CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede rammy Nybegynder
09. september 2004 - 12:45 Der er 14 kommentarer og
2 løsninger

Hjælp til Hijackthis logfil

Jeg kan ikke ændre min startside i explore.

Nu har jeg kørt ad-aware, SpyBot & CWshredder. Fejlen er har stadig ! Her er den nye Hijackthis log.

Logfile of HijackThis v1.98.2
Scan saved at 11:51:01, on 09-09-2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:ProgrammerFælles filerSymantec SharedccSetMgr.exe
C:ProgrammerFælles filerSymantec SharedccEvtMgr.exe
C:WINNTsystem32spoolsv.exe
C:WINNTSystem32svchost.exe
C:WINNTsystem32hidserv.exe
C:ProgrammerNorton AntiVirus avapsvc.exe
C:WINNTsystem32sdkyr32.exe
C:WINNTsystem32 egsvc.exe
C:ProgrammerNorton AntiVirusSAVScan.exe
C:WINNTsystem32MSTask.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:WINNTExplorer.exe
C:WINNTSystem32sistray.EXE
C:WINNTSystem32khooker.exe
C:WINNTSOUNDMAN.EXE
C:ProgrammerFælles filerSymantec SharedccApp.exe
C:ProgrammerQuickTimeqttask.exe
C:WINNTSystem32aojnjwfb.exe
C:WINNTsystem32iegr32.exe
C:WINNTSystem32internat.exe
C:Documents and SettingsMichael TømmerupApplication Datawssa.exe
C:WINNTSystem32fzlhvh.exe
C:Documents and SettingsMichael TømmerupSkrivebordhijackthis.exe
C:ProgrammerInternet ExplorerIEXPLORE.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINNTjetsr.dll/sp.html#28129
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammerAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammerNorton AntiVirusNavShExt.dll
O2 - BHO: (no name) - {C25844FC-ECFC-7456-77FC-C18F49CBA96C} - C:WINNTd3ha.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINNTSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammerNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [SiS Tray] C:WINNTSystem32sistray.EXE
O4 - HKLM..Run: [SiS KHooker] C:WINNTSystem32khooker.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [ccApp] "C:ProgrammerFælles filerSymantec SharedccApp.exe"
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammerQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [ijffkc] C:WINNTSystem32aojnjwfb.exe
O4 - HKLM..Run: [iegr32.exe] C:WINNTsystem32iegr32.exe
O4 - HKCU..Run: [internat.exe] internat.exe
O4 - HKCU..Run: [Symantec NetDriver Monitor] C:PROGRA~1SYMNET~1SNDMon.exe
O4 - HKCU..Run: [Lhtt] C:Documents and SettingsMichael TømmerupApplication Datawssa.exe
O4 - HKCU..Run: [Glaqk] C:WINNTSystem32fzlhvh.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammerMicrosoft OfficeOfficeOSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:ProgrammerSideFindsidefind.dll (file missing)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_...
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3....
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.c...
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:WINNTmsopt.dll (file missing)


--
http://www.hotspurs.dk- kom ind og snak Championship Manager og fodbold på forumet !
Avatar billede tonnybrandt Nybegynder
09. september 2004 - 13:07 #1
Jeg kigger på den ..
Avatar billede rammy Nybegynder
09. september 2004 - 13:08 #2
takker !
Avatar billede tonnybrandt Nybegynder
09. september 2004 - 13:14 #3
Når nu du skal i gang med at fixe, så er det vigtigt at du ikke har Internet Explorer (IE) åben - så det bedste er at printe instruksen ud - næstbedst er det at kopiere instruksen over i Notepad/Notesblok og læse den derfra.

1. Hent dette program og pak det ud til sin egen mappe:

http://www.downloads.subratam.org/AboutBuster.zip

2. Tryk CTRL+ALT+DEL, vælg fanebladet Processer, find og højreklik på processerne

sdkyr32.exe
egsvc.exe
aojnjwfb.exe
iegr32.exe
wssa.exe
fzlhvh.exe

... vælg Afslut proces.

3. Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINNTjetsr.dll/sp.html#28129
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINNTjetsr.dll/sp.html#28129
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O4 - HKLM..Run: [ijffkc] C:WINNTSystem32aojnjwfb.exe
O4 - HKLM..Run: [iegr32.exe] C:WINNTsystem32iegr32.exe
O4 - HKCU..Run: [Lhtt] C:Documents and SettingsMichael TømmerupApplication Datawssa.exe
O4 - HKCU..Run: [Glaqk] C:WINNTSystem32fzlhvh.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:ProgrammerSideFindsidefind.dll (file missing)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_...
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3....
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.c...
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:WINNTmsopt.dll (file missing)

4. For at kunne se alle filer:

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet:

C:WINNTSystem32aojnjwfb.exe
C:WINNTsystem32iegr32.exe
C:Documents and SettingsMichael TømmerupApplication Datawssa.exe
C:WINNTSystem32fzlhvh.exe

5. Kør AboutBuster, som du hentede tidligere.

6. Genstart og kør HijackThis, scan og læg en frisk log herind (nu må du gerne åbne IE).

Og så ser jeg at din windows 2000 ikke er opdateret med servicepack. Gå på windowsupdate og hent alle kritiske opdateringer. Den burde ligge der.
Avatar billede rammy Nybegynder
09. september 2004 - 13:57 #4
Her er den:

Logfile of HijackThis v1.98.2
Scan saved at 13:57:05, on 09-09-2004
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\system32\addzo32.exe
C:\WINNT\System32\internat.exe
C:\WINNT\system32\sdkyr32.exe
C:\Documents and Settings\Michael Tømmerup\Skrivebord\hijackthis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C25844FC-ECFC-7456-77FC-C18F49CBA96C} - C:\WINNT\d3ha.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [addzo32.exe] C:\WINNT\system32\addzo32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
Avatar billede rammy Nybegynder
09. september 2004 - 13:59 #5
Explore åbner stadig op med den forkerte side...
Avatar billede tonnybrandt Nybegynder
09. september 2004 - 14:14 #6
Hent denne scanner.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.
Gå i fejlsikret tilstand, kør scanneren, og følg så næste vejledning.

Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

O2 - BHO: (no name) - {C25844FC-ECFC-7456-77FC-C18F49CBA96C} - C:\WINNT\d3ha.dll
O4 - HKLM\..\Run: [addzo32.exe] C:\WINNT\system32\addzo32.exe

Åbn herefter en stifinder og slet:

C:\WINNT\d3ha.dll
C:\WINNT\system32\addzo32.exe

Kør så en tur med scanneren en gang til.

Genstart i normal tilstand, åbn Internet explorer og sæt en ny startside. Luk den igen og åbn den, for at se at den bliver ved med at være der.

Genstart så igen og check igen at startsiden er korrekt.

Og så skal vi se en ny log igen
Avatar billede rammy Nybegynder
09. september 2004 - 15:22 #7
Så dur det mester :-D !

Her er log´n:

Logfile of HijackThis v1.98.2
Scan saved at 15:21:31, on 09-09-2004
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\savedump.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\System32\internat.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Michael Tømmerup\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\jetsr.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\jetsr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\jetsr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\jetsr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\jetsr.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\jetsr.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\jetsr.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
Avatar billede tonnybrandt Nybegynder
09. september 2004 - 16:14 #8
Desværre nej, infektionen vendte tilbage: sp.html#28129

Hent dette regcleaner Supreme program, som er gratis i en 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Så skal du lige prøve at følge denne anvisning:

Du skal nu trække netstikket ud af din computer.

Luk ALLE vinduer. Find den mappe hvori du lagde About:Buster. Kør programmet - tryk ok til meddelelsen, tryk på start - tast følgende i den hvide boks, hvis programmet beder dig om det (det vil sjældent ske du skal taste denne linje) –
res://C:\WINNT\jetsr.dll/sp.html#28129 - Kopier den log, som kommer frem i den anden hvide boks. Gem den i notesblok, da du måske skal bruge den lidt senere.

Kør så regcleaner Supreme , som du hentede tidligere.

Sæt så netstikket i igen.

Hent denne fil her, og gem den i C\Windows\System32 : http://home8.inet.tele.dk/fbj/SHELL.DLL

Genstart et par gange normalt, og gå en tur på internettet.

Scan så igen med HiJackThis, og kopier en log herind.

Det er ikke sikkert at ovenstående procedure helt fjerner den da den er et udpluk af en større procedure og er der stadig spor efter den, får du den (ret) store procedure.
Avatar billede tonnybrandt Nybegynder
19. september 2004 - 17:07 #9
Fik du ram på den ?
Avatar billede rammy Nybegynder
21. september 2004 - 08:45 #10
Jeg får først tid til at kigge på det i morgen ( det er ikke min PC ) igen - så jeg håber du er  der " tonnybrandt " ;-)
Avatar billede rammy Nybegynder
22. september 2004 - 13:14 #11
Så har jeg fulgt de råd der blev skrevet d.09/09/04 !

Her er den sidste nye logfil:

Logfile of HijackThis v1.98.2
Scan saved at 13:13:16, on 22-09-2004
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\System32\internat.exe
C:\Temp\Tools\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\jetsr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\jetsr.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\jetsr.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\jetsr.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
Avatar billede tonnybrandt Nybegynder
22. september 2004 - 13:22 #12
Ok, her er så den fulde procedure, som plejer at virke. Som sagt var den sidste procedure kun et udpluk af denne, så denne gang skal du køre det hele igennem:

Hvis ikke du har dem så:
Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware

Hent og opdater CWShredder: http://www.spywareinfo.com/~merijn/files/CWShredder.exe

Hent værktøjet About:Buster lavet af Rubber Ducky.
http://tools.zerosrealm.com/AboutBuster.zip
Opret en mappe på dit skrivebord, og pak About:Buster ud i denne mappe.

Hent dette regcleaner Supreme program, som er gratis i en 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Hent og installer denne engangsskanner fra Kaspersky: http://www.mwti.net/antivirus/free_utilities.asp

Når du gjort dette, skal du lade programmerne du lige har hentet ligge lidt, for du skal bruge dem lidt senere.

Du bruge også et program til at få renset ud i Temp mm.

Hent: http://www.spywarefri.dk/vaerktoj.htm#emptytemp
Og læs manualen til opsætning af programmet her:
http://www.spywarefri.dk/emptytempfolders.manual.htm

Hvis du vælger at bruge programmet, skal du installere og sætte det op med det samme. Jeg vil tilråde at du benytter dette prg. Da det kan lave en total oprydning på din maskine.


Genstart fejlsikret tilstand. Du trykker f8 nogle gange når Windows starter op.

Derefter skal du åbne Hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.

Fix disse med Hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\jetsr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\jetsr.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\jetsr.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\jetsr.dll/sp.html#28129
R3 - Default URLSearchHook is missing


Åbn en tilfældig mappe, klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Søg og slet:

C:\WINNT\jetsr.dll

Nu lukker du ALLE vinduer. Find den mappe hvori du lagde About:Buster. Kør programmet - tryk ok til meddelelsen, tryk på start.


Nu kører du en scanning med Ad-Aware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget CWShredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Genstart.
Så skal du lige en tur i registreringsdatabasen:
Start->Kør, skriv- regedit klik OK.

Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der en nøgle/tekst der hedder-About:blank, hvis ja, så slet den
Klik på - Denne Computer, i regedit vinduet, klik- rediger-søg, skriv: About:blank tryk- Enter. Slet den, tryk F3 -slet - F3 -slet indtil søgningen er færdig.
Samme fremgangsmåde med-HomeOldSP
Genstart

Det er ikke sikkert, der ligger nogen, men vi skal lige være sikre :O)


Så skal du fjerne Temp filer m.m. Du kan bruge EmptyTempFolders. Ved hjælp af manualen, skal du nu slette alt i: Temp, Temporary Internet Files, Cookies, History og tøm derefter din papirkurv.


Kør så Regsupreme som du har hentet tidligere og fix/fjern det den finder

Bagefter kører du så engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
Kør scan/clean.

Genstart og giv mig en ny log fra Hijack til kontrol.
Avatar billede rammy Nybegynder
22. september 2004 - 14:25 #13
Logfile of HijackThis v1.98.2
Scan saved at 14:25:34, on 22-09-2004
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\System32\internat.exe
C:\Temp\Tools\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
Avatar billede tonnybrandt Nybegynder
22. september 2004 - 14:32 #14
Bingo, så røg den. Nu er loggen ren. Du kan nu sætte en ny startside ind og den skulle gerne blive der *s*

Du får lige et link til sikker surfing:
http://www.spywarefri.dk/pakken.htm

Ihvertfald Spywareguard ville være en god ting at installere.
Avatar billede rammy Nybegynder
22. september 2004 - 14:35 #15
" tonnybrandt " det er sq super ! MANGE tak for hjælpen du fortjener samtlige point for din fine service :-D
Avatar billede tonnybrandt Nybegynder
22. september 2004 - 14:52 #16
Velbekomme og takker for point :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
synology surveillance Af johnnylassen i Andet sikkerhed 2 09/06/202514:49 09/06/202518:18
Falsk virusadvarsel fra McAfee hvert 10 sekund! Af frejanatur i Andet sikkerhed 7 25/05/202522:33 26/05/202514:12
Avast pop-up Af frem-ad i Andet sikkerhed 3 10/04/202515:46 10/04/202518:02
Facebook hacked og navn ændret Af Obelix1972 i Andet sikkerhed 5 20/02/202508:51 20/02/202510:17
Kan man tracke, hvis en anden har været i ens gmail? Af Bella i Andet sikkerhed 5 30/12/202422:01 17/01/202520:58
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:57 SMB på Synology Af johnnylassen i Servere
I går 13:51 Anmeldelse af bog i Weekendavisen Af Ikke-ekspert i Fri debat
I går 11:22 20 år gammel mobil simlåst Af xMsBx i Mobiltelefoner
05/0719:11 Ændre autoudfyld i Outlook og Word Af TTA i Office & Kontorpakker
05/0712:27 Office Pro 2019 forsvinder Af mort1 i Office & Kontorpakker
White papers
Flere white papers »


Premium
Teaser billede
Vil fyre tusindvis af ansatte globalt: Nu reagerer Microsofts danske organisation med 800 medarbejdere
Læs mere »
Staten binder sig med ny aftale til Microsoft i usædvanlig lang tid - og det er der en særlig årsag til
Pengene vælter ud af den danske Dynamics-kæmpe Cepheo i selskabets andet leveår - men forretningen buldrer frem
Du skal opdatere hurtigst muligt: Alvorlig sårbarhed opdaget i Citrix-software
Se alle »
Computerworld
Teaser billede
Danmarks største fiberselskab skifter navn: Norlys skal ikke længere hedde Norlys
Læs mere »
Glemte at fjerne adgang for suspenderet it-medarbejder: Næste dag var kunder i Tyskland og Bahrain låst ude
Aktie-kursen ottedoblet på fire år: Er nu verdenshistoriens mest værdifulde selskab
Amerikansk koncern med 700 ansatte i Danmark: Sender besked til kunder 21 måneder efter storstilet angreb
Se alle »
CIO
Teaser billede
Microsoft kæmper med at få Copilot ud over rampen – og det skyldes især én ting
Læs mere »
Her står medarbejderne for at ansætte og fyre - og det har gjort rekruttering af it-professionelle langt lettere
Rigspolitiet gør klar til stort opgør med it-evighedskontrakter: Søger hjælp fra leverandørerne
Mange CISO'er mistrives i jobbet: Nu stiller tidligere cyber security-chef i Energinet og Ørsted et kontroversielt forslag
Se alle »
Job & Karriere
Teaser billede
Fungerede ikke: Dropper AI som erstatning for kundeservice-medarbejdere - har nu brug for nye folk
Læs mere »
It-chef og halv it-afdeling fyret i forsikringsselskab på grund af kommentar om potteplante
Danske it-folk tør ikke længere skifte job hele tiden - og det er der en særlig årsag til
Itm8 fyrer: Opsiger ansatte og reorganiserer
Se alle »
White paper
Teaser billede
NIS2: Sådan styrker du både cybersikkerhed og compliance
Læs mere »
AI og kunderejsen: Sådan vinder du fremtidens forbrugere
Sådan samler du virtualisering og containerdrift i én løsning
Udnyt Genesys Cloud CX optimalt og styrk kundeoplevelsen
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »