Søg
Avatar billede lord_vader Nybegynder
04. november 2004 - 16:42 Der er 14 kommentarer og
1 løsning

Hijackthis hjælp!!

Hej
Jeg har en maskine der er fyldt op med spyware.
Jeg har installeret ad-aware og spybot men kan ikke få filerne væk.

Er der en der vil hjælpe??

Her er min hijackthis fil :

Logfile of HijackThis v1.98.2
Scan saved at 16:38:31, on 04-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\javaej.exe
C:\WINDOWS\System32\myzvrh.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Skype\Phone\Skype.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\sysrp.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Martin\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ardbeg.dk/whisky/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CA01259F-E876-D3EB-B61C-C0B5564A7336} - C:\WINDOWS\ipsc32.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [javaej.exe] C:\WINDOWS\system32\javaej.exe
O4 - HKLM\..\Run: [gmjsdiqtov] C:\WINDOWS\System32\myzvrh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093634562823
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede kalp Novice
04. november 2004 - 19:22 #1
http://www.downloadportal.dk/showdownload.asp?rid=4137&sp=title
http://www.downloadportal.dk/showdownload.asp?rid=4133&sp=title

prøv med de her nye programmer istedet... kan desværre ikke forstå det der log noget hehe
Avatar billede tonnybrandt Nybegynder
04. november 2004 - 20:37 #2
Jeg kigger lige på loggen ..
Avatar billede tonnybrandt Nybegynder
04. november 2004 - 20:42 #3
Den er rigtigt styg !

Det første du skal gøre er at hente Getservices her:
http://www.bleepingcomputer.com/files/spyware/getservices.zip
Pak zipfilen ud i C:\getservice åbn mappen du pakkede den ud i, og dobbeltklik på getservices.bat , der kommer en logfil ud af det, denne logfil kopierer du herind.

Mens vi renser din PC må du ikke genstarte den. MEGET VIGTIGT !
Avatar billede tonnybrandt Nybegynder
04. november 2004 - 21:11 #4
Jeg fandt lige et andet link du skal benytte istedet.
Dette:
http://home.comcast.net/~rand1038/vbscript/ServiceFilter.zip

Så slipper vi for en alenlang liste og nøjes med de services som ikke er normale services.

Så hele proceduren er:
Det første du skal gøre er at hente Servicefilter her:
http://home.comcast.net/~rand1038/vbscript/ServiceFilter.zip
Pak zipfilen ud i C:\servicefilter åbn mappen du pakkede den ud i, og dobbeltklik på getservices.bat , der kommer en logfil ud af det, denne logfil kopierer du herind.
Avatar billede lord_vader Nybegynder
04. november 2004 - 22:54 #5
Hej Tonny

Det er min kammerats PC den er galt med, kommer ikke hjem til ham før i morgen (fredag) så vender jeg tilbage
Avatar billede lord_vader Nybegynder
04. november 2004 - 22:57 #6
Og Starter med at rode med den ca. kl 15.30 håber du kan hjælpe der.
Avatar billede tonnybrandt Nybegynder
05. november 2004 - 14:42 #7
Jeg regner med at være online på det tidspunkt eller måske en times tid senere afhængigt af om jeg kan komme fra arbejdet til tiden.
Avatar billede lord_vader Nybegynder
05. november 2004 - 15:42 #8
The script did not recognize the services listed below.
This does not mean they are a problem.

Please post everything below the row of # signs
and nothing from above it.

Thank You
################################################################################

ServiceFilter 1.0
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
nov 5, 2004 15:42:29

Service Name: Autodesk Licensing Service
Display Name: Autodesk Licensing Service
Start Mode: Manual
Start Name: LocalSystem
Description: Anchor service for Autodesk products licensed ...
Service Type: Own Process
Path: "c:\programmer\fælles filer\autodesk shared\service\adskscsrv.exe"
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 1077
Accept Pause: Falsk
Accept Stop: Falsk

Service Name: ccEvtMgr
Display Name: Symantec Event Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Event ...
Service Type: Own Process
Path: "c:\programmer\fælles filer\symantec shared\ccevtmgr.exe"
State: Running
Process ID: 900
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Service Name: ccPwdSvc
Display Name: Symantec Password Validation
Start Mode: Manual
Start Name: LocalSystem
Description: Symantec Password Validation ...
Service Type: Own Process
Path: "c:\programmer\fælles filer\symantec shared\ccpwdsvc.exe"
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 1077
Accept Pause: Falsk
Accept Stop: Falsk

Service Name: ccSetMgr
Display Name: Symantec Settings Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Settings ...
Service Type: Own Process
Path: "c:\programmer\fælles filer\symantec shared\ccsetmgr.exe"
State: Running
Process ID: 240
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Service Name: navapsvc
Display Name: Norton AntiVirus Auto Protect
Start Mode: Auto
Start Name: LocalSystem
Description: Håndterer hændelser i Norton AntiVirus ...
Service Type: Own Process
Path: "c:\programmer\norton antivirus\navapsvc.exe"
State: Running
Process ID: 336
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Service Name: SAVScan
Display Name: SAVScan
Start Mode: Auto
Start Name: LocalSystem
Description: Handles Norton AntiVirus Auto-Protect Archive ...
Service Type: Own Process
Path: c:\programmer\norton antivirus\savscan.exe
State: Running
Process ID: 484
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Service Name: SBService
Display Name: ScriptBlocking Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\progra~1\fllesf~1\symant~1\script~1\sbserv.exe
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Falsk

Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Administrerer softwarebaserede øjebliksbilleder, ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{d849bd52-b035-425b-bb94-d56a7e7e2a8b}
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 1077
Accept Pause: Falsk
Accept Stop: Falsk

Service Name: SymWSC
Display Name: SymWMI Service
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec WMI ...
Service Type: Own Process
Path: c:\programmer\fælles filer\symantec shared\security center\symwsc.exe
State: Running
Process ID: 1020
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand


Script Execution Time: 25,98438 seconds.
Avatar billede tonnybrandt Nybegynder
05. november 2004 - 16:13 #9
Under dette fix, må du ikke have Internet Explorer åben, så det bedste er at printe instruktionen ud - næstbedst at kopiere den over i Notepad, så du kan læse den derfra.

0. Hvis du ikke har Adaware, så skal du lige hente og installere (ikke scanne endnu):

http://www.lavasoft.de/support/download

...og så skal du hente CWShredder:

www.spywareinfo.dk/CWShredder.exe

Hent og gem denne scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.

...og endelig skal du hente AboutBuster:

http://www.malwarebytes.biz/AboutBuster.zip

...og pakke programmet ud til sin egen mappe.

Efter du har hentet de prg. du skal bruge, så fjern rent fysisk dit netværkskabel til Internettet

1. For at kunne se alle filer:

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

2. Gå i Start -> Kør og skriv services.msc. Led efter én eller flere af disse services (der findes legale services, der hedder noget lignende, så du skal være sikker på navnene):

Network Security Service
Remote Procedure Call (RPC) Helper
Workstation NetLogon Service

... hvis du finder én af dem - højreklik på den og vælge Egenskaber. Klik "Stop" og vælg Starttype: "Deaktiveret".

3. Genstart i Fejlsikret tilstand (ved at taste F8 under opstart).

4. Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {CA01259F-E876-D3EB-B61C-C0B5564A7336} - C:\WINDOWS\ipsc32.dll
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\Run: [javaej.exe] C:\WINDOWS\system32\javaej.exe
O4 - HKLM\..\Run: [gmjsdiqtov] C:\WINDOWS\System32\myzvrh.exe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6

5. Find og slet (du finder nok ikke dem alle, men slet hvad du kan finde):

C:\WINDOWS\ipsc32.dll
C:\WINDOWS\system32\winsysi.exe
C:\WINDOWS\system32\javaej.exe
C:\WINDOWS\System32\myzvrh.exe

6. Kør CWShredder, luk alle vinduer, på nær CWSschredder, klik på "Fix", den scanner nu, når den er færdig klik på "Next", klik på "Finish".

7. Kør AboutBuster – to gange.

8. Stadig i Fejlsikret tilstand - kør en scanning med Adaware.

9. Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files, papirkurv og downloaded program files.

10. Så kører du engangsskanneren fra Kaspersky - du er stadig i fejlsikret tilstand. Find scanneren, der hvor du gemte den og aktiver den. Sæt flueben i all drive og klik derefter på scan. Det kan godt tage et par timer at scanne, alt efter hvor meget du har liggende på din computer.

11. Genstart i Normal tilstand. Sæt dit Netværkskabel til igen. Kør en scanning her:

http://housecall.trendmicro.com/housecall/start_corp.asp

12. Kør HijackThis og læg en frisk log herind.
Avatar billede lord_vader Nybegynder
05. november 2004 - 18:35 #10
Logfile of HijackThis v1.98.2
Scan saved at 18:34:18, on 05-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\Programmer\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Skype\Phone\Skype.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Martin\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ardbeg.dk/whisky/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Ad-Aware] "C:\Programmer\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c
O4 - HKLM\..\Run: [AWMON] "C:\Programmer\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093634562823
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede lord_vader Nybegynder
05. november 2004 - 18:35 #11
Så lykkedes det at komme det hele igennem :-)
Avatar billede tonnybrandt Nybegynder
05. november 2004 - 18:59 #12
Ja, det er en større affære *s*

Der mangler dog lige lidt.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\uwmhu.dll/sp.html#29836
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

---------------------------------------
Sletning af filer og mapper:
-------------------
Mapper:
<ingen>

Filer:
C:\WINDOWS\system32\winsysi.exe

Genstart normalt og kom med en ny log til kontrol
Avatar billede lord_vader Nybegynder
07. november 2004 - 12:53 #13
kan ikke finde C:\WINDOWS\system32\winsysi.exe men hvis jeg søger i regedit så kommer den frem i HKEY_CURRENT_USER\Software\Microsoft\Search Assistant

Her er en ny hijackthis fil
Logfile of HijackThis v1.98.2
Scan saved at 12:52:58, on 07-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmer\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\regedit.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Martin\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ardbeg.dk/whisky/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Ad-Aware] "C:\Programmer\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c
O4 - HKLM\..\Run: [AWMON] "C:\Programmer\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093634562823
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede tonnybrandt Nybegynder
07. november 2004 - 13:29 #14
Du skal lige fixe denne, og så er den ren.
R3 - Default URLSearchHook is missing

Du behøver ikke komme med en ny log. Den kan ikke volde problemer.

Nu har du AdAware installeret så du skulle være godt beskyttet.

En anden gang så lad være med at skrive hjælp i overskriften. Det ryger direkte i spam filteret, og det tjekker jeg altså ikke ret tit *s*
Avatar billede lord_vader Nybegynder
08. november 2004 - 10:49 #15
Det er i orden. Tak for hjælpen
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
I går 17:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
I går 13:13 Batch OCR Af KurtG i Billedbehandling
I går 10:42 AI integreret i Access Af per2edb i Access
04/0409:43 AI google.com Af Peter Olsen i Andre onlineløsninger
White papers
Flere white papers »