Søg
Avatar billede reino Nybegynder
22. marts 2005 - 07:47 Der er 6 kommentarer og
1 løsning

Adware Cool Web search se.dll

Hejsa

Har en computer som er blevet ramt af en coolwebsearch trojan. Den installerer en fil temp filen som kaldes se.dll. Jeg har snart prøvet alt for at fjerne denne, næsten slettet hele reg databasen, men den kommer igen og igen.

Nogen der kender til en metode for at få fjernet denne ?

Ramt logfil postes her:

Logfile of HijackThis v1.99.1
Scan saved at 07:48:52, on 22-03-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Network Associates\VirusScan\VsStat.exe
C:\Programmer\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Fælles filer\Network Associates\McShield\Mcshield.exe
C:\Programmer\Network Associates\VirusScan\Avconsol.exe
C:\Programmer\Microsoft AntiSpyware\gcasServ.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1.SE0\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1.SE0\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {2FFCB8D8-99F5-4D35-B4B7-B8813AB46123} - C:\WINNT\system32\bphj.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1.SE0\LOKALE~1\Temp\se.dll,DllInstall
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.bk-bolig.dk
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F145640-801B-420E-9FBB-6F9CE42B2BCF}: NameServer = 212.54.64.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intranet.bk-bolig.dk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = intranet.bk-bolig.dk
O18 - Filter: text/html - {CDC67296-3022-4C37-B5CB-089691A326FE} - C:\WINNT\system32\bphj.dll
O18 - Filter: text/plain - {CDC67296-3022-4C37-B5CB-089691A326FE} - C:\WINNT\system32\bphj.dll
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programmer\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McShield - Unknown owner - C:\Programmer\Fælles filer\Network Associates\McShield\Mcshield.exe
Avatar billede ejvindh Ekspert
22. marts 2005 - 08:50 #1
Jeg kigger lige
Avatar billede ejvindh Ekspert
22. marts 2005 - 08:54 #2
Hent CWShredder her:
http://cwshredder.net/bin/CWShredder.exe
Placer den i sin egen mappe. Du skal bruge det senere

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere det endnu.
http://www.spywareinfo.dk/download/mwav.exe

Hent og gem også dette lille fix. Du skal også først bruge det senere.
https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip

Herefter køres CWShredder, da den lige skal fjerne en enkelt registrering.
Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp. Skal du også slette dem.
Stadig i Regedit.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Genstart fejlsikret tilstand (tast f8 under genstart og vælg fejlsikret) og uden forbindelse til Nettet.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1.SE0\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1.SE0\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {2FFCB8D8-99F5-4D35-B4B7-B8813AB46123} - C:\WINNT\system32\bphj.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1.SE0\LOKALE~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {CDC67296-3022-4C37-B5CB-089691A326FE} - C:\WINNT\system32\bphj.dll
O18 - Filter: text/plain - {CDC67296-3022-4C37-B5CB-089691A326FE} - C:\WINNT\system32\bphj.dll
-------------------------------------------------------------------

For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i fejlsikret tilstand søg og slet følgende filer – måske kan du ikke finde dem alle.
C:\DOCUME~1\ADMINI~1.SE0\LOKALE~1\Temp\se.dll
C:\WINNT\system32\bphj.dll

Kør Fixtool som du tidligere hentede.

Kør nu programmet mwav
Klik på den fil du har hentet: mwav.exe Klik på unzip og det pakker sig ud i en mappe som det selv opretter på C:\Kasperskky – klik på OK.

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Klik på scan.
Lad scanneren fjerne alt hvad den selv foreslår. Det kan godt tage et par timer, men den er også meget grundig. :-)

Genstart din computer normalt.
Hvis du ikke allerede har Ad-Aware, så hent og installer programmet. Opdater det straks efter installationen - inden du kører en scanning. Fjern alt hvad programmet finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Genstart

Tøm din papirkurv.

Du kan rense temp med denne fil, det tager kun få sek.
www.spywareinfo.dk/download/cleantempxp2k.bat

Genstart, kør en scanning med hijackthis og kopier en ny log herind til test. Brug denne gang en nyere version af HJT, som du kan downloade herfra:
http://danborg.org/spy/HJT/hijackthis.exe
Avatar billede reino Nybegynder
22. marts 2005 - 09:56 #3
Super, takker, det hjalp, god påske :)
Avatar billede reino Nybegynder
22. marts 2005 - 09:57 #4
hovsa, smider du lige et svar :)
Avatar billede ejvindh Ekspert
22. marts 2005 - 10:41 #5
Ok, men du er velkommen til at lægge en ny log for at vi kan se om det hele kom væk. Med den her infektion, kan det nemlig godt nogle gange blot se ud som om det er i orden, og så vender problemet alligevel hurtig tilbage.

Hvis du alligevel vælger at slutte her, så får du lige min afskeds-salut:

For at gøre arbejdet helt færdig:
Det kan være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Du kan også rense browser cachen (hvis du bruger IE-explorer)
1. Klik på Funktioner - Internetindstillinger
2. Under midlertidige filer, klik på Slet cookies
3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold
4. Under Oversigten, klik på ryd oversigten
5. Klik på ok.
Tøm din papirkurv.
---------------------------

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Som minimum vil jeg anbefale at lægge Spywareguard, Spywareblaster og IE-spyad ind. Alle programmer kan du finde links til herfra:
http://www.spywarefri.dk/vaerktoj.htm

Alle computere bør beskyttet af en firewall. Link og vejledning til en god og gratis firewall finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=9706
Avatar billede reino Nybegynder
23. marts 2005 - 05:08 #6
Hejsa, takker, har tjekket logfil og den er clean nu. Tak for tips til de forskellige værktøjer, den sygate ser godt ud, godt alternativ til dem som ikke benytter hardware firewall. :)

Iøvrigt benytter jeg selv Microsofts nye betarelease på deres antispyware program.
Avatar billede ejvindh Ekspert
23. marts 2005 - 08:56 #7
Alt i orden. Takker for point :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 00:59 Mobilepay app virker ikke mere på Xiaomi Redmi Note 13 Pro Af henrixx i Apps til Android
02/0519:09 Download Win 11 - 25H2 Af ErikHg i Windows
30/0410:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
29/0419:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
29/0412:23 Facebook Af hkv i Sociale medier
White papers
Flere white papers »