ny hijackthis log

Jeg kigger på den :-)

Hent CWShredder her:
http://cwshredder.net/bin/CWShredder.exe
Placer den i sin egen mappe. Du skal bruge det senere

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere det endnu.
http://www.spywareinfo.dk/download/mwav.exe

Hent og gem også dette lille fix. Du skal også først bruge det senere.
https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip

Herefter køres CWShredder, da den lige skal fjerne en enkelt registrering.
Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp. Skal du også slette dem.
Stadig i Regedit.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Genstart fejlsikret tilstand (tast f8 under genstart og vælg fejlsikret) og uden forbindelse til Nettet.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Jacob\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Jacob\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: (no name) - {C46E026E-A658-45B7-A495-24EEE18CE91F} - C:\WINDOWS\System32\nloi.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitesae32.exe
O4 - HKLM\..\Run: [runs] run.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Jacob\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunServices: [runs] run.exe
O4 - HKCU\..\Run: [runs] run.exe
O18 - Filter: text/html - {B92125F5-7619-4C14-B563-EA8E0F2C155E} - C:\WINDOWS\System32\nloi.dll
-------------------------------------------------------------------

For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i fejlsikret tilstand søg og slet følgende filer – måske kan du ikke finde dem alle.
C:\DOCUME~1\Jacob\LOCALS~1\Temp\se.dll
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\nloi.dll
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\System32\run.exe
C:\windows\system32\elitesae32.exe

Kør Fixtool som du tidligere hentede.

Kør nu programmet mwav
Klik på den fil du har hentet: mwav.exe Klik på unzip og det pakker sig ud i en mappe som det selv opretter på C:\Kasperskky – klik på OK.

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Klik på scan.
Lad scanneren fjerne alt hvad den selv foreslår. Det kan godt tage et par timer, men den er også meget grundig. :-)

Genstart din computer normalt.
Hvis du ikke allerede har Ad-Aware, så hent og installer programmet. Opdater det straks efter installationen - inden du kører en scanning. Fjern alt hvad programmet finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Genstart

Tøm din papirkurv.

Du kan rense temp med denne fil, det tager kun få sek.
www.spywareinfo.dk/download/cleantempxp2k.bat

Genstart til normal tilstand, kør en scanning med hijackthis og kopier en ny log herind til test. Næste gang vil jeg gerne have HELE loggen med -- altså også det, der står allerøverst :-)

Tak skal du have, ejvindh.
Nu er der bare opstået det problem at jeg ikke længere kan logge på maskinen?!

Jeg fik fjernet de 6 filer, kørte Fixtool (no trace found) og mwav (fjernede ca 100 filer). Nu har jeg genstartet, men kan ikke længere logge på, hverken i fejlsikret eller normal mode. Når jeg klikker på mit logo, påbegynder maskinen logon i et splitsekund, hvorefter den logger mig af igen... Jeg har forsøgt at reparere XP vha installationsdisk, men den accepterer ikke mit Administrator password... Selvom passwordet er 100% rigtigt!

Er der nogen udvej?

Det lyder ikke godt. Jeg har for nylig i en anden tråd set et lignende problem:
http://www.eksperten.dk/spm/594791

Her blev sagen godt nok løst ved at brugeren smed computeren ud -- men det var nu vist fordi han ikke var så tålmodig. Prøv disse 2 forslag (i nævnte rækkefølge):

1.
Prøv at downloade og brænde ultimate boot cd her:
http://www.ultimatebootcd.com/
Genstart computeren, og lad den boote fra CD. Vælg så det HD diagnosis-program som passer til din HD, og lad den køre et scan. Hjælper det?
-------------------------
2.
Prøv en repair efter denne formel:
Hvis du har din XP cd og din Cd-Key klar, kan du lave en repair. Du mister ikke noget ved det.

1:Det første du skal gøre er at boote op på din Windows XP CD, husk at din bios skal stå til at være first bootdevice cdrom.
Når den har installeret nogle foreløbige filer skal du;
2: springe det første tilbud om repair i Consolemode over og fortsætte din installation (nyinstalation)
3: Nu kan du så vælge hvilket drev din nye installation skal ligge på og her er det gerne dit C drev.
4: Og nu fortæller den dig der er et styresystem på dette drev og om du vil slette det (L) eller du vil lave en repair (R). Det er her du skal trykke på R.
5: Og du vil nu se, at den laver en helt ny installation, men den beholder alle dine nuværende indstillinger, dokumenter, programmer og skrivebordet udseende er også intakt, men nu skulle du gerne være sluppet af med dine fejl og mangler.
Dog skal der gøres opmærksom på at alle updates skal lægges ind igen. Desuden skal nye opdaterede drivere, som man selv har lagt ind, installeres igen.

Hvis din XP-cd er af ældre dato, og du har mulighed for det, vil det være en god ide, hvis du kan få brændt SP2 ned på en CD også, idet Repair fører din installation tilbage til det sikkerhedsniveau som er på CD'en -- og det er ikke så godt at være på nettet helt uden sikkeheds-opdateringer. Du finder SP2 som en løs fil (der kan brændes over på en CD og køres efter endt repair) her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Tak. Jeg er ved at checke det! Prøver nok option 2, da jeg ikke har kunnet finde et iso af ubcd (med mindre jeg kan vente i ret så lang tid...)

Ok, det bestemmer du jo selv. Men du kan finde ISO-filer på ubcd hvis du klikker på "Download" yderst til venstre i det vindue som jeg linker til.

Her er den nye hijack.log fil:

Logfile of HijackThis v1.99.1
Scan saved at 07:47:41, on 25-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HiJackthis\HijackThis.exe

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111435472812
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

Dejligt at se at du har fået den op at køre igen. Var det den udvidede repair der gjorde det?

Jeg kigger lige loggen igennem :-)

Og det er jo hurtigt gjort, for den er ikke særlig lang, og helt ren :-)

For at gøre arbejdet helt færdig:
Det kan være en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så kan det også være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Du kan også rense browser cachen (hvis du bruger IE-explorer)
1. Klik på Funktioner - Internetindstillinger
2. Under midlertidige filer, klik på Slet cookies
3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold
4. Under Oversigten, klik på ryd oversigten
5. Klik på ok.
Tøm din papirkurv.
---------------------------
Jeg kan se at du har Spyware doctor kørende. Der er endnu ingen grund til at antage at spywaredoctor indeholder decideret snavs, men min erfaring er at det ikke er særlig effektivt. Jeg synes derfor du skal afinstallere det (Kontrolpanel - tilføj/fjern programmer) og så installere nogle andre anti-spyware programmer. Spybot er et andet alternativ, som er meget bedre, kan de samme ting, og er gratis. Spysweeper er et tilsvarende program. Det er bedre end både spywaredoctor og spybot. Men det er ikke gratis.

For at forhindre gentagelser, vil jeg i øvrigt anbefale dig at lægge nogle andre små programmer ind, som forhindrer spyware i at komme ind i første omgang. Som minimum vil jeg anbefale at lægge Spywareguard, Spywareblaster og IE-spyad ind. Alle programmer kan du finde links til herfra:
http://www.spywarefri.dk/vaerktoj.htm

Alle computere bør beskyttet af en firewall. Link og vejledning til en god og gratis firewall finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=9706

Da du er ny på eksperten: Hvis du er enig i at dit problem er løst, og du har fået hjælp til det i denne tråd, afslutter du tråden ved at markere mit navn yderst til venstre, og klikke på accepter.

Jeg bøjer mig i støvet! Mange tak for det, ejvindh. Jeg skal nok sprede budskabet om dette fremragende forum! En sidste kommentar. Som du kunne se, så har jeg sophos anti-virus kørende - hvordan sammenligner det med Kaspersky?
Igen mange tak, og god påske! Du har jo nok i virkeligheden ikke fået de point der tilkommer dig...

Takker for point og for de pæne ord :-)
Angående virus-scannere: Jeg kører faktisk selv sophos-antivirus, og jeg synes det fungerer upåklageligt. Jeg har kun én gang prøvet at få virus ind på min maskine. Her måtte jeg dog have hjælp fra andre virus-scannere for at få det helt fjernet.

Kaspersky er kendt for at være meget hurtige til at få opdateret deres virus-database, og den klarer sig generelt rigtig godt i diverse tests. Så hvis du i forvejen betaler for en virus-scanner og du har mod på at prøve et skifte, så vil du nok alt i alt være lidt bedre tjent med Kaspersky.

God påske til dig også :-)