CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede hijacked Nybegynder
14. juli 2004 - 17:54 Der er 24 kommentarer og
1 løsning

Hijacked!! browser startup sætter ny startside

Hej!

Jeg har en krise situation på min PC for tiden :-) Jeg har gennemgået alle cleanup jeg kender <ad-aware, hijackthis, cwshredder> men jeg ender op med en helt clean hijackthis log og ad-aware log I safemode. Når jeg så skifter til normal mode med har slået system gendannelse fra får jeg denne efter at have startet en browser!!!:

Logfile of HijackThis v1.97.7
Scan saved at 15:38:43, on 13-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\appmg.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\appnh.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Fredrik Brodin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\szljd.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://szljd.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://szljd.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\szljd.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://szljd.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\szljd.dll/sp.html#37049
O2 - BHO: (no name) - {CAEBAB9D-5B6A-D04D-3DF1-1992B30E11BB} - C:\WINDOWS\system32\appnh.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [appnh.exe] C:\WINDOWS\system32\appnh.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://skinfakse.certifikat.dk/csp/authenticode/PrimeInkCSPInstall0703.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA4EB021-5F1C-11D4-B006-00104B98E2C7} (McAfee Clinic Installer Control) - http://download.mcafee.com/molbin/shared/MInstall.cab

BEMÆRK. jeg er rimeligt sikker på at de virkelige spøgelser her er appnh.dll og appnh.exe. appnh.exe kører så snart jeg starter en browser, men jeg har den ikke liggende på filsystemet heller ikke dll'en. Håber meget der er en der kan hjælpe har siddet hele natten igår og prøvet selv!
Avatar billede arlet Juniormester
14. juli 2004 - 19:13 #1
løber den igennem nu
Avatar billede arlet Juniormester
14. juli 2004 - 19:16 #2
Først skal du slå systemgendannelse fra.
Hvis du ikke ved, hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm

Genstart i fejlsikret tilstand (f8 ved opstart)

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\szljd.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://szljd.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://szljd.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\szljd.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://szljd.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\szljd.dll/sp.html#37049

O2 - BHO: (no name) - {CAEBAB9D-5B6A-D04D-3DF1-1992B30E11BB} - C:\WINDOWS\system32\appnh.dll

O4 - HKLM\..\Run: [appnh.exe] C:\WINDOWS\system32\appnh.exe


Find og slet manuelt:

C:\WINDOWS\system32\appnh.dll
C:\WINDOWS\system32\appnh.exe


Genstart normalt og kom med en ny log til tjek.
Avatar billede hijacked Nybegynder
14. juli 2004 - 19:58 #3
Hej!

Loggen ser nu således ud. Jeg har slettet appnh.dll og appnh.exe under c:\windows\system32 jeg kunne ikke finde dem først men de lå gemt som operativsystemfiler!! Min browser startede op med about:blank men jeg får stadig popups.

Logfile of HijackThis v1.97.7
Scan saved at 19:59:27, on 14-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\appmg.exe
C:\WINDOWS\system32\appnh.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\QuickTime\qttask.exe
C:\Documents and Settings\Fredrik Brodin\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

O2 - BHO: (no name) - {CAEBAB9D-5B6A-D04D-3DF1-1992B30E11BB} - C:\WINDOWS\system32\appnh.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [appnh.exe] C:\WINDOWS\system32\appnh.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [appmg.exe] C:\WINDOWS\system32\appmg.exe
O4 - HKLM\..\RunOnce: [crqg.exe] C:\WINDOWS\crqg.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://skinfakse.certifikat.dk/csp/authenticode/PrimeInkCSPInstall0703.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA4EB021-5F1C-11D4-B006-00104B98E2C7} (McAfee Clinic Installer Control) - http://download.mcafee.com/molbin/shared/MInstall.cab
Avatar billede hijacked Nybegynder
14. juli 2004 - 20:00 #4
appnh filerne ligger der igen!!
Avatar billede arlet Juniormester
14. juli 2004 - 20:06 #5
Start op i fejlsikret(f8 ved opstart) og slet:
C:\WINDOWS\system32\appmg.exe
C:\WINDOWS\system32\appnh.exe
C:\WINDOWS\crqg.exe

genstart normalt og fix disse i hijackthis:
O2 - BHO: (no name) - {CAEBAB9D-5B6A-D04D-3DF1-1992B30E11BB} - C:\WINDOWS\system32\appnh.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [appnh.exe] C:\WINDOWS\system32\appnh.exe
O4 - HKLM\..\RunOnce: [appmg.exe] C:\WINDOWS\system32\appmg.exe
O4 - HKLM\..\RunOnce: [crqg.exe] C:\WINDOWS\crqg.exe

genstart normalt og ny hijackthis log..
Avatar billede hijacked Nybegynder
14. juli 2004 - 20:25 #6
Hmmm det blev jo ikke ligefrem bedre...hvordan f..... kommer de appnh filer tilbage efter de er slettet??

Logfile of HijackThis v1.97.7
Scan saved at 20:25:43, on 14-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\appmg.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\appnh.exe
C:\Documents and Settings\Fredrik Brodin\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ydohp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ydohp.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ydohp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ydohp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ydohp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ydohp.dll/sp.html#37049
O2 - BHO: (no name) - {CAEBAB9D-5B6A-D04D-3DF1-1992B30E11BB} - C:\WINDOWS\system32\appnh.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [appnh.exe] C:\WINDOWS\system32\appnh.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [appmg.exe] C:\WINDOWS\system32\appmg.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://skinfakse.certifikat.dk/csp/authenticode/PrimeInkCSPInstall0703.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA4EB021-5F1C-11D4-B006-00104B98E2C7} (McAfee Clinic Installer Control) - http://download.mcafee.com/molbin/shared/MInstall.cab
Avatar billede hijacked Nybegynder
14. juli 2004 - 20:28 #7
appnh.exe har timestamp 22/02/2004 mens dll har 02/05/2004
Avatar billede arlet Juniormester
14. juli 2004 - 20:31 #8
Så prøver vi sådan:

Find filerne med dette program og filerne bliver helt sikkert slettet, evt efter genstart:
http://www.spywarefri.dk/tipsogtricks.htm#dr.delete

C:\WINDOWS\system32\appmg.exe
C:\WINDOWS\system32\appnh.exe

genstart og ny log
Avatar billede hijacked Nybegynder
14. juli 2004 - 20:42 #9
Er du klar? :-)

den har slettet appmg.exe for den brokkede sig over den ikke var der ved startup. den anden derimod....nope.

Men den referer nu til en anden dll i BHO'en nu???

Logfile of HijackThis v1.97.7
Scan saved at 20:42:40, on 14-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sysxr32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\syspk.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Fredrik Brodin\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ydohp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ydohp.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ydohp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ydohp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ydohp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ydohp.dll/sp.html#37049
O2 - BHO: (no name) - {6728F0D9-78EF-A265-D7BD-034EEB9FEA0B} - C:\WINDOWS\apikv.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [appnh.exe] C:\WINDOWS\system32\appnh.exe
O4 - HKLM\..\Run: [syspk.exe] C:\WINDOWS\system32\syspk.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [sysxr32.exe] C:\WINDOWS\system32\sysxr32.exe
O4 - HKLM\..\RunOnce: [mfcsw.exe] C:\WINDOWS\mfcsw.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://skinfakse.certifikat.dk/csp/authenticode/PrimeInkCSPInstall0703.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA4EB021-5F1C-11D4-B006-00104B98E2C7} (McAfee Clinic Installer Control) - http://download.mcafee.com/molbin/shared/MInstall.cab
Avatar billede hijacked Nybegynder
14. juli 2004 - 20:54 #10
ahh appnh.exe kører faktisk ikke længere!
Avatar billede hijacked Nybegynder
14. juli 2004 - 20:58 #11
ahh ok den har slettet appnh.exe den ligger der ikke længere så kan jeg vel bare køre hijackthis forfra i safemode slette etc som beskrevet før?
Avatar billede resist Nybegynder
14. juli 2004 - 21:14 #12
Du skal lige hente et program, ellers fortsætter det bare i en uendelighed:
http://www.atribune.org/downloads/AboutBuster.zip
Pak det ud i en mappe for sig selv.

Start op i fejlsikret og fix:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ydohp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ydohp.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ydohp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ydohp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ydohp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ydohp.dll/sp.html#37049
O2 - BHO: (no name) - {6728F0D9-78EF-A265-D7BD-034EEB9FEA0B} - C:\WINDOWS\apikv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [appnh.exe] C:\WINDOWS\system32\appnh.exe
O4 - HKLM\..\Run: [syspk.exe] C:\WINDOWS\system32\syspk.exe
O4 - HKLM\..\RunOnce: [sysxr32.exe] C:\WINDOWS\system32\sysxr32.exe
O4 - HKLM\..\RunOnce: [mfcsw.exe] C:\WINDOWS\mfcsw.exe

Søg og slet:
C:\WINDOWS\apikv.dll
C:\WINDOWS\system32\ydohp.dll
C:\WINDOWS\system32\appnh.exe
C:\WINDOWS\system32\syspk.exe
C:\WINDOWS\system32\sysxr32.exe
C:\WINDOWS\mfcsw.exe

Så kører du aboutbuster.

Genstart og ny log til kontrol
Avatar billede andersenph Nybegynder
14. juli 2004 - 21:19 #13
*Bump*
Avatar billede andersenph Nybegynder
14. juli 2004 - 21:24 #14
Jeg fik et link over icq om dette spørgsmål, jeg lagde min kommentar mens jeg var lokket ind via linket og kom til at fremstå som resist, men det er altså mig der lagde den kommentar kl. 21:14:58
Avatar billede hijacked Nybegynder
14. juli 2004 - 22:04 #15
Jeg tror næsten ikke det er sandt men check lige loggen nu:

Logfile of HijackThis v1.97.7
Scan saved at 22:06:08, on 14-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Fredrik Brodin\Desktop\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://skinfakse.certifikat.dk/csp/authenticode/PrimeInkCSPInstall0703.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA4EB021-5F1C-11D4-B006-00104B98E2C7} (McAfee Clinic Installer Control) - http://download.mcafee.com/molbin/shared/MInstall.cab

TUSIND TAK FOR HJÆLPEN!!!
Avatar billede hijacked Nybegynder
14. juli 2004 - 22:07 #16
hvordan gør jeg med min accpet af svaret? skal jeg accepte andersenph eller Arlet?
Avatar billede resist Nybegynder
14. juli 2004 - 22:10 #17
Så fixer du lige denne med HijackThis:

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab

Derefter genstarter du et par gange for en sikkerheds skyld og sender en ny log herind.
Avatar billede hijacked Nybegynder
14. juli 2004 - 22:18 #18
fixed og jeg har restartet et par gange:

Logfile of HijackThis v1.97.7
Scan saved at 22:20:17, on 14-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Fredrik Brodin\Desktop\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://skinfakse.certifikat.dk/csp/authenticode/PrimeInkCSPInstall0703.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA4EB021-5F1C-11D4-B006-00104B98E2C7} (McAfee Clinic Installer Control) - http://download.mcafee.com/molbin/shared/MInstall.cab
Avatar billede hijacked Nybegynder
14. juli 2004 - 22:20 #19
er der nogen måde jeg kan forhindre noget lign i at ske igen?
Avatar billede resist Nybegynder
14. juli 2004 - 22:23 #20
Det har du gjort godt ;-)

Din log ser ren ud, og du må slå systemgendannelse til igen.

Her er et link til sikker surfing: http://www.spywarefri.dk/pakken.htm
Avatar billede resist Nybegynder
14. juli 2004 - 22:29 #21
Så venter du bare på, at andersenph lægger et svar ;-)
Avatar billede andersenph Nybegynder
14. juli 2004 - 23:17 #22
Glæder mig at kunne hjælpe :O)
Avatar billede hijacked Nybegynder
14. juli 2004 - 23:39 #23
Det var helt perfekt jeg har fik her, tak til alle der bidrog!
Avatar billede andersenph Nybegynder
14. juli 2004 - 23:41 #24
Jeg takker for point :O)
Avatar billede resist Nybegynder
14. juli 2004 - 23:45 #25
hijacked >> Velbekomme ;-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Google ser ud til at være malware, lyder advarsel på alle vore mobiler! Af vbr i Virus 9 30/10/202312:12 15/12/202310:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 15:04 Recovery Af clausito i Tablet
I dag 10:13 deny VS not Allowed Af lars i Windows
I dag 09:24 Avast eller andet program Af eksmojo i Backup- & Antivirus
I går 20:40 Outlook -hyppighed for synkronisering POP3-konto Af Bård Jensen i Office & Kontorpakker
I går 17:01 sammenlægge 2 eller 3 kolonner til 1 kolonne Af Klaus W i Excel
White papers
Flere white papers »


Premium
Teaser billede
Vælg it-sikkerhed, hvis du gerne vil tjene mange penge: Disse cheftitler scorer de højeste lønninger i it-branchen
Læs mere »
CIO hos Alm. Brand rydder op i legacy-systemer og skaber en ny it-arkitektur: Stripper alt ned til standardkode for at sikre fremtiden
Kunderne har talt: Disse tre selskaber har de bedste produkter og ydelser i den danske it-branche
Aarhusiansk it-firma tjener millioner på digitale billedrammer: Overskuddet vokser med vanvittige 460 procent
Se alle »
Computerworld
Teaser billede
Prøvekørt: Polestar 3 er en rendyrket designer-bil, som er ude på at forføre dig
Læs mere »
Test: At sætte Wi-Fi til din fjernvarme er hamrende smart, også selvom det ikke sparer dig for formuer på varme-regningen
Test af to nye robotplæneklippere: En dyr og en mere overkommelig
Han er Danmarks bedste CIO: Martin Wood vinder Årets CIO 2024
Se alle »
CIO
Teaser billede
OUH's fynske hosting-leverandør på vej mod konkurs efter ransomware-angreb: Kan ikke genoprette ramte systemer
Læs mere »
Han er Danmarks bedste CIO: Martin Wood vinder Årets CIO 2024
Microsoft dropper ny funktion i Copilot få måneder efter lanceringen
Næsten halvdelen af de statslige it-projekter sprænger budget og tidsramme: Disse projekter er der problemer med
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Google fyrer hele sit Python-team
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Se alle »
White paper
Teaser billede
MDR: Transparent sikkerhed og overvågning i realtid
Læs mere »
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Opdag fordelene ved cloud-baseret backup og recovery
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »