Søg
Avatar billede florint Nybegynder
01. januar 2005 - 10:38 Der er 6 kommentarer og
1 løsning

En der gider checke denne log - tak

Hej
Godt nytår til jer alle. Er der en der gider kigge denne log igennem ? På forhånd tak.
Logfile of HijackThis v1.98.2
Scan saved at 10:29:29, on 01-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\System32\kkpctj.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Documents and Settings\Claus\Skrivebord\hijack\hijackthis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [otbzqq] C:\WINDOWS\System32\kkpctj.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=cbd620368e5f61f31e1f9984851cd008af43167862d8dbd1bedf267d4e25812c9d39bf806910a7df20d77bcba4e59658af7d:d05288b73f6310e605389048b192383d
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://ocx1.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A576A15-68CB-4616-8060-B2AF8335EA7E}: NameServer = 194.239.134.83
Avatar billede andersenph Nybegynder
01. januar 2005 - 11:47 #1
Hent og pak dette program ud på dit Skrivebord.

http://www.fbeej.dk/Programmer/FindItNT2KXP.zip

Kør "find.bat" - programmet laver en log, som du også skal lægge herind.
------------------------------------------------------------
Avatar billede florint Nybegynder
01. januar 2005 - 12:50 #2
Hej,
Den laver 8 txt filer ? Har taget indholdet af de filer der var noget i og sammenskrevet det til det der følger efter her :


31-12-2004  17:16    <DIR>          dllcache
31-12-2004  16:17              488 WindowsLogon.manifest
31-12-2004  16:17              488 logonui.exe.manifest
31-12-2004  16:17              749 cdplayer.exe.manifest
31-12-2004  16:17              749 wuaucpl.cpl.manifest
31-12-2004  16:17              749 nwc.cpl.manifest
31-12-2004  16:17              749 sapi.cpl.manifest
31-12-2004  16:17              749 ncpa.cpl.manifest
09-12-2004  20:46            23.040 fbaruninst.exe
              8 fil(er)          27.761 byte
              1 mappe(r)  10.587.344.896 byte ledig

---------- Files Named "Guard" -------------

Disken i drev C har ikke noget navn.
Diskens serienummer er B03F-B0A1

Indhold af C:\WINDOWS\System32


--------- Temp Files in System32 Directory --------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\BITS]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\h4l20e3oeh.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Results -----------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{4D0E19CE-3931-49BD-B3BD-6DC7EDA02042}"=""


------------ Keys Under Notify ------------

Disken i drev C har ikke noget navn.
Diskens serienummer er B03F-B0A1

Indhold af C:\WINDOWS\System32

01-01-2005  12:40          223.162 vfblock.dll
01-01-2005  12:40          223.581 lvj4091qe.dll
01-01-2005  09:28          223.162 h4l20e3oeh.dll
31-12-2004  17:30    <DIR>          Microsoft
31-12-2004  17:16    <DIR>          dllcache
31-12-2004  16:54          222.928 mryuv.dll
31-12-2004  16:41          225.972 mbimg32.dll
31-12-2004  15:51          225.898 lcnm0951e.dll
31-12-2004  15:51          223.111 kt08l7du1.dll
31-12-2004  15:27          225.898 ixdkcs32.dll
31-12-2004  15:27          226.057 lvnm0951e.dll
31-12-2004  15:22          225.898 cedial32.dll
31-12-2004  15:21          225.689 aza8lchu1f48.dll
31-12-2004  14:12          225.689 hp2405fqe.dll
31-12-2004  14:07          222.938 j00s0ad7ed0.dll
31-12-2004  13:26              776 TBPS.ini
31-12-2004  11:15          225.689 qkgr.dll
31-12-2004  08:35          222.938 ugnpui.dll
30-12-2004  10:27          222.545 p04u0ah9ed4.dll
29-12-2004  16:34          222.886 k6nolg5316.dll
29-12-2004  16:19          222.971 j62qlgf5162.dll
29-12-2004  12:44          222.861 f60olgd3160.dll
28-12-2004  14:58          224.193 dimsadsn.dll
28-12-2004  13:43          222.778 o248lchu1f48.dll
26-12-2004  16:00          222.778 mfidle.dll
26-12-2004  15:59          222.778 j0j60a1sed.dll
23-12-2004  15:23          222.778 ktnul7591.dll
23-12-2004  15:11          222.778 h4j40e1qeh.dll
23-12-2004  15:03          222.842 hr2405fqe.dll
23-12-2004  13:23          222.842 ijxwan.dll
23-12-2004  09:21          222.778 cDtsrvut.dll
22-12-2004  13:47          222.778 mgdemui.dll
21-12-2004  17:30          225.389 m228lcfu1f28.dll
20-12-2004  20:05          225.563 hrl6053se.dll
20-12-2004  17:26          225.389 dblayx.dll
15-12-2004  22:06          226.235 biotvid.dll
14-12-2004  20:12          226.171 ir6ml5j11.dll
13-12-2004  19:59          226.171 hrlq0535e.dll
12-12-2004  17:37          226.171 nw4.dll
11-12-2004  18:05          226.171 p6r4lg9q16.dll
11-12-2004  16:20          226.171 lv6m09j1e.dll
11-12-2004  12:17          222.991 en0sl1d71.dll
08-12-2004  13:47          226.016 l00u0ad9ed0.dll
07-12-2004  18:04          225.355 lvl2093oe.dll
07-12-2004  16:05          222.953 f40o0ed3eh0.dll
05-12-2004  18:57          222.419 p66slgj716o.dll
05-12-2004  16:04          226.181 lv2209foe.dll
03-12-2004  17:44          222.951 o684lglq16qe.dll
03-12-2004  12:50          224.887 lrnkinfo.dll
02-12-2004  19:47          223.291 o0pq0a75ed.dll
01-12-2004  19:58          223.866 hrpq0575e.dll
01-12-2004  19:43          223.291 mitext40.dll
01-12-2004  19:19          223.232 lvlm0931e.dll
              51 fil(er)      11.210.836 byte
              2 mappe(r)  10.587.348.992 byte ledig

------- Hidden Files in System32 Directory -------
Avatar billede andersenph Nybegynder
01. januar 2005 - 14:51 #3
http://downloads.subratam.org/KillBox.zip

http://home8.inet.tele.dk/fbj/TheKillBoxBrugsanvisning.htm

Pak Killbox ud i en mappe for sig selv og følg brugsanvisningen.


Det er vigtigt, at du afbryder forbindelsen til internettet inden du sletter nedenstående filer - hiv internetstikket ud af computeren.

Her er så listen over filer der skal slettes med KillBox:

C:\WINDOWS\SYSTEM32\vfblock.dll
C:\WINDOWS\SYSTEM32\lvj4091qe.dll
C:\WINDOWS\SYSTEM32\h4l20e3oeh.dll
C:\WINDOWS\SYSTEM32\mryuv.dll
C:\WINDOWS\SYSTEM32\mbimg32.dll
C:\WINDOWS\SYSTEM32\lcnm0951e.dll
C:\WINDOWS\SYSTEM32\kt08l7du1.dll
C:\WINDOWS\SYSTEM32\ixdkcs32.dll
C:\WINDOWS\SYSTEM32\lvnm0951e.dll
C:\WINDOWS\SYSTEM32\cedial32.dll
C:\WINDOWS\SYSTEM32\aza8lchu1f48.dll
C:\WINDOWS\SYSTEM32\hp2405fqe.dll
C:\WINDOWS\SYSTEM32\j00s0ad7ed0.dll
C:\WINDOWS\SYSTEM32\qkgr.dll
C:\WINDOWS\SYSTEM32\ugnpui.dll
C:\WINDOWS\SYSTEM32\p04u0ah9ed4.dll
C:\WINDOWS\SYSTEM32\k6nolg5316.dll
C:\WINDOWS\SYSTEM32\j62qlgf5162.dll
C:\WINDOWS\SYSTEM32\f60olgd3160.dll
C:\WINDOWS\SYSTEM32\dimsadsn.dll
C:\WINDOWS\SYSTEM32\o248lchu1f48.dll
C:\WINDOWS\SYSTEM32\mfidle.dll
C:\WINDOWS\SYSTEM32\j0j60a1sed.dll
C:\WINDOWS\SYSTEM32\ktnul7591.dll
C:\WINDOWS\SYSTEM32\h4j40e1qeh.dll
C:\WINDOWS\SYSTEM32\842 hr2405fqe.dll
C:\WINDOWS\SYSTEM32\ijxwan.dll
C:\WINDOWS\SYSTEM32\cDtsrvut.dll
C:\WINDOWS\SYSTEM32\mgdemui.dll
C:\WINDOWS\SYSTEM32\m228lcfu1f28.dll
C:\WINDOWS\SYSTEM32\hrl6053se.dll
C:\WINDOWS\SYSTEM32\dblayx.dll
C:\WINDOWS\SYSTEM32\biotvid.dll
C:\WINDOWS\SYSTEM32\ir6ml5j11.dll
C:\WINDOWS\SYSTEM32\hrlq0535e.dll
C:\WINDOWS\SYSTEM32\nw4.dll
C:\WINDOWS\SYSTEM32\p6r4lg9q16.dll
C:\WINDOWS\SYSTEM32\lv6m09j1e.dll
C:\WINDOWS\SYSTEM32\en0sl1d71.dll
C:\WINDOWS\SYSTEM32\l00u0ad9ed0.dll
C:\WINDOWS\SYSTEM32\lvl2093oe.dll
C:\WINDOWS\SYSTEM32\f40o0ed3eh0.dll
C:\WINDOWS\SYSTEM32\p66slgj716o.dll
C:\WINDOWS\SYSTEM32\lv2209foe.dll
C:\WINDOWS\SYSTEM32\o684lglq16qe.dll
C:\WINDOWS\SYSTEM32\lrnkinfo.dll
C:\WINDOWS\SYSTEM32\o0pq0a75ed.dll
C:\WINDOWS\SYSTEM32\hrpq0575e.dll
C:\WINDOWS\SYSTEM32\mitext40.dll
C:\WINDOWS\SYSTEM32\lvlm0931e.dll

Kør KillBox, sæt prik i "Delete on reboot". Kopier hver enkel linie ind i tekstfeltet på Killbox og klik herefter på den røde knap med det hvide kryds. Programmet vil spørge om du vil genstarte - svar NEJ, undtagen når du har kopieret den sidste linie ind. Efter at have kopieret den sidste linie ind, skal du svare JA, og din computer vil genstarte.

Det var step 1.

Step 2 kommer her:
Først skal du lige hente de to programmer her:
LSPFix: http://danborg.org/spy/Newnet/LSPfix.exe
Winsockfix:http://danborg.org/spy/Newnet/winsockxpfix.exe

Læg dem på dit skrivebord, i en mappe, så du kan finde dem frem, hvis der bliver brug for det. Her kan de ligge og vente på, at du evt. får brug for det.

Følg denne anvisning, men kun hvis du mister din forbindelse til Internettet:
Kør først LSPfix
Pak filen ud, kør programmet, sæt flueben i "I know what I am doing" klik på finish, så burde det virke igen.
Gør det ikke det, så prøv det andet program, klik først på Reg-backup, og gem en kopi af din regdatabase, når det er slut klik på Fix, når den er færdig genstart og så skulle du gerne kunne komme på nettet igen.
Du skal kun bruge programmet, hvis du mister forbindelsen til Internettet.



Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware
Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Følg også vejledningen her til udvidet søgning: http://www.spywarefri.dk/tipsogtricks.htm#adaware

Sæt lige de indstillinger korrekt, så det er klar til brug senere.



Følg vejledningen her: http://www.spywarefri.dk/hjtanv.htm (punkt 6). Fix disse med HijackThis:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [otbzqq] C:\WINDOWS\System32\kkpctj.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=cbd620368e5f61f31e1f9984851cd008af43167862d8dbd1bedf267d4e25812c9d39bf806910a7df20d77bcba4e59658af7d
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://ocx1.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://static.topconverting.com/activex/loader2.ocx


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer:

C:\WINDOWS\System32\kkpctj.exe
C:\WINDOWS\satmat.exe
c:\windows\system32\aklsp.dll

Søg efter disse mapper:

C:\PROGRA~1\Toolbar
C:\Program Files\WindowsSA

Kør så programmet Ad-aware, fjern alt hvad den finder.



Hent den her scanner:
http://www.spywareinfo.dk/download/mwav.exe

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Og så trykker du på Scan Clean
Den skanner nu, og dette kan godt tage et par timer.

Derefter genstarter du og sender en ny log ind til check
Avatar billede florint Nybegynder
01. januar 2005 - 18:44 #4
Hej
Pyhhh...ha  det var en ordentlig omgang :-) Det meste af det kørte som du har beskrevet, dog fik jeg ikke lov til at slette c:\windows\system32\aklsp.dll, selvom jeg var i fejlsikret tilstand, før jeg kørte Kaspersky scanneren og genstartede.

Her er den friske log:
Logfile of HijackThis v1.98.2
Scan saved at 18:41:12, on 01-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Claus\Skrivebord\hijack\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://ocx1.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2AC5525-E39D-4D3F-8CC4-372020D31317}: NameServer = 194.239.134.83

Mvh
Avatar billede andersenph Nybegynder
01. januar 2005 - 18:51 #5
Du har gjort et godt stykke arbejde må man sige :O)

Disse linier skal lige fixes:
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://ocx1.advnt01.com/dialer/internazionale_ver3.CAB

Genstart

Din log er nu helt ren.

Efter sådan en tur er det altid en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så skal du også lige skjule dine filer og mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Du kan også rense browser cachen

1. Klik på Funktioner - Internetindstillinger

2. Under midlertidige filer, klik på Slet cookies

3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold

4. Under Oversigten, klik på ryd oversigten

5. Klik på ok.

Tøm din papirkurv.

Du kan rense temp med denne fil, det tager kun få sek.
www.spywareinfo.dk/download/cleantempxp2k.bat

Lidt råd med på vejen herfra skal du da også have.
For at sikre din pc fremover ville det være en god idé at bruge nogle af programmerne fra denne lille pakke som du kan se her:
http://www.spywarefri.dk/pakken.htm
Avatar billede florint Nybegynder
01. januar 2005 - 18:56 #6
Takker for hjælpen og de gode råd.
Godt nytår
Mvh
Avatar billede andersenph Nybegynder
01. januar 2005 - 18:59 #7
Det var så lidt da :O) og tak i lige måde.
Tak for point også ;O)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 14:15 PHP Html Af Asky i Programmeringsværktøjer
I går 11:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
06/0516:53 HTML Af Asky i Programmeringsværktøjer
06/0510:01 Mister internettet efter slumre, Af valby i Windows
05/0513:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
White papers
Flere white papers »