Notifikationer

Markér alle som læst Log ud

dennisljensen Nybegynder

26. oktober 2004 - 21:41 Der er 13 kommentarer

HijackThis logfil til gennemsyn

Hej,
jeg har en stærk mistanke om at min PC er inficeret med div. bagdøre og spyware. Jeg har kigget på tidligere tråde her i forumet og forsøgt mig med SpyBot og HiJackThis. Nedenfor er en log fra HiJackThis scanningen. Kan nogen hjælpe med at decifrere den og fortælle mig hvad jeg kan fixe?

Jeg kan oplyse at hver gang jeg starter min IE 6.0 browser, henvises der til "about:blank", og jeg kan ikke rette dette i Internet Options, feltet er bare grayed out. Browseren åbner herefter en underlig side og en popup der forsøger at "hjælpe" mig til at downloade en masse ;-)

Med venlig hilsen,
Dennis Jensen

Logfilen følger her ->

Logfile of HijackThis v1.98.2
Scan saved at 21:39:21, on 26-10-04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\BITWARE\CBWHOST.EXE
C:\PROGRAMMER\BITWARE\CBWATTN.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMMER\SONIC IMPACT A3D\VRTXCTRL.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMMER\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEAUI.EXE
C:\COMPAQ\INTERNET\CISRVR.EXE
C:\PROGRAMMER\MESSENGER\MSMSGS.EXE
C:\PROGRAMMER\SPYWARE DOCTOR\SPYDOCTOR.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMMER\IOMEGA\TOOLS\IOWATCH.EXE
C:\PROGRAMMER\IOMEGA\TOOLS\IMGICON.EXE
C:\PROGRAMMER\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\CPQS\BACKWEB\PROGRAM\BACKWEB.EXE
C:\PROGRAMMER\COMPAQ\ON-SCREEN DISPLAY\OSD.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\TEMP\PROGRAMMER\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir.dll?c=1c99&s=consumer&i=dan
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=1c99&s=search&query=%s&i=enu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.204.1.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {A50E29C1-1B76-11D9-8E83-00501C88EF72} - C:\WINDOWS\SYSTEM\NNLBL.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [SonicA3DControl] C:\Programmer\Sonic Impact A3D\VrtxCtrl.exe
O4 - HKLM\..\Run: [VortexTray] C:\WINDOWS\asp4setp.exe 3
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Programmer\Compaq\Easy Access Button Support\eaclean.exe /NORESTART
O4 - HKLM\..\Run: [CPQEASYACC] "C:\PROGRAMMER\COMPAQ\EASY ACCESS BUTTON SUPPORT\Cpqeaui.exe"
O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN
O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [winamp] C:\Program Files\Common Files\sys32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [CBWHost] C:\PROGRA~1\BITWARE\CBWEXEC.EXE /Run C:\PROGRA~1\BITWARE\CBWHOST.EXE
O4 - HKLM\..\RunServices: [CBWAttn] C:\PROGRA~1\BITWARE\CBWEXEC.EXE /Run C:\PROGRA~1\BITWARE\CBWATTN.EXE
O4 - HKLM\..\RunServices: [HC Reminder] hc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMMER\SPYWARE DOCTOR\SPYDOCTOR.EXE" /Q
O4 - Startup: Refresh.lnk = C:\Programmer\Iomega\Tools\refresh.exe
O4 - Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Startup: BackWeb.LNK = C:\CPQS\BackWeb\Program\UserProf.EXE
O4 - Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Iomega Watch.lnk = C:\Programmer\Iomega\Tools\IOWATCH.EXE
O4 - Startup: Iomega Startup Options.lnk = C:\Programmer\Iomega\Tools\IMGSTART.EXE
O4 - Startup: Zip Disk Icons.lnk = C:\Programmer\Iomega\Tools\IMGICON.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab
O18 - Filter: text/html - {A50E29C0-1B76-11D9-8E83-005073C44AE9} - C:\WINDOWS\SYSTEM\NNLBL.DLL

Synes godt om

tonnybrandt Nybegynder

27. oktober 2004 - 00:08 #1

Jeg kigger lige på den ..

Synes godt om

tonnybrandt Nybegynder

27. oktober 2004 - 00:15 #2

Hent disse programmer:
https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix (Samme som nedenstående)
http://www.rokop-security.de/main/download.php?op=getit&lid=59(Samme som ovenstående)
http://danborg.org/spy/CWS/cwshredder.exe
Pak zipfilerne ud i hver sin mappe.

Kør først Fixagent, derefter sphjfix.exe-filen her skal du klikke på knappen: Desinfektion starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.
Herefter køres CWShredder, da den lige skal fjerne en enkelt registrering, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp. Skal du også slette dem.

Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Du skal nu til at i gang med at fixe.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {A50E29C1-1B76-11D9-8E83-00501C88EF72} - C:\WINDOWS\SYSTEM\NNLBL.DLL
O4 - HKLM\..\Run: [winamp] C:\Program Files\Common Files\sys32.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMMER\SPYWARE DOCTOR\SPYDOCTOR.EXE" /Q
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O18 - Filter: text/html - {A50E29C0-1B76-11D9-8E83-005073C44AE9} - C:\WINDOWS\SYSTEM\NNLBL.DLL

-------------------------------------------------------------------
Åbn en tilfældig mappe, klik på Vis=>Mappeindstillinger=>Vis.
Fjern flueben i "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis alle filer".

Genstart i fejlsikret tilstand søg og slet:
C:\WINDOWS\SYSTEM\NNLBL.DLL
C:\Program Files\Common Files\sys32.exe
C:\PROGRAMMER\SPYWARE DOCTOR - Slet hele mappen "SPYWARE DOCTOR"
C:\windows\Temp - Tøm alt i mappen Temp, og derefter skal du tømme din papirkurv.

Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Genstart, og kopier en ny log herind.

Synes godt om

forevernewbie Nybegynder

27. oktober 2004 - 09:46 #3

Tonnybrandt-> Spyware Doctor er nu OK http://www.spywarewarrior.com/rogue_anti-spyware.htm

Synes godt om

perhaps Nybegynder

27. oktober 2004 - 10:57 #4

Spyware Doctor (som ikke må forveksles med Spy Doctor) til 34.95 USD er ikke noget godt værktøj. Databasen er ikke up-to-date.

Jeg er ikke begejstret for den slags programmer som i trial-versionen finder spyware for derefter at sige, at det kun kan fjernes hvis man køber. Jeg synes det er forkert at annoncere programmet som FREE, når det i sidste ende koster, hvis man vil benytte det. Det er ikke et velfungerende program. Anbefales heller ikke af Eric Howes, men han siger at det efter hans mening ikke indeholder spy og derfor er det ikke på hans liste over dårlige værktøjer.

Synes godt om

perhaps Nybegynder

27. oktober 2004 - 11:21 #5

Tilføjelse til mit ovennævnte indlæg: Spyware Doctor er IKKE et værktøj med spy, men et dårligt værktøj, så både tonnybrandts og forevernewbies meninger kan forsvares. Freewareprogrammerne Spybot og Ad-aware er langt bedre.

Synes godt om

forevernewbie Nybegynder

27. oktober 2004 - 11:45 #6

Aluria, som regnes for en "god" scanner, har nu også en gratis prøveversion, der ikke kan fjerne spywaren. Jeg syntes egentlig, at man måske skal skelne imellem de mange dårlige værktøjer der lokker på den måde, og så nogle enkelte der er ok, men bare har en mindre heldig salgspolitik.

Citat af Eric Howes(eburger86) fra denne tråd http://spywarewarrior.com/viewtopic.php?p=23863#23863

At this point I would say Spyware Doctor is in much the same position as Webroot's Spy Sweeper in its first few months. I can't recommend it right now as the equal of Spybot S&D, Ad-aware, or Spy Sweeper, however, that could change. It's a solid program and has great potential -- it just needs a bit more time to mature.

Best,

Eric L. Howes

Ja, der er egentlig ikke nogen grund til at betale for et program, der ikke er lige så godt som de kendte, og gratis, Ad-Aware og Spybot ;)

Synes godt om

perhaps Nybegynder

27. oktober 2004 - 12:22 #7

Du har helt ret i hvad angår Aluria og jeg har rent faktisk skrevet til dem at jeg ikke var begejstret for den måde de bruger. Så skal det også lige siges at kvalitetsmæssigt ligger Aluria langt over Spyware Doctor.

Jeg er normalt enig i de fleste af Eric Howes synspunkter, men ikke lige hvad angår Spyware Doctor. Den fjerner ikke meget spyware. Jeg har haft den på en test-computer efter at programmet var vedlagt et af computer-magasinerne. Husker ikke hvilket. Men al begyndelse er svær. Spy Sweeper var heller ikke noget i starten. Dengang Webroot startede med Spy Sweeper vurderede vi den kun til at være et program af god gennemsnits-kvaliet. Idag synes jeg det er noget af det bedste.

Synes godt om

forevernewbie Nybegynder

27. oktober 2004 - 13:24 #8

Dit seneste indlæg runder vel diskussionen af. Jeg vil da lige nævne, at jeg også har fixet Spyware Doctor et par gange.

Og nu kommer der nok snart en log *s*

Synes godt om

tonnybrandt Nybegynder

27. oktober 2004 - 13:50 #9

Det er også bare den jeg venter på :)
Syntes ikke jeg ville blande mig i diskussionen, da Per jo har en del mere forstand på de antispyware-programer end jeg *s*

Synes godt om

forevernewbie Nybegynder

27. oktober 2004 - 17:11 #10

Hmm, det var nu ikke meningen at tråden skulle hijackes af denne, ellers gode, debat. Måske ikke nogen god ide med "input" midt i en log, relevante eller ej.

Synes godt om

dennisljensen Nybegynder

27. oktober 2004 - 19:22 #11

Mange tak for hjælpen !

Synes godt om

dennisljensen Nybegynder

27. oktober 2004 - 19:27 #12

Jeg læste ganske kort om Spyware Doctor på én eller anden hjemmeside og forsøgte mig med den. Ud fra tanken om at noget man betaler for er lidt bedre, men jeg kan se at der findes rigtig mange gode gratis alternativer - der måske tilmed er bedre !

Det varer desværre nok lige et par dage inden jeg for given min PC en overhaling til med ovennævnte værktøjer, men når jeg har været igennem møllen, poster jeg en ny log.

Mange tak allesammen for jeres hurtige og meget kyngige hjælp og vejledninger. Jeg er ikke helt sikker på hvordan det her point halløj fungere, men jeg håber at have sagt tak og rost alle der har bidraget med udrensningen af min spyware inficerede computer.

Dennis

Synes godt om

tonnybrandt Nybegynder

14. november 2004 - 02:30 #13

Hvordan gik det med udrensningen ?

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed	5	17/03/202610:32	18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed	6	02/02/202614:54	03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed	4	13/01/202617:27	14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed	4	13/11/202515:09	14/11/202510:45
Google fake Af johp i Andet sikkerhed	3	27/10/202516:31	28/10/202506:52

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS