HiJack log tjek (lille)

Mit default start link bliver hele tiden ændret og spyware programmer installeres ...

Jeg ser på den øjeblik

Læs alle punkterne inden du gør noget.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {3561C8B6-2023-0EA4-5147-5F00B4BF8ACE} - D:\WINDOWS\System32\jihgtp.dll
O4 - HKLM\..\Run: [_Cat2] D:\WINDOWS\nmstt.exe
O4 - HKLM\..\Run: [secboot] D:\WINDOWS\System32\mszx23.exe !!
O4 - HKLM\..\RunOnce: [AVP] D:\WINDOWS\System32\49218734.exe
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O20 - Winlogon Notify: drct16 - D:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: svchost.exe (moto) - Unknown owner - D:\WINDOWS\svchost.exe

(4)
Åbn en tilfældig mappe, i menuen klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende filer:
D:\WINDOWS\System32\jihgtp.dll
D:\WINDOWS\nmstt.exe
D:\WINDOWS\System32\mszx23.exe
D:\WINDOWS\System32\49218734.exe
D:\WINDOWS\SYSTEM32\drct16.dll
D:\WINDOWS\svchost.exe

(5)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(6)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage et par timer.

(7)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(8)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

Hey, jeg undskylder fordi jeg har været lidt langsomt med at få dette gjort,- har ikke været hjemme..

Jeg har gjort alt hvad du har skrevet, men jeg støder dog stadig på et par enkelte problemer. Et spyware program ved navn "Spy Sheriff" vil simpelthen ikke forsvinde fra min computer. Jeg kan afinstallere det gang på gang, men det kommer altid igen efter næste reboot. Jeg har også bemærket at et program ved navn "OIN" skulle være installeret. Når jeg prøver at afinstallere dette, smides jeg hen til følgende hjemmeside (http://www.outerinfo.com/questionnaire.php) - hvorefter jeg trykker uninstall og en fildownload fremsættes. Jeg har dog ikke valgt at hente denne fil, da jeg sikkert blot vil få mere skidt på min computer.
Jeg ANER ikke hvordan jeg kan komme af med disse to ting, så jeg håber virkeligt at der er nogle kloge hoveder derude.

Anyways, min Hijack log så således ud efter at jeg har fulgt dine punkter (udover dine punkter valgte jeg så også lige at køre spybot og adaware!)

Logfile of HijackThis v1.99.1
Scan saved at 22:40:16, on 09/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\spupdsvc.exe
D:\WINDOWS\system32\spnpinst.exe
D:\WINDOWS\system32\Sysocmgr.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\Mixer.exe
C:\Programmer\D-Tools\daemon.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmer\MSN Messenger\msnmsgr.exe
D:\WINDOWS\System32\??xplore.exe
D:\Programmer\rrmi\etia.exe
D:\WINDOWS\System32\win32.exe
D:\Programmer\Internet Explorer\iexplore.exe
D:\Programmer\Internet Explorer\iexplore.exe
D:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\HiJackThis\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programmer\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [wupd] D:\WINDOWS\system32\win32.exe
O4 - HKCU\..\Run: [Mtno] D:\Programmer\odae\neac.exe
O4 - HKCU\..\Run: [Uwj] D:\WINDOWS\System32\r?ndll32.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [Asls] D:\Programmer\rrmi\etia.exe
O4 - HKCU\..\Run: [Kdpw] D:\WINDOWS\System32\??xplore.exe
O8 - Extra context menu item: &Google Search - res://D:\Programmer\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://D:\Programmer\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://D:\Programmer\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://D:\Programmer\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://D:\Programmer\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://D:\Programmer\Google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\msmsgs.exe
O15 - Trusted IP range: 67.19.178.84
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120426096377
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: svchost.exe (moto) - Unknown owner - D:\WINDOWS\svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

Her er et link, som forklarer, hvordan du fjerner det der SpySheriff: http://www.bleepingcomputer.com/forums/How_to_remove_SpySheriff_Winstallexe_Spysheriffexe-t22402.html%20

Da du også har andre problemer der skal fjernes, skal der tilføjes noget til vejledningen i linket.

Mellem punkt 12 og 13 skal du starte KillBox, sæt prik i "Delete on reboot", kopier "D:\WINDOWS\svchost.exe" til tekstfeltet i Killbox og klik herefter på den røde knap med det hvide kryds. Sig ja til at genstarte, og genstart i fejlsikret tilstand.

I punkt 13 skal du også fix følgende linjer:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [wupd] D:\WINDOWS\system32\win32.exe
O4 - HKCU\..\Run: [Mtno] D:\Programmer\odae\neac.exe
O4 - HKCU\..\Run: [Uwj] D:\WINDOWS\System32\r?ndll32.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [Asls] D:\Programmer\rrmi\etia.exe
O4 - HKCU\..\Run: [Kdpw] D:\WINDOWS\System32\??xplore.exe
O23 - Service: svchost.exe (moto) - Unknown owner - D:\WINDOWS\svchost.exe (file missing)

Kom du videre?

Næh desværre ikke .. Fik ny computer :)

mn smid et svar og points'ne er dine som tak for hjælpen ..