Hijackthis log - lige nu kidnappet af res://zinnq.dll/index.html#

Haaber nogen kan hjaelpe - Jeg er paa ferie i Belgien og vil gerne have popups vaek saa vi kan se Tour de France resultater

Jeg kigger på den nu.

fromsej > Tak for hurtig respons. Jeg kan foerst checke beskeder igen om en time. mvh Joern

Det er en rigtig modbydelig infektion du har fået, det kan gå så galt at det ender med format C:, giv venligst ikke mig skylden, men CoolWebSearch der er skyld i alle dine problemer.(Anvisningen plejer at virke.*S*)

Hent værktøjet About:Buster lavet af Rubber Ducky.
http://tools.zerosrealm.com/AboutBuster.zip
Opret en mappe på dit skrivebord, og pak About:Buster ud i denne mappe.

Hent dette regcleaner Supreme program, som er gratis i en 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Hent og installer denne engangsskanner fra Kaspersky: http://www.mwti.net/antivirus/free_utilities.asp


Enten skal du bruge et program til at få renset ud i Temp mm. eller gøre det manuelt som senere vist.

Hent: http://www.spywarefri.dk/vaerktoj.htm#emptytemp
Og læs manualen til opsætning af programmet her:
http://www.spywarefri.dk/emptytempfolders.manual.htm

Hvis du vælger at bruge programmet, skal du installere og sætte det op med det samme. Jeg vil tilråde at du benytter dette prg. da det kan lave en total oprydning på din maskine.


Udskriv denne anvisning, da du skal af Nettet senere.

Når du gjort dette, skal du lade programmerne du lige har hentet ligge lidt, for du skal bruge dem lidt senere.

---------------------------------------------------------------------------------------

Slå nu systemgendannelse fra.
Hvis du ikke ved, hvordan du gør det så kig her:
http://www.spywarefri.dk/virusscannere.htm#alle

---------------------------------------------------------------------------------------

Du skal nu trække netstikket ud af din computer.

Brug "Taskmanager/procesliste" (Ctrl+Alt+Del) til at afslutte følgende processer hvis du kan finde dem:

C:\WINDOWS\mfctk.dll
C:\WINDOWS\System32\ogzylcmj.exe
C:\WINDOWS\system32\appgj.exe
C:\WINDOWS\System32\run_21.exe
p2esocks_1015.dll
C:\WINDOWS\system32\mfcjj.exe
C:\WINDOWS\sdkda32.exe
C:\WINDOWS\system32\ipyw32.exe
C:\WINDOWS\atloa.exe
C:\WINDOWS\system32\addmy32.exe
-------------------------------------------------------------------------------------

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge

ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er

meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at

lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

BEMÆRK: DU MÅ KUN FIXE DEM VI BEDER DIG OM

Fix disse:

O2 - BHO: (no name) - {97E5C8C2-A677-8AF0-992D-76300B4C0DD6} - C:\WINDOWS\mfctk.dll
O4 - HKLM\..\Run: [kyzpqkcwzsn] C:\WINDOWS\System32\ogzylcmj.exe
O4 - HKLM\..\Run: [appgj.exe] C:\WINDOWS\system32\appgj.exe
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\run_21.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess
O4 - HKLM\..\RunOnce: [mfcjj.exe] C:\WINDOWS\system32\mfcjj.exe
O4 - HKLM\..\RunOnce: [sdkda32.exe] C:\WINDOWS\sdkda32.exe
O4 - HKLM\..\RunOnce: [ipyw32.exe] C:\WINDOWS\system32\ipyw32.exe
O4 - HKLM\..\RunOnce: [atloa.exe] C:\WINDOWS\atloa.exe
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1015_EN_XP.cab
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaBE89.exe
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://63.217.31.12/dial/058361be.exe
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} - http://exe.dialer.tintel.nl/tcw.cab
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini (file missing)

---------------------------------------------------------------------------------------


Nu lukker du ALLE vinduer. Find den mappe hvori du lagde About:Buster. Kør programmet - tryk ok til meddelelsen, tryk på start - tast følgende i den hvide boks, hvis programmet beder dig om det (det vil sjældent ske du skal taste denne linje) – res://C:\WINDOWS\zinnq.dll/sp.html#96676 - Kopier den log, som kommer frem i den anden hvide boks. Gem den i notesblok, da du skal bruge den lidt senere.

---------------------------------------------------------------------------------------

Så skal vi lige være sikre på at du kan se alle filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.

---------------------------------------------------------------------

Nu skal der ryddes op i Temp filer m.m. Du kan enten bruge metoden som vist
herunder, eller bruge EmptyTempFolders. Ved hjælp af manualen, skal du nu slette alt i:
Temp, Temporary Internet Files, Cookies, History og tøm derefter din papirkurv.

Den ”manuelle løsning”
Slet alle filer/mapper i følgende mapper (IKKE hele mappen, KUN alle filer/mapper i mappen)

C:\Windows\Temp\
C:\Documents and Settings\<Din bruger>\Local Settings\Temp\
C:\Documents and Settings\<Alle andre brugere>\Local Settings\Temp\
C:\Documents and Settings\<Din bruger>\Local Settings\Temporary Internet Files\
C:\Documents and Settings\<Alle andre brugere>\Local Settings\Temporary Internet Files\
Tøm din "Papirkurv"
----------------------------------------------------------------------------------
Brug Start->Søg til at finde stien til denne her: p2esocks_1015.dll
Så får du lige et lille job. Åbn Notepad/Notesblok du finder det under - Start -

Tilbehør. Kopier det her ind i Notepad/Notesblok:


del C:\WINDOWS\mfctk.dll /f
del C:\WINDOWS\System32\ogzylcmj.exe /f
del C:\WINDOWS\system32\appgj.exe /f
del C:\WINDOWS\System32\run_21.exe /f
del C:\STI\TIL\p2esocks_1015.dll /f        >>>Her skal du skrive den rigtige sti !!!
del C:\WINDOWS\system32\mfcjj.exe /f
del C:\WINDOWS\sdkda32.exe /f
del C:\WINDOWS\system32\ipyw32.exe /f
del C:\WINDOWS\atloa.exe /f


Gem filen som: clear.bat
I filtypen skal der stå ”Alle filer”
Klik derefter på gem.

Lukke ALLE vinduer - dobbeltklik på filen clear.bat - det kan du roligt gøre et par gange.

For en sikkerheds skyld skal du bagefter, tjekke om disse filer er blevet slettet. Hvis
de ikke er, prøv da at slette dem manuelt. Hvis du ikke kan slette dem, og der opstår
fejl, prøv da at trykke ”ctrl+alt+del” og afslut dem i ”Taskmanager” og prøv så at
slette dem.

---------------------------------------------------------------------------
Kør HijackThis igen og se om de ting du lige har slettet er kommet igen. Hvis de er kommet igen, marker da disse filer igen ligesom før og fix dem, og kør About:Buster  igen (At gøre dette to gange er ikke ualmindeligt).

Kør så Regsupreme som du har hentet tidligere og fix/fjern det den finder

Bagefter kører du så engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.

Og følg det råd her med at få lagt den adresse i klassificeret zone og evt også i firewall http://www.spywarefri.dk/virus.htm#snedig

Hent denne fil her, og gem den i C\Windows\System32 : http://home8.inet.tele.dk/fbj/SHELL.DLL

Genstart (<----Dette skulle gerne være din første genstart efter vi startede)

Kør en ny scanning med Hijackthis, og kopier en frisk log herind.

Puha! Sikke en omgang.
Her foelger en ny hijackthis.log

Jeg har vist ikke flere problemer. Saa starter jeg ihvertfald en ny traad.

Tak for hjaelpen.

Logfile of HijackThis v1.97.7
Scan saved at 18:26:56, on 18/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Administrator\Bureaublad\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/First2Enter/Portal/portal.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - Startup: Snelkoppeling naar clear.lnk = C:\Documents and Settings\Administrator\Bureaublad\clear.bat
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Det ser også en del bedre ud, men det er desværre ikke overstået.
Hent CWShredder her:
http://download.softpedia.com:8080/ANTIVIRUS/CWShredder.exe
Placer det i en mappe for sig selv.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer, luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start->Kør skriv regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Klik så på "Denne computer" i Regeditvinduet, derefter på "Redigér->Søg" skriv "Homeoldsp" klik på "find næste" slet det den finder og tryk på <F3> slet, <F3> til du får at vide at søgningen er afsluttet.
Samme fremgangsmåde med søgeordet About:blank.

Kør så Hijackthis igen og fix:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Derefter genstart, og en ny hijackthislog.
Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Ikke forbi endnu? Sikke et mareridt. Alt ser ellers OK ud.

Jeg havde problemer med at downlodad CWShredder. Det er vist nok fordi merijn.org er nede. Jeg fandt alternativt download site via google.

Nu ser hijackthis log saadan ud:

Logfile of HijackThis v1.97.7
Scan saved at 19:26:12, on 19/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Administrator\Bureaublad\antivirus\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/First2Enter/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Så er din log ren.
Vi har skrevet et par artikler om sikkerhed på nettet.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.

Tak for hjaelpen - Jeg kan se at der er nogen der laegger helt op til 200 point for hjaelp med virus. Vil du have flere point skal du bare sige til.

Velbekomme, tak for point.*S*
60 point er fint, det havde 5 såmænd også været, der findes en del ting jeg går mere op i end point, købmanden griner alligevel bare når jeg vil købe en kasse øl for Eksperten point. ;o)