herind.
______________________________________________

Hvis pkt. 11 ikke virker: Gå i Start -> Kør og skriv cmd og klik OK. Du er nu i et DOS-vindue. Skriv attrib -r "stien til filen du skal slette" (eksempelvis attrib -r c:\windows\system23\dllha.dll)

Gentag pkt. 11 - 12.

Synes godt om

serverservice Praktikant

10. juni 2004 - 22:53 #22

Nej jeg kan se at du bliver guided videre til registry mechanic - jeg kan så ikke anbefale at bruge den , da jeg ikke kender den.
Registry crawler er her - sorry. http://downloads-zdnet.com.com/3000-2094-10185212.html?tag=lst-0-1

Synes godt om

serverservice Praktikant

10. juni 2004 - 23:01 #23

Følger spændt med - kan oplyse at Registry Mechanic fandt 27 fixes som den ville - REPARERE ikke slette - men min pc er ok så jeg lukkede det bare...

Synes godt om

enevold1 Nybegynder

10. juni 2004 - 23:28 #24

Så er det gennemført! (I KillBox kunne jeg dog ikke vælge 'action', 'delete' etc, men blot 'find og destruer fil' - hvilket den så gjorde)
Her kommer ny log:

Logfile of HijackThis v1.97.5
Scan saved at 23:27:26, on 10-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anders Enevold\Skrivebord\Anti-spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: BHODemon.lnk = C:\Programmer\BHODemon\BHODemon.exe
O4 - Startup: emprun.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Synes godt om

fromsej Praktikant

10. juni 2004 - 23:42 #25

Det ser godt ud, men den infektion er hulens svær at få aflivet helt, så jeg vil ikke erklære dig ren endnu, kommer den ikke tilbage indenfor et par dage er det en anden sag.
Jeg vil anbefale dig at installere følgende:
Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Der ligger link til både programmer og manualer i vores artikel #144 som Dannyboyd har linket til højere oppe, men prøv at komme med en ny log på lørdag, hvis der ikke har været problemer, kommer problemet inden kommer du selvfølgelig bare med en log på det tidspunkt.
Du kender vel ikke tilfældigvis en sprængstofekspert der kan blæse CoolWebSearch af H til?

Synes godt om

enevold1 Nybegynder

10. juni 2004 - 23:56 #26

Det lyder ikke rart! Jeg har ellers haft installeret SpywareGuard (opdateres jævnligt og virker fint), Spywareblaster og IE-Spyad (lidt sværere at få online opdateringen til at virke) under hele sceancen...

Synes godt om

serverservice Praktikant

12. juni 2004 - 13:14 #27

Hvordan gik det så med dit hijack? blev den renset godt nok?

Synes godt om

enevold1 Nybegynder

12. juni 2004 - 17:42 #28

Ja tak, det tror jeg - jeg holder stadig vejret i spænding! Der har ikke været noget siden, så jeg håber at fromsejs 'lykke-pille opskrift' har båret frugt! (Han burde jo så egentlig have point for bedriften, men det kan jeg ikke lige give ham her..?)

Synes godt om

serverservice Praktikant

12. juni 2004 - 19:03 #29

Du kan da oprette en spm. til ham seperat hvis det er...

Synes godt om

fromsej Praktikant

12. juni 2004 - 23:04 #30

Det er ikke nødvendigt med point, bare den forbandede CWS er væk. :o)

Synes godt om

enevold1 Nybegynder

13. juni 2004 - 23:35 #31

Kære Fromsej,

Tak for hjælpen, men jeg må desværre skuffe og sige at der i dag netop har lagt sig en ny BHO .dll fil ind!
Jeg har oprettet et nyt spørgsmål med tilhørende point (kaldet Føljeton: Reg. filer CoolWebSearch lagt på computer) hvor jeg har den nye rensede logfile etc beskrevet.

Her er også min logfile efter det sædvanlige med: fjernelse af .dll fil i fejlsikret, fixet i hijackthis, CWSshredder, Adaware også i fejlsikret og sikret at der ikke ligger HOMEOldSP i Regedit.

Der må være noget mere skidt i den registreringseditor!

mvh
Anders

Logfile of HijackThis v1.97.5
Scan saved at 23:15:45, on 13-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anders Enevold\Skrivebord\Anti-spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: emprun.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Synes godt om

fromsej Praktikant

14. juni 2004 - 00:28 #32

Hmm, intet i loggen.
Jeg har lagt en kommentar i din nye tråd, så lad os fortsætte i den.
Vi må sætte hele teamet på i jagten.

Synes godt om

magictouch Nybegynder

14. juni 2004 - 06:23 #33

Prøv om den onlinescan her finder nogen trojanere: http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=TROJ_AGENT.K
Fordi der er nogen, der kan lave det nummer:
Start Page
HOMEOldSP
Search Bar
Et forsøg værd?

Synes godt om

enevold1 Nybegynder

16. juni 2004 - 01:08 #34

God ide! Men jeg kan ikke umiddelbart online scanne fra den hjemmeside. Skal man ikke først have fat i Trendmicro programmet etc...?
Jeg tror du har fat i noget rigtigt! Der må være tale om enten TROJ_AGENT.K og/eller REG_AGENT.K som de skriver - det er i hvert fald de 'registry entries' som de beskriver som jeg har set når jeg kigger gennem Regedit!
Men igen: Hvordan scanner jeg min computer fra den hjemmeside!?

mvh
Anders

Synes godt om

magictouch Nybegynder

16. juni 2004 - 04:14 #35

Kør helt ned i bunden, der står det her: TREND MICRO's free online virus scanner.

Synes godt om

enevold1 Nybegynder

16. juni 2004 - 18:22 #36

Ja, men når jeg trykker siger den 'aktuelle sikkerhedsinstillinger forhindrer at aktiveX objekter kan køre på denne side'!
Hvordan fjernes den sikkerhed?

Synes godt om

serverservice Praktikant

16. juni 2004 - 19:11 #37

under internetindstillinger- sikkerhed

Synes godt om

magictouch Nybegynder

16. juni 2004 - 19:14 #38

Hvis du kører med IE Spyad, så afinstaller den. Du kan installere Spywareguard i stedet: http://www.javacoolsoftware.com/sgdownload.html

Synes godt om

enevold1 Nybegynder

16. juni 2004 - 22:22 #39

Det hjælper at køre med lav sikkerhed, men nu vil den ikke åbne vinduet! Ja, det kan godt lade sig gøre på en anden computer jeg har adgang til, men ikke min egen! Typisk... Andet sted/andre muligheder for at scanne?

Synes godt om

enevold1 Nybegynder

18. juni 2004 - 16:59 #40

test

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed	5	17/03/202610:32	18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed	6	02/02/202614:54	03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed	4	13/01/202617:27	14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed	4	13/11/202515:09	14/11/202510:45
Google fake Af johp i Andet sikkerhed	3	27/10/202516:31	28/10/202506:52

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS