CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede olewej Nybegynder
18. februar 2005 - 21:58 Der er 4 kommentarer og
1 løsning

Problemer med en Trojan House

Jeg sidder her bag skærmen og har store problemer med min PC.
En Trojan Horse tror jeg. Det popper konstant op i Adaware som finder nye hver gang man kører det, og der popper browservinduer op hele tiden.

Logfile of HijackThis v1.99.1
Scan saved at 21:24:21, on 18-02-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\CWD3DSND.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\DOKUMENTER\MARSTAL NAVIGATIONSSKOLE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO:  - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - C:\WINDOWS\SYSTEM\OTHER2.DLL
O2 - BHO: (no name) - {237FEC41-8052-11D9-88B4-0004E387A836} - C:\WINDOWS\SYSTEM\FCOI.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmer\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServicesOnce: [*l] rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject
O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWD3DSND.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.139.109,131.165.63.81
O18 - Filter: text/html - {A982EB03-81EA-11D9-88B4-000451F06676} - C:\WINDOWS\SYSTEM\FCOI.DLL
O18 - Filter: text/plain - {A982EB03-81EA-11D9-88B4-000451F06676} - C:\WINDOWS\SYSTEM\FCOI.DLL
Avatar billede levich Nybegynder
18. februar 2005 - 22:10 #1
ser på den
Avatar billede levich Nybegynder
18. februar 2005 - 22:23 #2
(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Genstart i fejlsikret tilstand (F8 ved boot).
Fix disse linjer med hijackthis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO:  - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - C:\WINDOWS\SYSTEM\OTHER2.DLL
O2 - BHO: (no name) - {237FEC41-8052-11D9-88B4-0004E387A836} - C:\WINDOWS\SYSTEM\FCOI.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServicesOnce: [*l] rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject
O18 - Filter: text/html - {A982EB03-81EA-11D9-88B4-000451F06676} - C:\WINDOWS\SYSTEM\FCOI.DLL
O18 - Filter: text/plain - {A982EB03-81EA-11D9-88B4-000451F06676} - C:\WINDOWS\SYSTEM\FCOI.DLL

(3)
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet nedenstående filer ved at genstarte i fejlsikret tilstand (tryk F8 når Windows starter op):
C:\WINDOWS\SYSTEM\OTHER2.DLL
C:\WINDOWS\SYSTEM\FCOI.DLL
C:\WINDOWS\GENEREGT.TXT

(4)
Start -> programmer -> tilbehør -> systemværktøjer -> diskoprydning -> Slet Temporary internet files, papirkurv og midlertidige filer.

(x)
Når vi er færdig så aktiverer du systemgendannelse igen og sætter de flueben som du fjerne under punkt (3)
Avatar billede tonnybrandt Nybegynder
18. februar 2005 - 23:23 #3
Levich > Blot lige en detalje: Det er en 98'er. Den har ikke systemgendannelse *s*
Avatar billede olewej Nybegynder
18. februar 2005 - 23:28 #4
Hej levich

Det ser ud til at virke.
Skønt et par skønhedfejl ved indstillinger i Win98 fik jeg løst problemet.
Uden din hjælp havde jeg ikke løst problmet. Jeg har allerede brugt mere
end en dag på problemet før jeg fik hjælp af dig. Så mange tak for hjælpen

Med taknemlig hilsen

Ole Wej Petersn
Avatar billede levich Nybegynder
19. februar 2005 - 00:04 #5
svar
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Total AV Af Malm i Virus 10 16/01/202516:48 17/01/202520:47
pop up black friday Af Malm i Virus 12 22/11/202420:49 03/12/202411:04
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:11 Ændre autoudfyld i Outlook og Word Af TTA i Office & Kontorpakker
I går 12:27 Office Pro 2019 forsvinder Af mort1 i Office & Kontorpakker
04/0716:34 Se filmen : "Vi, som går køkkenvejen" (Hovedperson : Birgitte Reimer Af Ikke-ekspert i Fri debat
02/0719:07 Mellem tidspunkter Af nyhavn18 i Excel
02/0710:02 Oversigt over antal feriedage Af AnjaJesse i Excel
White papers
Flere white papers »


Premium
Teaser billede
Vil fyre tusindvis af ansatte globalt: Nu reagerer Microsofts danske organisation med 800 medarbejdere
Læs mere »
Staten binder sig med ny aftale til Microsoft i usædvanlig lang tid - og det er der en særlig årsag til
Pengene vælter ud af den danske Dynamics-kæmpe Cepheo i selskabets andet leveår - men forretningen buldrer frem
Du skal opdatere hurtigst muligt: Alvorlig sårbarhed opdaget i Citrix-software
Se alle »
Computerworld
Teaser billede
Danmarks største fiberselskab skifter navn: Norlys skal ikke længere hedde Norlys
Læs mere »
Glemte at fjerne adgang for suspenderet it-medarbejder: Næste dag var kunder i Tyskland og Bahrain låst ude
Aktie-kursen ottedoblet på fire år: Er nu verdenshistoriens mest værdifulde selskab
Amerikansk koncern med 700 ansatte i Danmark: Sender besked til kunder 21 måneder efter storstilet angreb
Se alle »
CIO
Teaser billede
Microsoft kæmper med at få Copilot ud over rampen – og det skyldes især én ting
Læs mere »
Her står medarbejderne for at ansætte og fyre - og det har gjort rekruttering af it-professionelle langt lettere
Rigspolitiet gør klar til stort opgør med it-evighedskontrakter: Søger hjælp fra leverandørerne
Mange CISO'er mistrives i jobbet: Nu stiller tidligere cyber security-chef i Energinet og Ørsted et kontroversielt forslag
Se alle »
Job & Karriere
Teaser billede
Fungerede ikke: Dropper AI som erstatning for kundeservice-medarbejdere - har nu brug for nye folk
Læs mere »
It-chef og halv it-afdeling fyret i forsikringsselskab på grund af kommentar om potteplante
Danske it-folk tør ikke længere skifte job hele tiden - og det er der en særlig årsag til
Itm8 fyrer: Opsiger ansatte og reorganiserer
Se alle »
White paper
Teaser billede
Undgå at printeren bliver svageste led i sikkerheden
Læs mere »
Sikkerhed gjort enkelt: Beskyt din virksomhed direkte i browseren
Sådan får du reel værdi ud af Microsoft Copilot
Revolutionér kundeoplevelsen med AI og automatisering
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »