Søg
Avatar billede enevold1 Nybegynder
13. juni 2004 - 23:25 Der er 18 kommentarer og
1 løsning

Føljeton: Reg. filer CoolWebSearch i system32

Så er den desværre gal igen!
Specielt til fromsej som i torsdags forsøgte at rense min computer for CoolWebSearch reg. filer:

I dag dukkede en ny BHO op og lagde endnu en .dll fil ind i system32. Som før har jeg fjernet filen i fejlsikret, fixet i hijackthis, kørt CWShredder, og fjernet rester i Adaware. Og sikret at der nu ikke er nogen HOMEPldSP i regedit.
Nedenfor er den rene logfile derefter.

Har I (måske især fromsej) nogen ideer til hvad jeg kan gøre for at komme dette tilbagevendende problem til livs? Det kan være at den opskrift fromsej gav mig i sidste uge har afhjulpet noget, men desværre ikke det hele!
Programmet Registry Mechanic identificerer specielt en error i configurations filer som måske skal repareres?
Det er sandsynligvis i registreringseditor at problemet ligger begravet.

Håber problemet kan få en ende!

mvh
Anders

Logfile of HijackThis v1.97.5
Scan saved at 23:15:45, on 13-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anders Enevold\Skrivebord\Anti-spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: emprun.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede johnstigers Seniormester
13. juni 2004 - 23:40 #1
Der er da ingen BHO der, som ikke må være der???
Avatar billede enevold1 Nybegynder
13. juni 2004 - 23:45 #2
Nej, jeg har jo netop renset det hele, men der bliver lagt nye BHO og .dll filer ind hele tiden fra 'ukendt' side. Højest sandsynligt fra et eller andet sted i Reg.editor..
Avatar billede johnstigers Seniormester
13. juni 2004 - 23:47 #3
ok...

Jeg er rimelig sikker på at fromsej vil skrive at du ikke skal fixe selv, men smide log herind med skidtet i så det kan blive identificeret :)
Avatar billede johnstigers Seniormester
13. juni 2004 - 23:48 #4
Så næste gang, fix ikke selv men overlad det til en ekspert :)
Avatar billede fromsej Praktikant
14. juni 2004 - 00:25 #5
Kan du ikke næste gang problemet opstår, simpelthen skrive alt ned der sker, alle navne alle hændelser, så har vi noget at jagte.
Den forb. CoolWebSearch er næsten umulig at slå ihjel, desværre og de folk der laver den har en kæmpe pengetank i ryggen, vi andre er frivillige bekæmpere, det er hårde odds, men intet får os til at kaste håndklædet.
(Måske 10 mill US$ på en bankkonto i Luxembourg, hint til CWS)
Avatar billede enevold1 Nybegynder
14. juni 2004 - 00:44 #6
OK, vender tilbage når en ny fil detekteres af spywareguard
Avatar billede magictouch Nybegynder
14. juni 2004 - 05:51 #7
Du har fjernet HOMEPldSP i regbd. Har du oga gjort det samme med- About:Blank?
Avatar billede enevold1 Nybegynder
16. juni 2004 - 00:51 #8
Så er denne nfka.dll BHO blevet lagt ind i system32.
Jeg har med vilje ikke fixet denne BHO og R0erne.
Nu ser det ud til at det påvirker temp. mappen jvf. R0 lokationerne? Jeg prøver at fjerne About:Blank i Regedit. Er der andet jeg skal prøve at fjerne i regedit foruden HOMEOldSP?

mvh
Anders

Logfile of HijackThis v1.97.5
Scan saved at 00:47:39, on 16-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmer\QuickTime\qttask.exe
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Documents and Settings\Anders Enevold\Skrivebord\Anti-spyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {C7D89EB3-0767-43CF-9044-CC8D3B868CD0} - C:\WINDOWS\System32\nfkpa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: emprun.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede aovergaard Nybegynder
17. juni 2004 - 03:41 #9
Hej enevold

Hent det her program først:
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
Efter download dobbeltklikkes på exe-filen og der klikkes på knappen: Desinfektion starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.
Herefter køres engang med CWShredder, da den lige skal fjerne en enkelt registrering.


Hent CWShredder her:
http://www.computercops.biz/zx/phoenix22/cws.zip
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start->Kør skriv regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Klik så på "Denne computer" i Regeditvinduet, derefter på "Redigér->Søg" skriv "Homeoldsp" klik på "find næste" slet det den finder og tryk på <F3> slet, <F3> til du får at vide at søgningen er afsluttet.
Samme fremgangsmåde med søgeordet About:blank.


Derefter genstart.
Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Kør en scanning med hijackthis. Du får lige alle de filer som skal fjernes hvis der da er nogen tilbage at fjerne.

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her:  http://www.spywarefri.dk/virusscannere.htm#alle

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {C7D89EB3-0767-43CF-9044-CC8D3B868CD0} - C:\WINDOWS\System32\nfkpa.dll

For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i fejlsikret tilstand søg og slet det med fed:
C:\WINDOWS\System32\nfkpa.dll --> nfkpa.dll
C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\sp.html --> Tøm alt hvad der ligger i Temp mappen.

Genstart, ny log til tjek. Denne gang skal du lige hente en nyere version af Hijackthis, det er en forældet version du har.
Avatar billede enevold1 Nybegynder
18. juni 2004 - 12:28 #10
Har nu kørt ovenstående igennem med gammel hijackthis version, da jeg ikke ved hvordan jeg finder en ny version. Skriver fra arbejdet, så jeg kan ikke vise ny logfile, men den ligner alle de andre gange min computer er blevet 'renset', men hvor problemet alligevel dukker op igen - skjult i reg. editor...

Ville meget gerne kunne køre denne online scan:
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=TROJ_AGENT.K
- da jeg tror den vil kunne finde 'roden til problemet'. MEN min computer (andre kan godt...) vil ikke åbne programmet/scanneren) selv ved lav internetsikkerhed...
Kan I foreslå andre tilsvarende programmer/online scannere der kan tjekke for TROJ_AGENT.K og/eller REG_AGENT.K...?? Det vil sandsynligvis kunne løse problemet.

mvh
Anders
Avatar billede enevold1 Nybegynder
18. juni 2004 - 17:00 #11
test
Avatar billede johnstigers Seniormester
18. juni 2004 - 19:53 #12
Kommentar: enevold1
18/06-2004 17:00:44 test

øøøhhh???
Avatar billede enevold1 Nybegynder
18. juni 2004 - 23:43 #13
Ja, nu har jeg i mellemtiden fået problemer med at sende logfiler fra min computer og ind i dette forum - derfor min test foroven. Tekst kan jeg godt sende, men ikke logfiler... Jeg får hver eneste gang (5 gange i træk) beskeden at: iexplore.exe har fundet en fejl og afsluttes. Vi beklager ulejligheden.
- og IE lukkes ned og umuliggør sending af beskeder!
Hvad det lige pludselig skyldes aner jeg ikke, men måske du kan hjælpe! Skal jeg geninstallere opdatere eller justere på mine IE indstillinger?

Mvh
Anders
Avatar billede aovergaard Nybegynder
19. juni 2004 - 02:22 #14
For at rep. IE som går ned.

Gå i start - kør - skriv: sfc /scannow -tast enter
Windows Cd skal ligge i drevet.
Mellemrummet mellem sfc og / skal være der.

Prøv at installere en trojanscanner som TrojanHunter. Det er nok et af de bedste prg. som findes. Du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/?aff=19652 Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter. Så skulle den meget gerne fjerne dine trojanske heste fra din computer

En god viruscanner - engangscanner til download finder du her:
http://www.mwti.net/antivirus/free_utilities.asp
Avatar billede enevold1 Nybegynder
21. juni 2004 - 20:45 #15
Tak, jeg tror problemet er midlertidig løst efter at have fjernet en del gennem trojanhunter! Der har ikke været noget siden! Det var lækkert!
Avatar billede enevold1 Nybegynder
21. juni 2004 - 20:45 #16
Hvorfor kan jeg ikke give pointene væk!?
Avatar billede fromsej Praktikant
21. juni 2004 - 21:02 #17
Fordi Aovergaard ikke har lagt et svar, det får jeg hende lige til.*S*
Avatar billede aovergaard Nybegynder
21. juni 2004 - 21:04 #18
Det gør jeg så lige ;) Glad for at det har virket.
Avatar billede aovergaard Nybegynder
21. juni 2004 - 21:50 #19
Takker for point:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 12:32 iPadOS 26.4.1 kan ikke opdatere Af claes57 i Apps til iOS
I går 10:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
06/0419:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
06/0417:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
06/0413:13 Batch OCR Af KurtG i Billedbehandling
White papers
Flere white papers »