Søg
Avatar billede uso Nybegynder
09. februar 2005 - 16:51 Der er 7 kommentarer og
1 løsning

ielh.exe + hijackthis

Hej eksperter!

Jeg er igang med mit "årlige" virus scan hehe :) (første gang i år)

Og jeg er kommet frem til en pokkers masse bagdøre og sådan noget, som jeg har slettet. Men det er jo meget godt, men nogle af dem kommer igen.

Når jeg kører en HiJackThis, finder den disse to linjer:

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com

Og dem har jeg intet med at gøre selv. Jeg kan simpelt hen ikke få dem fjernet. Når jeg trykker "Fix problems" og scan igen er de der.

Jeg har kørt en Spybot - Search & Destroy og en Kasper Spy, og de vil bare ikke ud :(

Udover det!
Så har jeg en eller anden latterlig fil, som sørger for at jeg ikke kan trykke denne computer. Så chrasher den (explorer) og står stille, indtil jeg trykkede ctrl+alt+delete og fandt frem til en grim fil: "drwtsn32.exe" Når jeg afslutter den, kommer explorer frem ad sig selv igen. Det gør den så bare også :(


Hele Hijack logfilen ser sådan ud:

Logfile of HijackThis v1.98.2
Scan saved at 15:41:44, on 09-03-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\sysnr.exe <- ???
C:\Programmer\McAfee\McAfee Firewall\CPD.EXE
C:\Programmer\McAfee\McAfee Firewall\CPDCLNT.EXE
C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\WINDOWS\ielh.exe <- Grrr!
D:\games\steam\steam.exe
C:\PROGRA~1\Cacheman\Cacheman.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
D:\Programmer\Boomtown\Client\BtAtHome.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Virus\hjt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\explorer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129 <- Ja de kommer også igen :(
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {3DC5D292-C5C0-FCBB-38A3-D792D6BB1F26} - C:\WINDOWS\system32\crmu32.dll <- ???
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ielh.exe] C:\WINDOWS\ielh.exe <- Kommer også igen :(
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Cacheman] C:\PROGRA~1\Cacheman\Cacheman.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O15 - Trusted Zone: *.frame.crazywinnings.com <- Kommer igen
O15 - Trusted Zone: *.static.topconverting.com <- Kommer igen


Iøvrigt, har jeg nogle internet explorer problemer. :(

Jeg kan ikke se 1go.dk's sider på denne pc, men kan godt på andre. Det er rimelig træls, da min hjemmeside ligger på www.psf.1go.dk og jeg er ved at upgrade den på www.teamdragon.1go.dk ... :(

Det var en ordentlig mundfuld, jeg håber der er nogen som vil hjælpe mig :)

//UsO
Avatar billede kalp Novice
09. februar 2005 - 18:43 #1
Jeg ser lige på det:)
Avatar billede kalp Novice
09. februar 2005 - 18:45 #2
imens jeg ser på din log... kan du så ikke komme med en ny fra det nye hijackthis?
http://www.downloadportal.dk/showdownload.asp?rid=4212&sp=Hijackthis
Avatar billede kalp Novice
09. februar 2005 - 18:59 #3
Her får du en procedure du skal køre.. næste log du kommer med skal være fra det nye hijackthis. tak

Download CWShredder
http://www.mdegn.dk/download/CWShredder.exe

Download og gem denne scanner på skrivebordet.
http://www.spywareinfo.dk/download/mwav.exe

Download DelDomains.inf
http://www.mvps.org/winhelp2002/DelDomains.inf

(Vi skal bruge Dem senere)

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\nkuhr.dll/sp.html#28129 <- Ja de kommer også igen :(
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {3DC5D292-C5C0-FCBB-38A3-D792D6BB1F26} - C:\WINDOWS\system32\crmu32.dll
O4 - HKLM\..\Run: [ielh.exe] C:\WINDOWS\ielh.exe <- Kommer også igen :(
O15 - Trusted Zone: *.frame.crazywinnings.com <- Kommer igen
O15 - Trusted Zone: *.static.topconverting.com <- Kommer igen

Find og slet

Disse filer

C:\WINDOWS\system32\sysnr.exe
C:\WINDOWS\ielh.exe


Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Slet disse filer

C:\WINDOWS\system32\crmu32.dll

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

højreklik på DelDomains.inf og vælg: Install

Kør cwshredder, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder
Klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Slet alt den finder..

Genstart normalt og smid en ny log fil herind

ps. fiks aldrig hijackthis log's selv:)
Avatar billede uso Nybegynder
09. februar 2005 - 20:20 #4
Problemer problemer problemer :)

Når jeg når så langt, som "Find og slet C:\ windows\system32\sysnr.exe" så findes hverken sysnr.exe eller ielh. Tilgengæld var der en der hed sysno.exe ...

Jeg finder det ikke nødvendigt at installere mwav.exe fordi det er kasperspy og den har jeg jo kørt... "Jeg har kørt en Spybot - Search & Destroy og en Kasper Spy, og de vil bare ikke ud :("

Tilgengæld kan jeg se www.teamdragon.1go.dk igen :D

"CoolSearchBar" var heller ikke på min computer...
Jeg kan ikke forklare hvorfor :S

"ps. fiks aldrig hijackthis log's selv:)" Hvorfor ikke? Jeg er udemærket klar over hvad der skal stå - den her gang var det bare fordi at der var nogle linjer - som ikke skal stå der - som ikke ville ud igen :)

Men smid et svar! Fordi nu kan jeg bruge "Denne computer" på skrivebordet "teamdragon.1go.dk" kan jeg se igen, og nu kan jeg beholde min egen start side :D

Og as-you-wish, smider jeg lige en opdateret Hjt her:
Logfile of HijackThis v1.99.0
Scan saved at 20:19:33, on 09-03-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
D:\games\steam\steam.exe
C:\PROGRA~1\Cacheman\Cacheman.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\McAfee\McAfee Firewall\CPD.EXE
C:\Programmer\McAfee\McAfee Firewall\CPDCLNT.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://teamdragon.1go.dk/
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Cacheman] C:\PROGRA~1\Cacheman\Cacheman.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O23 - Service: InCD Helper - Ahead Software AG - C:\Programmer\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee Firewall - Networks Associates, Inc. - C:\Programmer\McAfee\McAfee Firewall\CPD.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe

Og den ser jo dejlig ud :) - Så behøves jeg måske ikke og formatere alligevel :)
Avatar billede kalp Novice
09. februar 2005 - 20:28 #5
okay den fil du fandt "sysno.exe" den skal du bare slette hvis ikke du har gjort det:) Du får et svar her:) og angående det med at fikse logs selv så er det fint hvis du selv ved hvad du laver:)
Avatar billede uso Nybegynder
09. februar 2005 - 20:30 #6
Jeps jeps... sysno.exe omdøbte jeg først og genstartede... no problems... så nu den slettet ;)

Iøvrigt så fjernede jeg en grim en med lspfix også. Fik ikk fat i navnet præcist - men en ting er sikkert: den skulle ikke være der...

Her er dine points :)

//UsO
Avatar billede kalp Novice
09. februar 2005 - 20:33 #7
*G* tak for point:) og angående mwav.. du behøver ikke nødvendigvis at køre den... men i aften før du går i seng så ville være en god i idee at opdatere dit virus program.. genstarte i fejlsikret tilstand og lave en fuld scan af systemet bare så du er sikker på der ikke ligger noget gemt:)
Avatar billede uso Nybegynder
09. februar 2005 - 20:34 #8
det var det jeg gjorde før jeg skrev her på exp... men jeg køre nok hele lortet alligevel :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 13:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
03/0500:59 Mobilepay app virker ikke mere på Xiaomi Redmi Note 13 Pro Af henrixx i Apps til Android
02/0519:09 Download Win 11 - 25H2 Af ErikHg i Windows
30/0410:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
29/0419:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
White papers
Flere white papers »