CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede stein71 Nybegynder
05. marts 2005 - 10:37 Der er 30 kommentarer og
1 løsning

Startside i IE 6 vil ik ændres

Hey

Jeg bruger en gammel bærbar (fået den gratis) hvor det er Win98 og IE6. Jeg kan nu ikke ændre startsiden og der kommer en masser popups med spam-alert m.m.

Hjælp modtages gerne og gode points gives.
Avatar billede tonnybrandt Nybegynder
05. marts 2005 - 10:50 #1
Følg vejledningen her:
Gå ind her og hent Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Kør Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.
Avatar billede stein71 Nybegynder
05. marts 2005 - 12:59 #2
Når jeg henter det, og vil inst. det så får jeg at vide at der mangler en dll-fil og det ik kan inst.

Hjælp?
Avatar billede johnstigers Seniormester
05. marts 2005 - 13:06 #3
Hvilken fil mangler du?
Avatar billede tonnybrandt Nybegynder
05. marts 2005 - 13:08 #4
Prøv lige at downloade og installere dette:
http://download.microsoft.com/download/vb60pro/Redist/sp5/WIN98Me/EN-US/vbrun60sp5.exe

Genstart og prøv så at køre HiJackThis igen
Avatar billede johnstigers Seniormester
05. marts 2005 - 13:09 #5
stein71> husk at tildele point i http://www.eksperten.dk/spm/514263 ;)
Avatar billede stein71 Nybegynder
05. marts 2005 - 13:21 #6
Hvordan tildeler man point?
Avatar billede stein71 Nybegynder
05. marts 2005 - 13:31 #7
En nødvendig .ddl-fil, MSVBVM60.DLL, blev ikke fundet
Avatar billede tonnybrandt Nybegynder
05. marts 2005 - 13:42 #8
Jeg gentager lige ...

Prøv lige at downloade og installere dette:
http://download.microsoft.com/download/vb60pro/Redist/sp5/WIN98Me/EN-US/vbrun60sp5.exe

Genstart og prøv så at køre HiJackThis igen
Avatar billede stein71 Nybegynder
05. marts 2005 - 13:47 #9
NU virker det og her er log-filen:

Logfile of HijackThis v1.99.1
Scan saved at 13:39:17, on 05-03-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\MWW32\MANAGER\MWSSW32.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\THINKPAD\TP98.EXE
C:\WINDOWS\SYSTEM\DAEMON.EXE
C:\CFGSAFE\AUTOCHK.EXE
C:\WINDOWS\SYSTEM\IBMBAYSN.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMER\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NSCHED32.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SKRIVEBORD\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {FCECFFE1-8D54-11D9-AB45-000BD240EEA9} - C:\WINDOWS\SYSTEM\JAMM.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [TP98UTIL] C:\THINKPAD\TP98.EXE /s
O4 - HKLM\..\Run: [TrackPointSrv] daemon.exe
O4 - HKLM\..\Run: [Modem Update Reminder] c:\windows\MWW32\manager\mwremind.exe autorun
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE
O4 - HKLM\..\Run: [IBMUltraBayHotSwapSound] c:\windows\SYSTEM\IBMBAYSN.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "c:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Norton Program Scheduler.lnk = C:\Programmer\Norton AntiVirus\NSCHED32.EXE
O4 - Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: Win32 Classes - file://c:\windows\Java\classes\win32ie4.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.hssyd.dk/media/msrdp.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Filter: text/html - {2B588C23-8D55-11D9-AB45-000B82356049} - C:\WINDOWS\SYSTEM\JAMM.DLL
O18 - Filter: text/plain - {2B588C23-8D55-11D9-AB45-000B82356049} - C:\WINDOWS\SYSTEM\JAMM.DLL
Avatar billede tonnybrandt Nybegynder
05. marts 2005 - 13:52 #10
Jeg kigger lige på den ..
Avatar billede tonnybrandt Nybegynder
05. marts 2005 - 13:57 #11
Hvis du ikke har dem så:
Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware

Hent og opdater CWShredder: http://www.spywareinfo.com/downloads/tools/CWShredder.exe
Eller her: http://www.softpedia.com/public/cat/10/17/10-17-150.shtml

Hent Aboutbuster og læg dette program i sin egen mappe et sted du kan huske:
http://www.atribune.org/downloads/AboutBuster.zip

Genstart fejlsikret tilstand. Du trykker F8 nogle gange mens windows starter op.

Når du er i fejlsikret tilstand trykker du samtidig på ctrl+alt+del og afslutter alle processer som vises i boksen. Der vil sikkert være et par Rundll32 og det er disse der er vigtige at få afsluttet.

Fix disse med HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {FCECFFE1-8D54-11D9-AB45-000BD240EEA9} - C:\WINDOWS\SYSTEM\JAMM.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O16 - DPF: Win32 Classes - file://c:\windows\Java\classes\win32ie4.cab
O18 - Filter: text/html - {2B588C23-8D55-11D9-AB45-000B82356049} - C:\WINDOWS\SYSTEM\JAMM.DLL
O18 - Filter: text/plain - {2B588C23-8D55-11D9-AB45-000B82356049} - C:\WINDOWS\SYSTEM\JAMM.DLL


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Søg og slet følgende stadig i fejlsikret tilstand:

C:\WINDOWS\SYSTEM\JAMM.DLL

Så starter du aboutbuster. Fjern det den finder.

Nu kører du en scanning med Ad-Aware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.


Så skal du lige en tur i registrerings databasen:
Start->Kør, skriv- regedit klik OK.

Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der en nøgle/tekst der hedder-About:blank, hvis ja, så slet den
Klik på - Denne Computer, i regedit vinduet, klik- rediger-søg, skriv: About:blank tryk- Enter. Slet den, tryk F3 -slet - F3 -slet indtil søgningen er færdig.
Samme fremgangsmåde med-HomeOldSP


Og slet indholdet i din temp mappe: c:\windows\TEMP
Samt midlertidige internet filer-kontrolpanel-internetindstillinger-generelt-slet filer og cookies

Genstart.
Så bliver du nødt til at komme med en log mere til kontrol :O)
Avatar billede stein71 Nybegynder
05. marts 2005 - 14:27 #12
Nu er det WIN98, så jeg kan ik lige finde ud af at starte den i fejlsikret tilstand. Under ctrl+alt+del er der en enkelt Rundll32..

Hvordan kommer jeg videre?
Avatar billede tonnybrandt Nybegynder
05. marts 2005 - 14:36 #13
Du kan efter al sandsynlighed ikke fjerne denne infektion i normal tilstand, så du SKAL i fejsikret tilstand.

Lige efter den er færdig med at tælle ram op trykker du F8 flere gange efter hinanden og bør nu får en menu op hvor du kan vælge fejlsikret tilstand.
Såvidt jeg husker kan du vist også istedet for F8 trykke Ctrl tasten.

Når du så skal afslutte processerne markerer du dem en ad gangen og trykker afslut. Hele billedet lukker så ned. Du trykker så ctrl+alt+del igen og afslutter næste proces. Sådan bliver du ved indtil der ikke er flere.
Avatar billede stein71 Nybegynder
05. marts 2005 - 15:52 #14
Nu har jeg prøvet både at trykke på F8 og ctrl, men det eneste der sker er at den starter op med en fejl hvor den vil teste hele systemet for fejl..

Hva gør jeg?
Avatar billede tonnybrandt Nybegynder
05. marts 2005 - 16:01 #15
Tjaa.. så er du jo nødt til at prøve alligevel i normal tilstand.

Prøv at følge vejledningen, men slå så kun dem der hedder rundll32 ihjeld i ctrl+alt+del

Så ser vi om det alligevel kan lykkes.
Avatar billede stein71 Nybegynder
06. marts 2005 - 08:51 #16
Godmorgen.

Nu er den helt gal... På skrive kan jeg ikke åbne nogle mapper uden at den kommer med det vindue til IE egenskaber(der hvor man kan vælge hvilken startside man vil have) og det samme gør sig gældende for hvis man vil starte et program fra skrivebordet såsom cwshredder.

Desuden virker Tabulator knappen som skift imellem de åbne IE vinduer..

Hvad sker der og hvad gør jeg?
Avatar billede tonnybrandt Nybegynder
06. marts 2005 - 10:24 #17
Kom med en HiJackThis log så jeg kan se hvordan den nu ser ud.
Avatar billede stein71 Nybegynder
06. marts 2005 - 10:51 #18
Har løst det sidste problem og har netop fundet ud af hvordan man starter Windows98 i fejlsikret tilstand, så jeg vender snarest tilbage..
Avatar billede tonnybrandt Nybegynder
06. marts 2005 - 11:23 #19
Det lyder godt *s*
Avatar billede stein71 Nybegynder
06. marts 2005 - 14:44 #20
Hej igen.

Nu er der følgende problemer:

1) Jeg kan ik starte IE op via ikonerne, så jeg bruger msn til at komme på nettet.
2) C:\WINDOWS\SYSTEM\JAMM.DLL kan ik findes.
3) Jeg får flg fejl med aboutbuster: Runtime error 339.mscomctl.ocx; or one of its dependencies not correctly reg. a file is missing or invalid

Herunder er logfilen:

Logfile of HijackThis v1.99.1
Scan saved at 14:38:13, on 06-03-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\MWW32\MANAGER\MWSSW32.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\THINKPAD\TP98.EXE
C:\WINDOWS\SYSTEM\DAEMON.EXE
C:\CFGSAFE\AUTOCHK.EXE
C:\WINDOWS\SYSTEM\IBMBAYSN.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMER\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NSCHED32.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMER\WINZIP\WZQKPICK.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SKRIVEBORD\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [TP98UTIL] C:\THINKPAD\TP98.EXE /s
O4 - HKLM\..\Run: [TrackPointSrv] daemon.exe
O4 - HKLM\..\Run: [Modem Update Reminder] c:\windows\MWW32\manager\mwremind.exe autorun
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE
O4 - HKLM\..\Run: [IBMUltraBayHotSwapSound] c:\windows\SYSTEM\IBMBAYSN.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "c:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Norton Program Scheduler.lnk = C:\Programmer\Norton AntiVirus\NSCHED32.EXE
O4 - Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.hssyd.dk/media/msrdp.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
Avatar billede tonnybrandt Nybegynder
06. marts 2005 - 17:55 #21
Loggen er ren.

Hvad er den præcise fejl du får når du forsøger at starte internet explorer via en ikon ?

Download evt denne fil, der retter op på mange små fejl i IE og muligvis kan fixe problemet i aboutbuster:
http://www.fbeej.dk/Programmer/iereg98.zip
Når du har downloadet filen, udpakker du den og dobbeltklikker den udpakkede fil.
Avatar billede stein71 Nybegynder
06. marts 2005 - 21:24 #22
Hej

Nu kan jeg bruge ikonet til IE, men så er den gal igen.

Her er loggen:

Logfile of HijackThis v1.99.1
Scan saved at 21:20:15, on 06-03-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\MWW32\MANAGER\MWSSW32.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\THINKPAD\TP98.EXE
C:\WINDOWS\SYSTEM\DAEMON.EXE
C:\CFGSAFE\AUTOCHK.EXE
C:\WINDOWS\SYSTEM\IBMBAYSN.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMER\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NSCHED32.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMER\WINZIP\WZQKPICK.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SKRIVEBORD\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {90D7BC0A-8E5D-11D9-AB45-000B1392A0DB} - C:\WINDOWS\SYSTEM\BKH.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [TP98UTIL] C:\THINKPAD\TP98.EXE /s
O4 - HKLM\..\Run: [TrackPointSrv] daemon.exe
O4 - HKLM\..\Run: [Modem Update Reminder] c:\windows\MWW32\manager\mwremind.exe autorun
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE
O4 - HKLM\..\Run: [IBMUltraBayHotSwapSound] c:\windows\SYSTEM\IBMBAYSN.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "c:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Norton Program Scheduler.lnk = C:\Programmer\Norton AntiVirus\NSCHED32.EXE
O4 - Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.hssyd.dk/media/msrdp.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Filter: text/html - {90D7BC09-8E5D-11D9-AB45-000BE3403EAC} - C:\WINDOWS\SYSTEM\BKH.DLL
O18 - Filter: text/plain - {90D7BC09-8E5D-11D9-AB45-000BE3403EAC} - C:\WINDOWS\SYSTEM\BKH.DLL
Avatar billede stein71 Nybegynder
06. marts 2005 - 21:29 #23
ang den Zip-fil du anbefaler,så når jeg vil inst. den så siger den at det er en forkert kommando og ingen filer bliver inst.
Avatar billede tonnybrandt Nybegynder
06. marts 2005 - 21:38 #24
Der er sørem også en fejl i filen, når jeg downloader den. Jeg går ud fra at vi snakker om: http://www.fbeej.dk/Programmer/iereg98.zip
Jeg skal se om jeg kan finde et andet eksemplar der ikke er beskadiget. I mellemtiden må du gerne udføre følgende:

Genstart i fejlsikret tilstand. Du trykker F8 nogle gange mens windows starter op.

Når du er i fejlsikret tilstand trykker du samtidig på ctrl+alt+del og afslutter alle processer som vises i boksen. Der vil sikkert være et par Rundll32 og det er disse der er vigtige at få afsluttet.

Fix disse med HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {90D7BC0A-8E5D-11D9-AB45-000B1392A0DB} - C:\WINDOWS\SYSTEM\BKH.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O18 - Filter: text/html - {90D7BC09-8E5D-11D9-AB45-000BE3403EAC} - C:\WINDOWS\SYSTEM\BKH.DLL
O18 - Filter: text/plain - {90D7BC09-8E5D-11D9-AB45-000BE3403EAC} - C:\WINDOWS\SYSTEM\BKH.DLL

Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Søg og slet følgende stadig i fejlsikret tilstand:

C:\WINDOWS\SYSTEM\BKH.DLL

Så starter du aboutbuster. Fjern det den finder.

Nu kører du en scanning med Ad-Aware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.


Så skal du lige en tur i registrerings databasen:
Start->Kør, skriv- regedit klik OK.

Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der en nøgle/tekst der hedder-About:blank, hvis ja, så slet den
Klik på - Denne Computer, i regedit vinduet, klik- rediger-søg, skriv: About:blank tryk- Enter. Slet den, tryk F3 -slet - F3 -slet indtil søgningen er færdig.
Samme fremgangsmåde med-HomeOldSP


Og slet indholdet i din temp mappe: c:\windows\TEMP
Samt midlertidige internet filer-kontrolpanel-internetindstillinger-generelt-slet filer og cookies

Genstart.
Så bliver du nødt til at komme med en log mere til kontrol :O)
Avatar billede stein71 Nybegynder
06. marts 2005 - 21:45 #25
Du er godt nok hurtig med dine svar. Dog fprstår jeg ikke hvordan den er kommet tilbage, da du skrev at den var ren... Har ik brugt computeren siden dit svar at den var ren..

Har lige en enkelt ting. Når du er i fejlsikret tilstand trykker du samtidig på ctrl+alt+del og afslutter alle processer som vises i boksen. Der vil sikkert være et par Rundll32 og det er disse der er vigtige at få afsluttet. Her er ingenting i dne boks.

Jeg kigger først på det i morgen..
Avatar billede tonnybrandt Nybegynder
06. marts 2005 - 21:52 #26
Helt iorden, og jeg vil lige checke op på denne type infektion og se om jeg har overset noget.
Loggen var nemlig ren, og det overrasker mig lidt at infektionen er vendt tilbage.
Avatar billede stein71 Nybegynder
07. marts 2005 - 18:06 #27
Hey

Jeg kan stadig ik bruge Aboutbuster, samt finde finde dennne fil: C:\WINDOWS\SYSTEM\BKH.DLL

Logfile of HijackThis v1.99.1
Scan saved at 14:52:18, on 07-03-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\SKRIVEBORD\HIJACK\HIJACKTHIS.EXE

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [TP98UTIL] C:\THINKPAD\TP98.EXE /s
O4 - HKLM\..\Run: [TrackPointSrv] daemon.exe
O4 - HKLM\..\Run: [Modem Update Reminder] c:\windows\MWW32\manager\mwremind.exe autorun
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE
O4 - HKLM\..\Run: [IBMUltraBayHotSwapSound] c:\windows\SYSTEM\IBMBAYSN.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "c:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Norton Program Scheduler.lnk = C:\Programmer\Norton AntiVirus\NSCHED32.EXE
O4 - Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.hssyd.dk/media/msrdp.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
Avatar billede tonnybrandt Nybegynder
07. marts 2005 - 19:27 #28
Loggen er nu igen ren. Jeg har ikke fundet anledning til at revidere måden at rense denne infektion på, så vi krydser fingre for at den forbliver ren, ellers kører vi hele arsenalet ud næste gang den kommer.

Mht iereg98.zip, som jeg foreslog dig at køre, er det ikke lykkedes mig at finde et andet sted at downloade filen, så jeg har rettet fejlene i filen og du får den her i tekstform.

Så alt hvad der står under den stiplede linie, skal du kopiere over i notesblok og gemme med navnet iereg98.bat og filtypen "Alle filer".

-----------------------

regsvr C:\Windows\system\comcat.dll /s
regsvr C:\Windows\system\Msjava.dll /s
regsvr C:\Windows\system\Mshtml.dll /s
regsvr C:\Windows\system\Browseui.dll /s
regsvr C:\Windows\system\Shell32.dll /s
regsvr C:\Windows\system\shdoc401.dll /s
regsvr C:\Windows\system\shdoc401.dll /i /s
regsvr C:\Windows\system\asctrls.ocx /s
regsvr C:\Windows\system\oleaut32.dll /s
regsvr C:\Windows\system\shdocvw.dll /I /s
regsvr C:\Windows\system\shdocvw.dll /s
regsvr C:\Windows\system\browseui.dll /s
regsvr C:\Windows\system\browseui.dll /I /s
regsvr C:\Windows\system\msrating.dll /s
regsvr C:\Windows\system\mlang.dll /s
regsvr C:\Windows\system\hlink.dll /s
regsvr C:\Windows\system\mshtmled.dll /s
regsvr C:\Windows\system\urlmon.dll /s
regsvr C:\Windows\system\plugin.ocx /s
regsvr C:\Windows\system\sendmail.dll /s
regsvr C:\Windows\system\scrobj.dll /s
regsvr C:\Windows\system\mmefxe.ocx /s
regsvr C:\Windows\system\corpol.dll /s
regsvr C:\Windows\system\jscript.dll /s
regsvr C:\Windows\system\msxml.dll /s
regsvr C:\Windows\system\imgutil.dll /s
regsvr C:\Windows\system\thumbvw.dll /s
regsvr C:\Windows\system\cryptext.dll /s
regsvr C:\Windows\system\rsabase.dll /s
regsvr C:\Windows\system\inseng.dll /s
regsvr C:\Windows\system\iesetup.dll /i /s
regsvr C:\Windows\system\cryptdlg.dll /s
regsvr C:\Windows\system\actxprxy.dll /s
regsvr C:\Windows\system\dispex.dll /s
regsvr C:\Windows\system\occache.dll /s
regsvr C:\Windows\system\occache.dll /i /s
regsvr C:\Windows\system\iepeers.dll /s
regsvr C:\Windows\system\urlmon.dll /i /s
regsvr C:\Windows\system\cdfview.dll /s
regsvr C:\Windows\system\webcheck.dll /s
regsvr C:\Windows\system\mobsync.dll /s
regsvr C:\Windows\system\pngfilt.dll /s
regsvr C:\Windows\system\licmgr10.dll /s
regsvr C:\Windows\system\icmfilter.dll /s
regsvr C:\Windows\system\hhctrl.ocx /s
regsvr C:\Windows\system\inetcfg.dll /s
regsvr C:\Windows\system\tdc.ocx /s
regsvr C:\Windows\system\MSR2C.DLL /s
regsvr C:\Windows\system\msident.dll /s
regsvr C:\Windows\system\msieftp.dll /s
regsvr C:\Windows\system\xmsconf.ocx /s
regsvr C:\Windows\system\ils.dll /s
regsvr C:\Windows\system\msoeacct.dll /s
regsvr C:\Windows\system\inetcomm.dll /s
regsvr C:\Windows\system\msdxm.ocx /s
regsvr C:\Windows\system\dxmasf.dll /s
regsvr C:\Windows\system\l3codecx.ax /s
regsvr C:\Windows\system\acelpdec.ax /s
regsvr C:\Windows\system\mpg4ds32.ax /s
regsvr C:\Windows\system\voxmsdec.ax /s
regsvr C:\Windows\system\danim.dll /s
regsvr C:\Windows\system\Daxctle.ocx /s
regsvr C:\Windows\system\lmrt.dll /s
regsvr C:\Windows\system\datime.dll /s
regsvr C:\Windows\system\dxtrans.dll /s
regsvr C:\Windows\system\dxtmsft.dll /s
regsvr C:\Windows\system\WEBPOST.DLL /s
regsvr C:\Windows\system\WPWIZDLL.DLL /s
regsvr C:\Windows\system\POSTWPP.DLL /s
regsvr C:\Windows\system\CRSWPP.DLL /s
regsvr C:\Windows\system\FTPWPP.DLL /s
regsvr C:\Windows\system\FPWPP.DLL /s
regsvr C:\Windows\system\WUAPI.DLL /s
regsvr C:\Windows\system\WUAUENG.DLL /s
regsvr C:\Windows\system\ATL.DLL /s
regsvr C:\Windows\system\WUCLTUI.DLL /s
regsvr C:\Windows\system\WUPS.DLL /s
regsvr C:\Windows\system\WUWEB.DLL /s
regsvr C:\Windows\system\wshom.ocx /s
regsvr C:\Windows\system\wshext.dll /s
regsvr C:\Windows\system\vbscript.dll /s
regsvr C:\Windows\system\scrrun.dll mstinit.exe /setup /s
regsvr C:\Windows\system\msnsspc.dll /SspcCreateSspiReg /s
regsvr C:\Windows\system\msapsspc.dll /SspcCreateSspiReg /s
Avatar billede stein71 Nybegynder
07. marts 2005 - 22:11 #29
Hey

Så er den gal igen... Hvad kan jeg gøre for at forebygge det?

Jeg kan ik inst. Spychecker og andre prg til at forebygge spyware...

Dette her er disse sider jeg har været inde på siden.

www.tipsomtips.com
www.bold.dk
www.tipsbladet.dk
www.barafranca.com
www.eksperten.com
www.hotmail.com
www.dynamicsystems.dk
www.sportenkort.com

Logfile of HijackThis v1.99.1
Scan saved at 22:09:17, on 07-03-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\MWW32\MANAGER\MWSSW32.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\THINKPAD\TP98.EXE
C:\WINDOWS\SYSTEM\DAEMON.EXE
C:\CFGSAFE\AUTOCHK.EXE
C:\WINDOWS\SYSTEM\IBMBAYSN.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMER\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NSCHED32.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMER\WINZIP\WZQKPICK.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SKRIVEBORD\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {82E7F9E9-8F4B-11D9-AB45-000B712DD2B5} - C:\WINDOWS\SYSTEM\GDDBC.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [TP98UTIL] C:\THINKPAD\TP98.EXE /s
O4 - HKLM\..\Run: [TrackPointSrv] daemon.exe
O4 - HKLM\..\Run: [Modem Update Reminder] c:\windows\MWW32\manager\mwremind.exe autorun
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE
O4 - HKLM\..\Run: [IBMUltraBayHotSwapSound] c:\windows\SYSTEM\IBMBAYSN.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "c:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Norton Program Scheduler.lnk = C:\Programmer\Norton AntiVirus\NSCHED32.EXE
O4 - Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.hssyd.dk/media/msrdp.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Filter: text/html - {82E7F9E8-8F4B-11D9-AB45-000B1E61772E} - C:\WINDOWS\SYSTEM\GDDBC.DLL
O18 - Filter: text/plain - {82E7F9E8-8F4B-11D9-AB45-000B1E61772E} - C:\WINDOWS\SYSTEM\GDDBC.DLL

Hvorfor kan jeg ik finde de filer du skriver: C:\WINDOWS\SYSTEM\GDDBC.DLL

Har det noget med at gøre at jeg bruger Windows 98?
Avatar billede tonnybrandt Nybegynder
07. marts 2005 - 23:49 #30
Ja, det er lidt sværer med 98 og me.

Vi prøver igen, med noget tungere skyts.

Hvis ikke du har dem så:
Hent Spysweeper: http://www.webroot.com/land/spysweeperb.php?rc=972
Dansk manual: http://www.spywarefri.dk/spysweepermanual.htm

Hent og opdater CWShredder: http://danborg.org/spy/CWS/cwshredder.exe

Download disse:
https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip

http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix Samme som nedenstående>>
http://rapidshare.de/files-de/416129/sphjfix107.zip.html?pmode=1
Udpak til egen mappe.

Hent dette regcleaner Supreme program, som er gratis i en 30 dages periode. http://www.spywarefri.dk/softwareshop.htm#andreprog

Hent og installer denne engangsskanner fra Kaspersky: http://www.spywareinfo.dk/download/mwav.exe

Når du gjort dette, skal du lade programmerne du lige har hentet ligge lidt, for du skal bruge dem lidt senere.

Du bør bruge også et program til at få renset ud i Temp mm.

Hent: http://www.spywarefri.dk/vaerktoj.htm#emptytemp
Og læs manualen til opsætning af programmet her:
http://www.spywarefri.dk/emptytempfolders.manual.htm

Du bør bruge programmet, og du skal installere og sætte det op med det samme. Jeg vil tilråde at du benytter dette prg. Da det kan lave en total oprydning på din maskine.

Jeg vil foreslå at du printer vejledningen ud. Træk netstikket ud nu

Flyt hijackthis til en mappe oprettet til formålet f.eks C:hjt

Kør Fixagent fra Trendmicro, derefter sphjfix.exe-filen. Tryk: Start Disinfektion"

Genstart fejlsikret tilstand. Du trykker f8 nogle gange når Windows starter op.

Derefter skal du åbne Hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.

Fix disse med Hijackthis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {82E7F9E9-8F4B-11D9-AB45-000B712DD2B5} - C:\WINDOWS\SYSTEM\GDDBC.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O18 - Filter: text/html - {82E7F9E8-8F4B-11D9-AB45-000B1E61772E} - C:\WINDOWS\SYSTEM\GDDBC.DLL
O18 - Filter: text/plain - {82E7F9E8-8F4B-11D9-AB45-000B1E61772E} - C:\WINDOWS\SYSTEM\GDDBC.DLL

Åbn Stifinder, klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet:
C:\WINDOWS\SYSTEM\GDDBC.DLL
c:\windows\TEMP\se.dll

Nu kører du en scanning med Spysweeper og CWShredder og fjerner, hvad de finder.

Angående CWShredder:

Kør programmet, luk alle vinduer undtaget CWShredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.


Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp. Skal du også slette dem.

Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.


Så skal du fjerne Temp filer m.m. Du kan bruge EmptyTempFolders. Ved hjælp af manualen, skal du nu slette alt i: Temp, Temporary Internet Files, Cookies, History og tøm derefter din papirkurv.

Kør så Regsupreme som du har hentet tidligere og fix/fjern det den finder

Nu kører du skanneren som vi hentede før
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan.
Tip: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.
Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.

Genstart. Kør lige et par onlinescan:
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
http://housecall.trendmicro.com/housecall/start_corp.asp

Og send ny hijacktis log til kontrol
Avatar billede stein71 Nybegynder
09. juni 2005 - 15:55 #31
Den computer er droppet men forstår ikke hvordan man afslutter det og giver point.

Hjælp?
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Browsere kategorien

Titel Indlæg Oprettet Seneste aktivitet
Forstørre billedet med mussen Af frem-ad i Browsere 8 18/05/202519:08 19/05/202515:59
Tastaturet springer bogstavet : "p" "P" over på Firefox. F.eks i Face Book Af Ikke-ekspert i Browsere 11 02/05/202519:17 03/05/202517:22
DMI vejr Af hkv i Browsere 12 24/04/202515:37 30/04/202508:44
Facebook har lige lovligt store store bogstaver og billeder - Firefox Af Ikke-ekspert i Browsere 2 23/04/202521:08 23/04/202521:46
Findes der en engelsk ordbog til Opera Browser ? Af Ikke-ekspert i Browsere 3 23/04/202514:49 23/04/202517:42
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 13:50 Brugt Mac bærbar Af costanza1974 i Mac
I dag 08:55 Scanning af stregkode til flere celler Af zekedk i Excel
I går 16:21 Microsoft Office 2021 Professional Plus Af Mariann i Office & Kontorpakker
I går 12:37 Hente data fra DEVICE via websocket Af nemlig i PHP
24/0619:30 Beregning af flextid med timebank Af Lystfisker i Excel
White papers
Flere white papers »


Premium
Teaser billede
Danske regioner vil først have styr på deres it-sikkerhed om flere år: Her er de store mangler
Læs mere »
Ny stor-aftale i Folketinget skal bane vejen for bedre internet til danskerne
Han er PFA's nye it-direktør: Bliver chef for 110 it-folk
Danske Flatpay lander dundrende underskud efter vildt vækstår: Antallet af ansatte næsten tredoblet på et år
Se alle »
Computerworld
Teaser billede
Test: Ny vejrstation tager konceptet til nye højder - med pollen og UV i realtid
Læs mere »
Kæmpe TDC-handel i fare: Minister kaldt i samråd, mens styrelse gransker salget
Test: Endelig en skærm med pro-egenskaber, der ikke flår din økonomi i stykker
Derfor vil batteriet i din smartphone fremover holde længere
Se alle »
CIO
Teaser billede
Her er den løsning, som skal erstatte Microsoft Office for alle medarbejdere i Digitaliseringsministeriet
Læs mere »
Danske it-folk tør ikke længere skifte job hele tiden - og det er der en særlig årsag til
Sådan får hackere adgang til Gmail-konti med tofaktor-login
It-sikkerheden dumper totalt i disse danske kommuner: Ny kortlægning viser, hvilke der står pivåbne for cyberangreb
Se alle »
Job & Karriere
Teaser billede
Fungerede ikke: Dropper AI som erstatning for kundeservice-medarbejdere - har nu brug for nye folk
Læs mere »
NNIT har fyret 100 medarbejdere - nedjusterer markant
It-chef og halv it-afdeling fyret i forsikringsselskab på grund af kommentar om potteplante
Itm8 fyrer: Opsiger ansatte og reorganiserer
Se alle »
White paper
Teaser billede
Sikkerhed gjort enkelt: Beskyt din virksomhed direkte i browseren
Læs mere »
NIS2: Sådan styrker du både cybersikkerhed og compliance
Sådan automatiserer du vagtplanlægningen med AI
Cybersikkerhed 2025: Er din branche blandt de mest udsatte?
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »