prob med angivelse af startside

Følg vejledningen her:
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker du Hijackthis og smider filen i en mappe, oprettet kun til den. Kør filen, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Tror ik du læste hvad jeg skrev. Eller så har jeg ik skrevet det ordentligt, det gik nemlig lidt hurtigt. Jeg HAR allerede brugt både Hijackthis og Spybot S&D, og det har afhjulpet problemet, bortset fra at jeg stadig ik har adgang til at angive min startside.

Jeg kender godt til Hijackthis, og har ik fjernet noget jeg ik skulle, kun det der var relateret til den der iwantsearch, fjerner helst lidt ad gangen indtil der sker noget :D Men du kan da godt lige få ss af hijackthis scanningen som den ser ud nu (efter!) hvis det skulle hjælpe: www.bjoern.bert.dk/hj.jpg <-- der

Men er min Internet Explorer beskadiget, eller er der en eller anden kryptisk setting somewhere som jeg lige skal slå til/fra (som iwantsearch har pillet ved)?

Skal lige sige at min mozilla firefox browser ingen problemer har med startside osv. - men kan nu bedst lide IE, så det er lidt et handicap hvis jeg skal til at bruge firefox...

Jeg vil give dig ret i at jeg havde overset at du havde kørt HiJackThis, men jeg tror du har overset noget i den

Feks
syschk:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_HOLAR.F

At du ikke kan ændre startside kan have noget at gøre med restrictions i kontrolpanelet som jeg også kan se deri, og så er regedit disablet.

Prøv nu lige at kopiere den log herind, det er ikke til at se noget på et billede, og jeg kan heller ikke se de kørende processer.

yes den kommer her

Logfile of HijackThis v1.97.7
Scan saved at 19:27:30, on 22-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmer\Java\j2re1.4.2\bin\jusched.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
D:\games\steam\steam.exe
C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
D:\Programmer\UMIP\InterBase\bin\ibguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programmer\Rainlendar\Rainlendar.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programmer\UMIP\InterBase\bin\ibserver.exe
F:\AlphaAudio\AlphaPlayer.exe
C:\Programmer\Internet Explorer\iexplore.exe
d:\programmer\SafeTP\SAFETP.EXE
C:\WINDOWS\System32\svchost.exe
D:\progz\mIRC\mirc.exe
D:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\John Doe\Skrivebord\progz\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmer\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SafeTPKeyCheck] d:\programmer\SafeTP\STPMGR.EXE /CHECKSEED
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [syschk] syschk.exe /fastcheck
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [syschk] syschk.exe /fastcheck
O4 - Startup: mIRC.lnk = D:\progz\mIRC\mirc.exe
O4 - Startup: ugeplan.lnk = C:\Documents and Settings\John Doe\Skrivebord\ugeplan.txt
O4 - Startup: Rainlendar.lnk = D:\Programmer\Rainlendar\Rainlendar.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O10 - Unknown file in Winsock LSP: d:\programmer\safetp\stplayer.dll
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://netplayer.swdc.dk/Rawflow.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk:9080/foto/components/photoupload.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37870.4788078704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

du har ret i at jeg ik kan komme ind i regedit, + at det ser ud til at min notepad.exe er gone, måtte åbne log i word...

Hmm kan ik finde den syschk i min task manager (har winXP Pro) - men tilgengæld ligger der en del som jeg ik lige har styr på, hvad der er godt og hvad der er skidt.

http://www.bjoern.bert.dk/task.jpg - jeg ved ik hvordan man c/p'er info i task manager nemlig.

Det program man kan hente på den hjemmeside du gav link til, som skulle finde syschk, virker ik på min comp, den siger jeg mangler en fil når jeg prøver at køre programmet...

Jeg kigger på loggen ...

ok tusind tak, bare sig til hvis du ik mener 100 point er nok :-)

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.

Hent også den nyeste version af HiJackThis. Du finder den her:
http://www.spywarefri.dk/vaerktoj.htm
Brug den fremover

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [syschk] syschk.exe /fastcheck
O4 - HKCU\..\Run: [syschk] syschk.exe /fastcheck
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://netplayer.swdc.dk/Rawflow.cab

Denne skal du fjerne hvis du ikke selv ved hvad det er:
O4 - HKLM\..\Run: [SafeTPKeyCheck] d:\programmer\SafeTP\STPMGR.EXE /CHECKSEED

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

kan sgu ik genstarte i fejlsikret tilstand??? F8 giver mig en boot menu!

nåh endelig kunne jeg poste. Problemet er lige lidt at jeg ik kan få spanden op i fejsikret tilstand, fatter simpelthen ikke hvorfor! F8 smider mig ind i boot menu hvor jeg kan vælge boot device, men kommer stadig ind i XP. Hvordan kan man se når WinXP er i fejlsikret tilstand? Vil det stadig være som i gamle dage med grim opløsning, default wallpaper, og hvor der står Fejlsikret tilstand i hvert hjørne?

Beklager at jeg lader men politiske overbevisning skinne igennem når jeg siger ildræv, men give it a try. Så bliver du fri for den slags!

http://www.spreadfirefox.com

Nåå... det er da heller ikke smart at biosfabrikanter lægger deres Bootmenu på F8 når nu den bruges til at komme i fejlsikret tilstand.

Du trykker F8 og får så din bios bootmenu. Her bruger du piletasterne til at vælge harddisken og trykker enter, og med det samme trykker du så et par gange på F8 tasten. Så skulle du gerne få menuen op hvor du kan vælge fejlsikret tilstand.

tonny så er det gjort, har kørt den nyeste version af hijackthis i fejlsikret tilstand + den der antivirus du gav link til. Efter dette kørte jeg hijackthis en gang til i fejlsikret, og så var følgende kommet igen

O4 - HKLM\..\Run: [syschk] syschk.exe /fastcheck
O4 - HKCU\..\Run: [syschk] syschk.exe /fastcheck
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

dem fjernede jeg så, kørte hijackthis et par gange til uden de var der, og så
har jeg genstartet og startet op i normal tilstand, kørt hijackthis en gang til og får alt i alt:

Logfile of HijackThis v1.98.2
Scan saved at 21:29:46, on 22-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmer\Java\j2re1.4.2\bin\jusched.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
D:\games\steam\steam.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
D:\Programmer\UMIP\InterBase\bin\ibguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programmer\Rainlendar\Rainlendar.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programmer\UMIP\InterBase\bin\ibserver.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\John Doe\Skrivebord\hijackthis.exe
C:\Programmer\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\Documents and Settings\John Doe\Dokumenter\Mine Websteder\startsiden.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmer\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SafeTPKeyCheck] d:\programmer\SafeTP\STPMGR.EXE /CHECKSEED
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: mIRC.lnk = D:\progz\mIRC\mirc.exe
O4 - Startup: ugeplan.lnk = C:\Documents and Settings\John Doe\Skrivebord\ugeplan.txt
O4 - Startup: Rainlendar.lnk = D:\Programmer\Rainlendar\Rainlendar.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk:9080/foto/components/photoupload.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

læg mærke til at jeg nu kan angive ny startside, som jeg også har gjort. Den der SafeTP er et ftp sikkerhedsprogram som jeg bruger for at komme i kontakt med min skoles ftp server, så den burde være god nok :D

Nu er mit spørgsmål så bare: kan jeg være sikker på at alt lortet er permanent væk? (Altså hvis man tænker på at jeg IKKE får det hentet fra nettet på en slem måde igen...)

hmmm ufedt, så trykker jeg lige på home og får en ny søge side op. så starter jeg hijackthis og gæt hvad der er tilbage:

Logfile of HijackThis v1.98.2
Scan saved at 21:33:39, on 22-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmer\Java\j2re1.4.2\bin\jusched.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
D:\games\steam\steam.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
D:\Programmer\UMIP\InterBase\bin\ibguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programmer\Rainlendar\Rainlendar.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programmer\UMIP\InterBase\bin\ibserver.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\John Doe\Skrivebord\hijackthis.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:search
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmer\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SafeTPKeyCheck] d:\programmer\SafeTP\STPMGR.EXE /CHECKSEED
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [syschk] syschk.exe /fastcheck
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [syschk] syschk.exe /fastcheck
O4 - Startup: mIRC.lnk = D:\progz\mIRC\mirc.exe
O4 - Startup: ugeplan.lnk = C:\Documents and Settings\John Doe\Skrivebord\ugeplan.txt
O4 - Startup: Rainlendar.lnk = D:\Programmer\Rainlendar\Rainlendar.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk:9080/foto/components/photoupload.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

igen kan jeg ik ændre startside osv., men nu virker min notepad!

Så går vi lidt hårdere til værks.

Hent disse tre værktøjer:

https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip (pak den ud til sin egen mappe)
http://www.majorgeeks.com/downloadget.php?id=506&file=2&evp=8dbaff7daca8f4b55bf695220993fc0f
http://home8.inet.tele.dk/fbj/CWShredder.exe

Installer Adaware, men lad være med at scanne endnu.

Kør værktøjet fra TrendMicro som du lige hentede.

Kør HijackThis, scan og fix følgende linier, hvis de stadig er tilbage:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:search
O4 - HKLM\..\Run: [syschk] syschk.exe /fastcheck
O4 - HKCU\..\Run: [syschk] syschk.exe /fastcheck
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Slet filen:
c:\windows\system32\syschk.exe

Genstart din computer - kør CWShredder, luk alle vinduer, undtaget CWSschredder, klik på "Fix", den scanner nu, når den er færdig klik på "Next", klik på "Finish".

Kør en scanning med Adaware.

Genstart din computer, kør HijackThis og læg en frisk log herind.

jep, sætter trendmicro igang nu, må lige se hvor langt jeg når, men kan mærke jeg bliver nødt til at hoppe i seng om ikke så lang tid, så må hellere kigge nærmere på de næste skridt i morgen...

Helt iorden ..

sådan så fik jeg det ordnet. Skal lige indskyde at jeg ikke fandt syschk.exe i system32 mappen... CW shredder fandt ingenting, mens adaware fandt 80 forskellige farlige tingester + 62 ufarlige.

Hijackthis log er som følger:

Logfile of HijackThis v1.98.2
Scan saved at 17:43:04, on 23-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmer\Java\j2re1.4.2\bin\jusched.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
D:\games\steam\steam.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
D:\Programmer\UMIP\InterBase\bin\ibguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programmer\Rainlendar\Rainlendar.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programmer\UMIP\InterBase\bin\ibserver.exe
C:\Documents and Settings\John Doe\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\Documents and Settings\John Doe\Dokumenter\Mine Websteder\startsiden.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmer\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SafeTPKeyCheck] d:\programmer\SafeTP\STPMGR.EXE /CHECKSEED
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: mIRC.lnk = D:\progz\mIRC\mirc.exe
O4 - Startup: ugeplan.lnk = C:\Documents and Settings\John Doe\Skrivebord\ugeplan.txt
O4 - Startup: Rainlendar.lnk = D:\Programmer\Rainlendar\Rainlendar.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk:9080/foto/components/photoupload.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

Det ligner ikke der er mere, men det er jo ikke mig der er eksperten :D

Det kunne være du skulle nedsætte dig som "ekspert" for du har ret. Den er nu ren *s*

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Jeg siger super mange tak, jeg sætter virkelig pris på din hjælp du har givet mig, og jeg vil helt bestemt kigge på de spyware programmer der! Tusind mange tak!

Velbekomme og takker for point :)