Hjælp til HiJackThisLog

Jeg kigger lige på den ..

Oki... :D

Det er vist første gang jeg har set en så snavset log !!!!

Her kommer en procedure:

Først opretter du en mappe kun til hijackthis og lægger programmet derover. Så har vi nemlig styr på backup filerne.
Kommer du til at slette noget forkert, kan vi altid komme tilbage og lave en restore. Derfor skal Hijack have sin egen mappe.


Hvis du ikke har dem så:
Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware
Hent og opdater CWShredder: http://www.spywareinfo.com/downloads/tools/CWShredder.exe
Eller her: http://www.softpedia.com/public/cat/10/17/10-17-150.shtml
Hent Aboutbuster og læg dette program i sin egen mappe et sted du kan huske:
http://www.atribune.org/downloads/AboutBuster.zip

Genstart fejlsikret tilstand. Du trykker F8 nogle gange mens windows starter op.
Fix disse med HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://0ml.net/cat
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://0ml.net/searchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://0ml.net/cat
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://0ml.net/searchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: (no name) - {2CE8880D-4DC4-4FBE-9E42-7A75EB1E1CFF} - C:\WINDOWS\System32\amkmaa.dll
O2 - BHO: (no name) - {9622706C-E485-9459-DF8F-E7ABAB7102CF} - C:\WINDOWS\System32\bjl.dll
O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} - C:\WINDOWS\System32\saristar.dll (file missing)
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10020} - C:\WINDOWS\System32\fn146vjtwo.dll
O4 - HKLM\..\Run: [Windows Shell Library Loader] checking shell32.dll /c /set
O4 - HKLM\..\Run: [MSUpdSrv] msupdsrv.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKCU\..\Run: [Aaae] C:\Documents and Settings\Lev\Application Data\ssaa.exe
O4 - HKCU\..\Run: [Xfnabto] C:\WINDOWS\System32\??oolsv.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.topconverting.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=3548
O18 - Filter: text/html - {C04FC460-C1B0-4700-907E-A4C416BD5A1B} - C:\WINDOWS\System32\amkmaa.dll
O18 - Filter: text/plain - {C04FC460-C1B0-4700-907E-A4C416BD5A1B} - C:\WINDOWS\System32\amkmaa.dll


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Søg og slet følgende stadig i fejlsikret tilstand disse filer:

C:\WINDOWS\System32\amkmaa.dll
C:\WINDOWS\System32\bjl.dll
C:\WINDOWS\System32\fn146vjtwo.dll
C:\WINDOWS\System32\msupdsrv.exe

Så starter du aboutbuster. Fjern det den finder.

Nu kører du en scanning med Ad-Aware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.


Så skal du lige en tur i registrerings databasen:
Start->Kør, skriv- regedit klik OK.

Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der en nøgle/tekst der hedder-About:blank, hvis ja, så slet den
Klik på - Denne Computer, i regedit vinduet, klik- rediger-søg, skriv: About:blank tryk- Enter. Slet den, tryk F3 -slet - F3 -slet indtil søgningen er færdig.
Samme fremgangsmåde med-HomeOldSP


Og slet indholdet i din temp mappe: C:\WINDOWS\TEMP\sp.html
Samt midlertidige internet filer-kontrolpanel-internetindstillinger-generelt-slet filer og cookies

Genstart.
Så bliver du nødt til at komme med en log mere til kontrol :O)

Puha... Det er også den længste procedure jeg nogensinde har set... :-)
Ja, min bror's computer er meeeget snavset... Jeg følger dine instrukser og vender tilbage.

Jeg er ked af at sige det, men jeg kan slet ikke hente programmerne, da den bare kommer frem med sådan noget søge-side-skidt.... Kan du sende dem til mig via. MSN ?

Jeg har lige fundet ud af det. Den procedure er lidt gammel og linksene er døde. Jeg finder lige nogle links til programmerne, der virker.

Ok... Jeg har allerede den opdaterede Ad-Aware inde... men er det ikke bedre at bruge Spy-Bot? Synes jeg i hvertfald bedre om...

CWshredder: http://www.fbeej.dk/Programmer/CWShredder.exe
Aboutbuster: http://www.fbeej.dk/AboutBuster.exe

Adaware linket virker.

I dette tilfælde vil jeg foretrække at du bruger AdAware, men ellers er jeg enig i at Spybot er lige så godt.

Hmm... Jeg kan ikke køre AboutBuster før at jeg har fået lagt VB-Runtime ind...
Så jeg tænkte at nu hvor at jeg alligevel skrev herinde, ville jeg smidde en ny logger, men når at den scanner kommer den frem med en fejl-meddelse...?
An unexpected error has occurred at procedure: modMain_FixUNIXHostsFile()

Error #62 - Input past end of file

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were doing when the error occurred
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.99.0

This message has been copied to your clipboard.

Ok, denne version af HiJackThis er helt ny og kom for en uge eller 2 siden, så der kan være småfejl i den.
Prøv lige at slette denne file manuelt:
C:\WINDOWS\nsdb\hosts

Og se om du kan scanne efter at den er slettet.

Glemte at køre ad-aware så det gjorde jeg lige i mellemtiden...
Har slettet filen nu, men kan stadig ikk scanne... Prøver at genstarte og scanne igen...

Nope... Virkede heller ikke... :-/
Hvad gør jeg nu?

Hvis du nu trykker ok til den fejl. Får du så loggen alligevel ?
Jeg checkede lidt på den fejl og det ser ud til at folk kan få loggen alligevel ved blot at trykke ok-knappen.

Nej, for når at jeg trykker på OK knappen, kommer den samme besked bare frem igen... :-/

Nu har jeg både kørt Spy-Bot og Ad-Aware, men ingen af dem fjerner min grimme baggrund.... Baggrunden er en Web-Side, som uanset hvad jeg gør overlapper den normale baggrund. Og baggrunden er samtidig et link til en dummere internet side...
Her er en lille screenie... http://frip.dk/cronck/DumBG.JPG

Prøv lige at klikke start | indstillinger | kontrolpanel | skærm, fanebladet skrivebord, knappen tilpas skrivebordet, fanebladet web. Slet alle websider på denne side (tryk anvend og ok) og den burde forsvinde.
(hvis jeg har set rigtigt)

Det sidste virkede også, glemte bare lige at skrive dagen efter, da jeg gik i seng... :-)

Takker for hjælpen endnu engang.

Velbekomme og takker for point :)