Hijackthis - logfil

Jeg kigger lige på den ..

Hent det her program først:(Samme program, bare to links)
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
http://www.rokop-security.de/main/download.php?op=getit&lid=59
Hent CWShredder her:
http://www.computercops.biz/zx/phoenix22/cws.zip

Efter download dobbeltklikkes på exe-filen og der klikkes på knappen: Desinfektion

starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte

desinfektionen.
Herefter køres CWShredder, da den lige skal fjerne en enkelt registrering.

Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud),

deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk

alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik

på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget

....\sp. Skal du også slette dem.

Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er

sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.


Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. NB.

Gælder kun for dem som kører med Windows XP eller ME. Der er ikke systemgendannelse i

Win98 samt Win2000. Hvis du ikke ved, hvordan du gør det så kig her:

http://www.spywarefri.dk/virusscannere.htm#alle

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge

ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er

meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at

lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

-------------------------------------------------------------------
For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i fejlsikret tilstand søg og slet disse filer:

Mapper:
C:\spywarevanisher-free

Filer:
C:\WINDOWS\dpe.dll

Tøm din papirkurv.
Gør det for alle konti på maskinen, hvis der er mere end en.

Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Genstart, og kopier en ny log herind.

TAK det er meget venligt*S*
Jeg tror først at det bliver i morgen - da min ven(med den angrebne PC) er gået til køjs. Den hjælp jeg prøver at yde er en slags "mobiltelefonsupport" - har har et 56K modem, og hvergang han åbner er det ikke just Google han får frem på skærmen.(det giver lidt besvær med at downloade programmer osv.))
Men vi går helt sikkert i gang i morgen eftermiddag igen. 
Sov godt :o)

Tak i lige måde :)

<kjaersgaard>:
Du har ikke opdateret dit Windows XP til SP1/SP2.
Det er ikke så godt, for så er du ikke sikret mod mange af de vira, der suser rundt på nettet og kigger efter uopdaterede maskiner.
Du kan hente SP1/SP2 her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Til sidst skal du gå i start ->programmer ->Windowsupdate og lade din maskine scanne for opdateringer. Installer dem du får anbefalet.

Men det er jo ikke så 'sjovt' med et 56K modem så saks SP1/SP2 hos dig selv og overfør til et passende Medie (CD) og instaler derfra. Nu ka' jeg se (=læse) at det er via en slags "mobiltelefonsupport" såååå hvordan CD'en så skal komme til bruger - Hmmm...

Men kør lige <tonnybrandt>'s beskrivelse først...

Det er nu lykkedes os at få hentet programmer og har fulgt Tonny Brandts vejledning. e-finder forekomsterne findes stadig i Hijack-loggen. Nu er han optaget resten af dagen - så han kan ikke sidde ved sin PC. Men i morgen har vi aftalt at prøve at køre det hele forfra - sammen - igen. Når vi har gjort dette vil jeg sende en ny HT-log igen.
Mht. SP1-2 så finder vi ud af det - det fylder jo lidt.

Vi fandt så ud af at der også var fejl i XP - format C: og genistallerer XP.
Hvem vil ha' point ?
Tak for interessen :o)

Hååååvvv -Tonny Brandt skal lave et svar. Jeg må være søndagsforvirret :o/

Her kommer et svar :)

Takker for point :)

Velbekomme :o)